3
Postfix SMTP Relay per SASL-Auth nicht grundsätzlich für alle Accounts erlauben
Hallo,
kann mir jemand vielleicht in Sachen Postfix Konfiguration auf die Sprünge helfen?
Ist-Zustand:
- Linux Mailserver (Zimbra) mit Postfix als MTA.
Grundsätzliche Konfiguration:
- aus dem internen Netz ist SMTP Versand (also Relay) ohne Authentifizierung möglich (soweit okay, gewollt).
- aus externen Netzen ist der SMTP Versand (also Relay) nur mit Authentifizierung möglich. Soweit ich es verstehe, passiert diese Authentifierzung per SASL.
Grundsätzlich ist das soweit in Ordnung.
Meine Frage:
Ist es möglich, dass externer SMTP Versand noch weiter einzuschränken, d.h. auch mit korrekter Authentifizierung ist dies nur einer definierten Gruppe von Benutzern möglich?
Im Moment ist es mir etwas zu "lasch", dass jeder Nutzer über den Server über Port 25 Mails verschicken kann, sofern er sich für SMTP korrekt authentifiziert.
Beispiele sind z.B. Gruppenpostfächer. Auch hinter diesen Postfächern steckt erstmal ein "User-Account", der zur Authentifizierung genutzt werden könnte.
Es ist aber nicht nötig, dass jemand (ein Mitarbeiter aus der Entwicklung, der die Account Daten rechtmäßig kennt) von extern als "entwicklung@xyz.de" Mails über den Server verschicken kann..
Das heißt die Logik dazu könnte sein:
- SMTP relay aus internem Netz OHNE Auth: JA
- SMTP relay aus externem Netz OHNE Auth: NEIN
- SMTP relay aus externem Netz MIT Auth UND ist in NICHT Gruppe "sender-account-ok-fuer-extern-smtp-relay" : NEIN
- SMTP relay aus externem Netz MIT Auth UND ist in Gruppe "sender-account-ok-fuer-extern-smtp-relay" : JA
Vielen Dank für Tipps...
Christoph
kann mir jemand vielleicht in Sachen Postfix Konfiguration auf die Sprünge helfen?
Ist-Zustand:
- Linux Mailserver (Zimbra) mit Postfix als MTA.
Grundsätzliche Konfiguration:
- aus dem internen Netz ist SMTP Versand (also Relay) ohne Authentifizierung möglich (soweit okay, gewollt).
- aus externen Netzen ist der SMTP Versand (also Relay) nur mit Authentifizierung möglich. Soweit ich es verstehe, passiert diese Authentifierzung per SASL.
Grundsätzlich ist das soweit in Ordnung.
Meine Frage:
Ist es möglich, dass externer SMTP Versand noch weiter einzuschränken, d.h. auch mit korrekter Authentifizierung ist dies nur einer definierten Gruppe von Benutzern möglich?
Im Moment ist es mir etwas zu "lasch", dass jeder Nutzer über den Server über Port 25 Mails verschicken kann, sofern er sich für SMTP korrekt authentifiziert.
Beispiele sind z.B. Gruppenpostfächer. Auch hinter diesen Postfächern steckt erstmal ein "User-Account", der zur Authentifizierung genutzt werden könnte.
Es ist aber nicht nötig, dass jemand (ein Mitarbeiter aus der Entwicklung, der die Account Daten rechtmäßig kennt) von extern als "entwicklung@xyz.de" Mails über den Server verschicken kann..
Das heißt die Logik dazu könnte sein:
- SMTP relay aus internem Netz OHNE Auth: JA
- SMTP relay aus externem Netz OHNE Auth: NEIN
- SMTP relay aus externem Netz MIT Auth UND ist in NICHT Gruppe "sender-account-ok-fuer-extern-smtp-relay" : NEIN
- SMTP relay aus externem Netz MIT Auth UND ist in Gruppe "sender-account-ok-fuer-extern-smtp-relay" : JA
Vielen Dank für Tipps...
Christoph
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 309105
Url: https://administrator.de/contentid/309105
Printed on: April 19, 2024 at 18:04 o'clock
3 Comments
Latest comment
Moin,
in der Regel macht man das über die "mynets" und die 'relay restrictions' settings. die 'relay restrictions' sollten ja so oder so schon für den lokal Host richtig eingestellt sein. Nun musst du also nur deine lokalen Subnetze einfügen. auch wenn das nicht unbedingt empfohlen ist.
Gruß
Chris
in der Regel macht man das über die "mynets" und die 'relay restrictions' settings. die 'relay restrictions' sollten ja so oder so schon für den lokal Host richtig eingestellt sein. Nun musst du also nur deine lokalen Subnetze einfügen. auch wenn das nicht unbedingt empfohlen ist.
Gruß
Chris
Hallo,
ich glaube für mein Vorhaben reichen restrictions auf IP / Subnet Basis nicht aus.
Ich möchte ja erreichen, dass sich gewisse User von externen (Internet) IP´s per SASL mit Ihrem Mail Account Daten authentifizieren können, und so per SMTP Mails versenden können.
Andere User hingegen sollen von externen IP´s genau diese Möglichkeit nicht haben, sollen für die Authentifizierung abgewiesen werden, selbst mit an sich gültigen Anmeldedaten.
ich glaube für mein Vorhaben reichen restrictions auf IP / Subnet Basis nicht aus.
Ich möchte ja erreichen, dass sich gewisse User von externen (Internet) IP´s per SASL mit Ihrem Mail Account Daten authentifizieren können, und so per SMTP Mails versenden können.
Andere User hingegen sollen von externen IP´s genau diese Möglichkeit nicht haben, sollen für die Authentifizierung abgewiesen werden, selbst mit an sich gültigen Anmeldedaten.
Moin,
Im Grunde schon. du musst nur noch den Query für deine Usererfassung anpassen, damit die Gruppenzugehörigkeit nicht als erlaubter Login heraus kommt. Hier kommt es nun darauf an, gegen was du die User authentifizierst. LDAP? MySQL? Was anderes?
Gruß
Chris
Im Grunde schon. du musst nur noch den Query für deine Usererfassung anpassen, damit die Gruppenzugehörigkeit nicht als erlaubter Login heraus kommt. Hier kommt es nun darauf an, gegen was du die User authentifizierst. LDAP? MySQL? Was anderes?
Gruß
Chris
