[Postfix-br] Restringindo envio entre contas locais na porta 25
Bruno de Paula Larini
bruno.larini em riosoft.com.br
Quarta Janeiro 25 12:28:00 BRST 2017
Olá Rafael, obrigado pela resposta.
Com relação a políticas de envio ele já está funcionando da maneira
esperada: envio sem autenticação a partir de redes conhecidas, envio
autenticado obrigatório de outros lugares e negar uma entrega local caso
seja feito pela porta 25 de uma rede não conhecida utilizando uma conta
local como remetente.
O problema era a mensagem que retornava (Server configuration error) no
caso que mencionei, mas vi que o erro foi meu. Pensei que tinha
executado o comando "postmap", mas não tinha. Isso parece ser necessário
pois a diretiva especifica um arquivo junto a "hash:". Sendo assim, ele
espera ler um arquivo com o mesmo nome mas com ".db" no final, mas ele
não existia (daí a mensagem). Após executar o comando, a mensagem que
retorna é mais amigável: "Sender address rejected: Access denied".
Agora, o por que de ter funcionado mesmo sem o arquivo .db existir é uma
boa pergunta, hehe.
Obrigado!
Em 24/01/2017 18:02, Rafael Turazzi escreveu:
> Olá Bruno,
>
> Será que a opção de mynetworks não esta configurada com sua rede local e
> habilitado o envio sem autenticação? Pode ser isso.
>
> Basicamente nas minhas configurações, uso somente o localhost para envio
> sem autenticação, e demais, mesmo que de servidores (DMZ) ou LAN é
> obrigatória a autenticação.
>
> Pode colocar a saída do main.cf aqui?
>
> 2017-01-24 17:46 GMT-02:00 Bruno de Paula Larini <
> bruno.larini em riosoft.com.br>:
>
>> Olá a todos da lista.
>>
>> Enquanto fazia alguns testes em uma instalação com CentOS 7.3 + postfix
>> 2.10, vi que se eu realizasse um envio a partir de uma rede não confiável
>> utilizando no FROM qualquer conta válida e no TO outra conta válida, pela
>> porta 25 e sem autenticar o envio era bem sucedido, mas que não é o que eu
>> gostaria que acontecesse, já que em meu teste qualquer usuário válido
>> deveria se autenticar antes de enviar.
>>
>> Então pesquisei uma maneira de realizar essa restrição e encontrei o
>> seguinte:
>> - adicionar "check_sender_access hash:/etc/postfix/local_domains" a
>> smtpd_recipient_restrictions (depois de permit_mynetworks e de
>> permit_sasl_authenticated)
>> - adicionar "meu.dominio.com REJECT" ao arquivo /etc/postfix/local_domains
>> - executar "postmap /etc/postfix/local_domains" sempre que alterar esse
>> arquivo
>>
>> Com isso, consegui realizar a essa restrição de envio entre contas locais
>> na porta 25, enquanto que autenticando o envio é bem sucedido.
>> Porém um detalhe me incomodou: ao tentar realizar o envio entre contas
>> locais pela porta 25 sem autenticar, enquanto essa diretiva está
>> configurada, a mensagem registrada em log é: Sender address rejected:
>> Server configuration error;
>> A mensagem diz que o envio não foi aceito devido a um erro de configuração
>> no servidor, embora a ação de rejeitar é o que eu espero que aconteça.
>>
>> Sendo assim minha pergunta é: essa é a boa prática para realizar esse tipo
>> de restrição? Devo ignorar a mensagem que diz que há um erro na
>> configuração do servidor?
>>
>> Obrigado!
>>
>>
>> _______________________________________________
>> Postfix-br mailing list
>> Postfix-br em listas.softwarelivre.org
>> http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br
>>
More information about the Postfix-br
mailing list