christophh
Goto Top

Postfix SMTP Relay per SASL-Auth nicht grundsätzlich für alle Accounts erlauben

Hallo,
kann mir jemand vielleicht in Sachen Postfix Konfiguration auf die Sprünge helfen?

Ist-Zustand:
- Linux Mailserver (Zimbra) mit Postfix als MTA.

Grundsätzliche Konfiguration:
- aus dem internen Netz ist SMTP Versand (also Relay) ohne Authentifizierung möglich (soweit okay, gewollt).
- aus externen Netzen ist der SMTP Versand (also Relay) nur mit Authentifizierung möglich. Soweit ich es verstehe, passiert diese Authentifierzung per SASL.

Grundsätzlich ist das soweit in Ordnung.
Meine Frage:
Ist es möglich, dass externer SMTP Versand noch weiter einzuschränken, d.h. auch mit korrekter Authentifizierung ist dies nur einer definierten Gruppe von Benutzern möglich?
Im Moment ist es mir etwas zu "lasch", dass jeder Nutzer über den Server über Port 25 Mails verschicken kann, sofern er sich für SMTP korrekt authentifiziert.

Beispiele sind z.B. Gruppenpostfächer. Auch hinter diesen Postfächern steckt erstmal ein "User-Account", der zur Authentifizierung genutzt werden könnte.
Es ist aber nicht nötig, dass jemand (ein Mitarbeiter aus der Entwicklung, der die Account Daten rechtmäßig kennt) von extern als "entwicklung@xyz.de" Mails über den Server verschicken kann..

Das heißt die Logik dazu könnte sein:

- SMTP relay aus internem Netz OHNE Auth: JA

- SMTP relay aus externem Netz OHNE Auth: NEIN

- SMTP relay aus externem Netz MIT Auth UND ist in NICHT Gruppe "sender-account-ok-fuer-extern-smtp-relay" : NEIN
- SMTP relay aus externem Netz MIT Auth UND ist in Gruppe "sender-account-ok-fuer-extern-smtp-relay" : JA

Vielen Dank für Tipps...
Christoph

Content-ID: 309105

Url: https://administrator.de/contentid/309105

Ausgedruckt am: 25.11.2024 um 19:11 Uhr

Sheogorath
Sheogorath 06.07.2016 um 16:35:04 Uhr
Goto Top
Moin,

in der Regel macht man das über die "mynets" und die 'relay restrictions' settings. die 'relay restrictions' sollten ja so oder so schon für den lokal Host richtig eingestellt sein. Nun musst du also nur deine lokalen Subnetze einfügen. auch wenn das nicht unbedingt empfohlen ist.

Gruß
Chris
christophh
christophh 06.07.2016 um 22:37:54 Uhr
Goto Top
Hallo,
ich glaube für mein Vorhaben reichen restrictions auf IP / Subnet Basis nicht aus.
Ich möchte ja erreichen, dass sich gewisse User von externen (Internet) IP´s per SASL mit Ihrem Mail Account Daten authentifizieren können, und so per SMTP Mails versenden können.
Andere User hingegen sollen von externen IP´s genau diese Möglichkeit nicht haben, sollen für die Authentifizierung abgewiesen werden, selbst mit an sich gültigen Anmeldedaten.
Sheogorath
Sheogorath 07.07.2016 um 12:33:11 Uhr
Goto Top
Moin,

Im Grunde schon. du musst nur noch den Query für deine Usererfassung anpassen, damit die Gruppenzugehörigkeit nicht als erlaubter Login heraus kommt. Hier kommt es nun darauf an, gegen was du die User authentifizierst. LDAP? MySQL? Was anderes?

Gruß
Chris