Postfix, запретить вложения.

[kharkov_max]

День добрый.

Необходимо через postfix определенным юзерам запретить слать определенные вложения (по расширению) любым внешним контактам.

Внутри домена эти вложения должны без проблем пересылаться между пользователями.
Ситуация усложняется тем что это маил сервер zimbra и в нем уже есть такой фильтр, который действует глобально для всех ящиков и определенных разрешений вложений.

Суть, не поламать, то что есть и прилепить свой фильтр.
В систему самостоятельно уже добавил несколько своих фильтров, т.е. небольшой опыт есть (фильтры типа: запретить всем из списка слать на внешние адреса или запретить с внешних адресов слать на перечень внутренних или пересылка входящей и исходящей почты с определенного адреса на определенный адрес и т.д.) Все реализовывалось через postfix...

Как я понимаю мою задачу нужно реализовывать через header_checks - в инете есть примеры таких фильтров.

А вот как тулить дальше немного запутался ...
На сколько я понимаю при прохождении правила recipient_restriction нужно проверить адрес получателя и если он не для внутреннего домена, то проверить адрес отправителя, если он есть в списке, то проверить расширение вложения, если совпадает то reject иначе - пропустить письмо.

В результате получается многоуровневый фильтр ...

Как это правильно организовать ?
Может кто уже делал и поделится идеями ?

Спасибо.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[kharkov_max]

1. Вообщем, если забыть про zimbra как это сделать в postfix ?

2. Ну или вариант 2
В инет торчит не postfix (zimbra) а sendmail ...
Как такую фичу реализовать на sendmail ?
Т.е. если пользователь есть в списке - ограничить отправку писем с вложениями ... (можно с любыми вложениями)...

[moury]

За вложения отвечает встроенный контент-фильтр (buillit-in content filter). Только Вам нужны не header_checks, а, скорее, body_checks или mime_header_checks, с помощью которых вводятся глобальные ограничения на прием подозрительных файлов.

Однако встроенный контент-фильтр обрабатывает сообщение построчно, написание условий фильтрации файлов по отправителю - дело нетривиальное.

Советую Вам использовать after-queue контент-фильтр (аналог amavisd-new, или самописный). Есть контент-фильтры, которые предназначены специально для выкусывания аттачей из писем.

[kharkov_max]

За вложения отвечает встроенный контент-фильтр (buillit-in content filter). Только Вам нужны не header_checks, а, скорее, body_checks или mime_header_checks, с помощью которых вводятся глобальные ограничения на прием подозрительных файлов.

Однако встроенный контент-фильтр обрабатывает сообщение построчно, написание условий фильтрации файлов по отправителю - дело нетривиальное.

Советую Вам использовать after-queue контент-фильтр (аналог amavisd-new, или самописный). Есть контент-фильтры, которые предназначены специально для выкусывания аттачей из писем.

По 2 му пункту отвечу так.
В sendmail (freebsd) это реализовывается milter-manager и milter-regex.
Но уже хочу реализовать не в sendmail а в postfix. Система на которой кручу это все Ubuntu ...

За вложения отвечает встроенный контент-фильтр (buillit-in content filter). Только Вам нужны не header_checks, а, скорее, body_checks или mime_header_checks, с помощью которых вводятся глобальные ограничения на прием подозрительных файлов.

Однако встроенный контент-фильтр обрабатывает сообщение построчно, написание условий фильтрации файлов по отправителю - дело нетривиальное.

Советую Вам использовать after-queue контент-фильтр (аналог amavisd-new, или самописный). Есть контент-фильтры, которые предназначены специально для выкусывания аттачей из писем.

amavisnew не могу использовать т.к. его уже zimbra юзает.
Задача усложняется тем что нужно вклинится в zimbra и не поламать ее функционал ...
Сама zimbra уже использует фильтр по расширениям файлов, и если я правильно понял из ее конфигов, то делает она это через header_checks.

Можете кинуть пример (рыбу) правил, для postfix под данную задачу ?

[kharkov_max]

1. На сколько я нагуглил mime_header_checks можно применить только глобально для сервера (входящей и исходящей почты)
Народ подскажите как применить правило mime_header_checks для одного или нескольких локальных отправителей.
И возможно ли это реализовать средствами самого postfix?

2. А ни кто не использовал внешний фильтр polisyd ?
Подойдет ли он под данную задачу, просто именно его рекомендует использовать zimbra
http://wiki.zimbra.com/wiki/Postfix_Policyd

Спасибо

[kharkov_max]

Народ помогите решить задачу с блокированием исходящей почты, если есть вложение определенного расширения.

Не думал что это на столько сложно.

Для postfix есть cbpolisyd, в zimbra 7.1.0 они его уже включили в дистрибутив, как раз у меня стоит 7.1.0.
Активировал cbpolicyd (по умолчанию он не активен), прикрутил web интерфейс, в результате оказалось что модуль amavis, как раз тот который может резать почту с вложениями разработчики zimbra вырезали из cbpolicyd , ссылаясь на то что он уже у них есть.

Полез ковырять amavis.conf и к глубокому разочарованию нашел только $banned_filename_re - что блокирует вложения глобально для сервера (входящую и исходящую почту) и параметр $per_recip_blacklist_sender_lookup_tables - но он мне ни чем не помог т.к. работает только с доменными именами, списками.

В результате зашел в тупик, не уже ли данную задачу не возможно решить?
Или через amavis она не решается, но можно решить через какой то другой фильтр?