Postfix Lua, Annahme nur von einer IP

  • Hallo Zusammen,
    kann mir jemand erklären was ich in der custom.lua eintragen muss, damit Postfix nur von einer bestimmten IP Mails ohne Autentifizierung per SMTP annimmt. Ich möchte erreichen, dass keine Mail den Spamfilter umgehen kann.
    Trotz gesetztem MX sehe ich im Logfile, dass immer noch Mails direkt an den Mailserver ausgeliefert werden, wie das geht ist mir zwar ein Rätzel aber man sieht es im Logfile.

  • Mit ['mynetworks'] = ... alleine ist es ja nicht getan
    Ich möchte, das alle user sich anmelden können, also Autentifizierte SMTP Verbindungen möglich sind, aber alle nicht autentifizierten Zugriffe, also Lieferungen anderer Mailserver nicht möglich ist, ausser diese stehen in meinem Netzwerk unter bestimmten IPs.
    Ich hoffe es ist jetzt verständlicher.

  • Hallo Uwe,


    bei uns sieht das so aus:


    postfix.LOCALCONFIG = {
    ['smtpd_sender_restrictions'] = "hash:/etc/postfix/nosend, permit_mynetworks, reject_unknown_address,reject_unknown_sender_domain,reject_non_fqdn_sender,check_sender_access hash:/etc/postfix/sender_access";
    ['body_checks'] = "pcre:/etc/postfix/body_checks";
    ['header_checks'] = "pcre:/etc/postfix/header_checks";
    ['mime_header_checks'] = "regexp:/etc/postfix/mime_header_checks.regexp";
    ['authorized_mailq_users'] = "root, nrpe, nagios, $mail_owner";
    ['mynetworks'] = "127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128 x.x.x.x x.x.x.x x.x.x.x";


    }


    Gruß Ralf

  • Danke Ralf, aber leider ist damit mein Problem nicht gefunden. Bei Euch kann immer noch jeder Mailserver seine Mails ausliefern.
    Mein Problem ist, dass ich im MX eine andere IP drin stehen habe als der Mailserver hat, ich möchte dass die Mails auch wirklich an die MX IP geliefert werden, einige Spamserver umgehen dieses aber und suchen sich die IP des Webservers raus und senden einfach mal da hin, somit umgehne sie den Spamfilter, wenn Mail und Web auf dem gleichen Server liegen.

  • Also 1 System mit 2 IPs, auf IP 1 läuft MX und auf IP 2 läuft Web. Auch wenn man nun in LC die Listen IP des Mailservers nur auf IP 1 stellt nimmt der trotzdem auf IP 2 die Mails an? Wie wäre es einfach per iptables die Mailserver Ports betreffend Income Verbindungen für IP 2 zu blocken?

  • Man will mich nicht verstehen :(



    Server 1 = Spamfilter ----------|
    Server 2 = Spamfilter ----------|
    |
    Liveconfig Server soll von diesen jetzt Mails annehmen über SMTP Port 25 aber NUR von diesen Beiden Rechnern, er soll aber nicht User die User sperren die sich an Port 25 per SMTP autentifizieren.


    Geblockt werden sollen aber alle Mailserver die jetzt nicht an Server 1 oder Server 2 senden sondern direkt an den Liveconfig Server.
    Das ist mit IPTables leider nicht so einfach zu schaffen :(

  • Steht doch eigentlich alles in der Postfix-Dokumentation... ;)


    Wichtig ist hier die Einstellung smtpd_client_restrictions. Damit authentifizierte Benutzer zugelassen werden, sollte da permit_sasl_authenticated drin stehen.
    Wenn ansonsten nur noch Mails von einer anderen (bestimmten) IP erlaubt sind, ist die Einstellung check_client_access das Mittel der Wahl.
    Vollständig sähe das also etwa so aus:

    Code
    smtpd_client_restrictions =
      permit_mynetworks,
      permit_sasl_authenticated,
      check_client_access hash:/etc/postfix/allowed-ips,
      reject


    In die Datei /etc/postfix/allowed-ips gehören dann die erlaubten IP-Adressen:

    Code
    203.0.113.25 OK


    Danach noch den Befehl "postmap /etc/postfix/allowed-ips" ausführen.


    Um die o.g. Einstellung in die von LiveConfig verwaltete main.cf aufzunehmen, folgende Zeilen in die custom.lua hinzufügen:

    Code
    postfix.LOCALCONFIG = {
      ['smtpd_client_restrictions'] = "permit_mynetworks, permit_sasl_authenticated, check_client_access hash:/etc/postfix/allowed-ips, reject"
    }


    Verwendung auf eigenes Risiko, alle Angaben ohne Gewähr.

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!