[mdk-re] Postfix-Open-Relay-HOWTO ;)

Пн Янв 21 11:13:13 MSK 2002

Здравствуйте, cornet.
Вы писали 21 января 2002 г., 4:06:34:

c> Mikhail Zabaluev wrote:
>> 
c> skip.
>> > #SASL
>> > smtpd_sasl_auth_enable = yes
>> > smtp_sasl_password_maps = hash:/etc/sasldb
>> > broken_sasl_auth_clients = yes
>> > smtpd_sasl_security_options = noanonymous
>> > smtpd_client_restrictions = permit_sasl_authenticated, reject
>> 
>> Ага, вот оно. А если написать:
>> 
>> smtpd_client_restrictions = permit
>> 
>> получим open relay?

c> Нет :-)) Все равно не пущает если в mynetworks не прописан хост.

c> Мнда, меня другое интересует - как только прописал 
c> smtpd_client_restrictions = permit_sasl_authenticated, reject
c> то сразу заработала авторизация, НО почтовик одновременно
c> перестал и принимать почту снаружи!!
c> Он отшивает внешние smtp сервера, пытаюшиеся прислать письмо на
c> его собственных юзеров. Точно так же, как и отшивает
c> неавторизовавшихся юзеров, посылающих письмо а бы куда. Во, блин
c> :-(

c> Я не понимаю, почему в такой ситуации по всей логике поведения
c> получается, что человек с мыльницей, посылающий чего то куда то
c> и внешний smtp сервер, посылающий письмо на существующий адрес
c> данного сервера обрабатываются данным сервером по одним и тем же
c> правилам - требует авторизации. И то и другое воспринимается как
c> smtpd_client что , ИМХО, странно.

Вы  совершенно правы. SMTP не знает кто вы, сервер пересылающий почту или просто
клиент.  Это  такое  устройство  протокола.  Вообще  есть хорошая книга "Система
электронной  почты на основе Linux". Настроек там на самом деле не много, а вот
протоколы  описаны  доступно,  для  человека  начинающегося  интересоваться этой
темой.

А  вы  никогда  не  задумывались,  почему  почти  все  провайдеры  не  разрешают
отправлять почту если IP адрес не входит в их сеть?

Думаю,  что  вопрос с отправкой почты откуда хочешь и ее получением можно решать
только  двумя  почтовыми  серверами.  Один  сервер  отправляет  почту, пользуясь
авторизацией,  а  второй  только  принимает  на локальные адреса. Думаю, что это
самый безопасный способ.

Вообще я читал документацию по SASL там кажется возможен вариант с приемом писем
локальным  пользователям,  но  отшивание  остальных если не ввел пароль. То есть
почти  как  два  сервера.  Но  пробовать не стал. Отправлять почту откуда хочешь
требуется  не  часто.  А рисковать безопасностью из за этого решил что не стоит.
Я сделал проще, если кому надо отправить почту откуда то но через мой сервер, то
можно  поступить двумя способами. Первый, простенький web интерфейсик. А второй,
просто  надо  зайти  на  определенную страницу через пароль, как только заходите
скрипт  записывает  ваш  IP в базу данных postfix, и в течении какого то времени
можно  спокойно  отправлять  почту.  Потом  эти  IP-шники  через некоторое время
убираются.  А если записывать IP адрес например с маской 255.255.0.0, то в таком
случае  сразу  станут доступны все IP этого провайдера, скорее всего :). А через
часик  или  денек эту строку стереть. За это время спамеры особо раскрутиться не
успеют. Слишком мала вероятность. Ну а если даже успеют, то не на долго, так что
вреда особого не будет.

-- 
С уважением,
 Maxim                          mailto:max_conf на e-foto.ru