[Postfix-br] Restringindo envio entre contas locais na porta 25

[Rafael Turazzi]

Olá Bruno.
Perfeito.
Abraços.

2017-01-25 12:28 GMT-02:00 Bruno de Paula Larini <
bruno.larini at riosoft.com.br>:

> Olá Rafael, obrigado pela resposta.
> Com relação a políticas de envio ele já está funcionando da maneira
> esperada: envio sem autenticação a partir de redes conhecidas, envio
> autenticado obrigatório de outros lugares e negar uma entrega local caso
> seja feito pela porta 25 de uma rede não conhecida utilizando uma conta
> local como remetente.
>
> O problema era a mensagem que retornava (Server configuration error) no
> caso que mencionei, mas vi que o erro foi meu. Pensei que tinha executado o
> comando "postmap", mas não tinha. Isso parece ser necessário pois a
> diretiva especifica um arquivo junto a "hash:". Sendo assim, ele espera ler
> um arquivo com o mesmo nome mas com ".db" no final, mas ele não existia
> (daí a mensagem). Após executar o comando, a mensagem que retorna é mais
> amigável: "Sender address rejected: Access denied".
>
> Agora, o por que de ter funcionado mesmo sem o arquivo .db existir é uma
> boa pergunta, hehe.
>
> Obrigado!
>
>
>
> Em 24/01/2017 18:02, Rafael Turazzi escreveu:
>
>> Olá Bruno,
>>
>> Será que a opção de mynetworks não esta configurada com sua rede local e
>> habilitado o envio sem autenticação? Pode ser isso.
>>
>> Basicamente nas minhas configurações, uso somente o localhost para envio
>> sem autenticação, e demais, mesmo que de servidores (DMZ) ou LAN é
>> obrigatória a autenticação.
>>
>> Pode colocar a saída do main.cf aqui?
>>
>> 2017-01-24 17:46 GMT-02:00 Bruno de Paula Larini <
>> bruno.larini at riosoft.com.br>:
>>
>> Olá a todos da lista.
>>>
>>> Enquanto fazia alguns testes em uma instalação com CentOS 7.3 + postfix
>>> 2.10, vi que se eu realizasse um envio a partir de uma rede não confiável
>>> utilizando no FROM qualquer conta válida e no TO outra conta válida, pela
>>> porta 25 e sem autenticar o envio era bem sucedido, mas que não é o que
>>> eu
>>> gostaria que acontecesse, já que em meu teste qualquer usuário válido
>>> deveria se autenticar antes de enviar.
>>>
>>> Então pesquisei uma maneira de realizar essa restrição e encontrei o
>>> seguinte:
>>> - adicionar "check_sender_access hash:/etc/postfix/local_domains" a
>>> smtpd_recipient_restrictions (depois de permit_mynetworks e de
>>> permit_sasl_authenticated)
>>> - adicionar "meu.dominio.com REJECT" ao arquivo
>>> /etc/postfix/local_domains
>>> - executar "postmap /etc/postfix/local_domains" sempre que alterar esse
>>> arquivo
>>>
>>> Com isso, consegui realizar a essa restrição de envio entre contas locais
>>> na porta 25, enquanto que autenticando o envio é bem sucedido.
>>> Porém um detalhe me incomodou: ao tentar realizar o envio entre contas
>>> locais pela porta 25 sem autenticar, enquanto essa diretiva está
>>> configurada, a mensagem registrada em log é: Sender address rejected:
>>> Server configuration error;
>>> A mensagem diz que o envio não foi aceito devido a um erro de
>>> configuração
>>> no servidor, embora a ação de rejeitar é o que eu espero que aconteça.
>>>
>>> Sendo assim minha pergunta é: essa é a boa prática para realizar esse
>>> tipo
>>> de restrição? Devo ignorar a mensagem que diz que há um erro na
>>> configuração do servidor?
>>>
>>> Obrigado!
>>>
>>>
>>> _______________________________________________
>>> Postfix-br mailing list
>>> Postfix-br at listas.softwarelivre.org
>>> http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br
>>>
>>> _______________________________________________
> Postfix-br mailing list
> Postfix-br at listas.softwarelivre.org
> http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br
>



-- 
-----
Rafael Turazzi Moreira
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://listas.softwarelivre.org/pipermail/postfix-br/attachments/20170125/8c7e009f/attachment.html>