The OpenNET Project: Создание ограничений входящей и исходящей почты в Postfix для определенных пользователей

Создание ограничений входящей и исходящей почты в Postfix для определенных пользователей	[исправить]
Ситуация:есть Postfix выставленный в Интернет,который допустим выступает шлюзом для Exchange в LAN. Задача: разрешить отправку почты в Интернет и обратно только определенным пользователям. Выход: используем классы разрешений, Postfix restriction classes. Создаем два класса users_out для исходящих писем,users_in соответственно для входящих. smtpd_restriction_classes = users_out, users_in В классах будут проверятся пользователи которым разрешено отправлять и получать почту, именно этим и занимаются правила check__access users_in = check_recipient_access hash:/etc/postfix/users, reject users_out = check_sender_access hash:/etc/postfix/users, reject В smtpd__restrictions указываем проверку на наш почтовый домен domain.ru к которому будет применяться созданные классы. smtpd_sender_restrictions = check_sender_access hash:/etc/postfix/senders smtpd_recipient_restrictions = permit_mynetworks, check_recipient_access hash:/etc/postfix/destinations, reject_unauth_destination Файл destinations с нашим доменом и указанием классов которые будут применятся к ним у domain.ru users_in Содержимое файла senders domain.ru users_out Файл users со списком пользователей которым разрешено отправлять и получать почту test@domain.ru OK boss@domain.ru OK billy@domain.ru OK Итог: Имеем конфигурацию с помощью которой можем разрешать пересылку определенным пользователям на определенные наши домены.


06.10.2008 , Автор: Резников Алексей , Источник: http://www.postfix.org/RESTRICTION_... Ключи: postfix, mail, limit
Раздел: Корень / Администратору / Сетевые сервисы / Mail, почта / Безопасность и установка ограничений

Обсуждение

[ RSS ]

1.2, Alexander Yakimenko (?), 00:05, 07/10/2008 [ответить]	+/–
В случае изменения пользователем адреса электронной почты имеется возможность пересылки. Смысл такой защиты? Разве что от дурака.

2.3, Mark Silinio (?), 07:50, 07/10/2008 [^] [^^] [^^^] [ответить]	+/–
смотри reject_authenticated_sender_login_mismatch и smtpd_sender_login_maps

3.4, mr_gfd (?), 00:11, 08/10/2008 [^] [^^] [^^^] [ответить]	+/–
а почему не прикрутить кривой AD LDAP, и не проверять наличие пользователя в группе безопасности?

4.6, prapor (??), 16:55, 12/10/2008 [^] [^^] [^^^] [ответить]	+/–
>а почему не прикрутить кривой AD LDAP, и не проверять наличие пользователя в группе безопасности? А кто сказал, что оно есть в наличии?

5.7, mr_gfd (?), 06:15, 14/10/2008 [^] [^^] [^^^] [ответить]

+/–

>>а почему не прикрутить кривой AD LDAP, и не проверять наличие пользователя в группе безопасности?
>
>А кто сказал, что оно есть в наличии?

Типично армейский юмор. Эксчендж без АД?

6.8, Karp Rybin (?), 23:41, 20/10/2008 [^] [^^] [^^^] [ответить]	+/–
Не чего смешного.Эксчендж у конторы,постфикс у другой.Не факт,что админы этих контор между собой дружат.

7.9, mr_gfd (?), 11:25, 21/10/2008 [^] [^^] [^^^] [ответить]	+/–
>Не чего смешного.Эксчендж у конторы,постфикс у другой.Не факт,что админы этих контор между >собой дружат. В контексте статьи оба сервера пренадлежат одной организации, если я ее правильно прочитал. В данном контексте использовать ручное редактирование файлов на мылошлюзе - мартышкин труд. Правильно сделать LDAP query_filter вида (&(objectCategory=Person)(memberOf=DN=GroupName, OU=Org, DC=domain, DC=com)), и пользователи без членства в GroupName идут лесом.

8.10, Резников Алексей (?), 23:32, 21/10/2008 [^] [^^] [^^^] [ответить]	+/–
1 Где вы этот контекст увидели 2 Почему бы Вам тогда не расказать про описанн... текст свёрнут, показать

2.5, Аноним (5), 09:46, 08/10/2008 [^] [^^] [^^^] [ответить]	+/–
Вы что читать не умеете,это не защита а ограничение...Ну и что сменит адрес,почту то он все равно не отправит и не получит.

игнорирование участников | лог модерирования

Добавить комментарий