[Comm] Настройка Postfix

[Igor Muratov]

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Прокопьев Евгений пишет:
| Здравствуйте!
|
| Прошу прощения у всех, кого я достал своими вопросами по Postfix,
| но я зачитал документацию уже до дыр :(
|
| Пожалуйста, поделитесь набором _работающих_ конфигов Postfix,
| которые бы решали следующие задачи:

Хороший пример такого конфига идет в пакете. Чем он не устраивает?
Там есть все что вы описываете.

|
| 1. Закрывали релей. Я понимаю это следующим образом: если в mynetworks
| написано только 127.0.0.1/32, то в почтовом клиенте, установленном
| непосредственно на почтовом сервере, я могу указать в качестве SMTP
| только 127.0.0.1 (или localhost), но не 192.168.1.1 (или myserver.ru). И

Можете! Евгений, вы запутались сами и путаете остальных. Подумайте,
postfix это всего лишь MTA. Как он может запрещать приложениям
обращаться к другим серверам сети? Если вы хотите запретить _локальным_
пользователям использовать все smtp-сервера кроме локального то это
настраивается только через firewall. Postfix к этому не имеет никакого
отношения.

| тем более должно быть запрещено пересылать через этот SMTP почту с
| других машин, в том числе и такую, для которой этот SMTP является
| получателем. Должены быть разрешены только отправка исходящей почты от
| хостов, указанных в mynetworks, и прием входящей почты от внешних SMTP.

Это дефолтная настройка. Поставте тот конфиг который идет в пакете и
попробуйте через telnet отправить письмо с адреса и на адрес не
перечисленых как mydestination. Я на 100% уверен что у вас ничего не выйдет.

|
| Из коробки на свежеустановленном Postfix это, к сожалению, не работает.
| Я уже спрашивал об этом и мне предложили следующие решения:
| а) relay_domains = $mydestination - по умолчанию эта строка
| закомментирована, но раскомменирование ничего не меняет

Правильно. Это дефолтная настройка. Вы собственно ничего и не поменяли ;)

| б) smtpd_sender_restrictions = permit_networks, reject - этой строки по
| умолчанию нет вообще, а если ее вписать, то вся входящая почта с
| адресов, не указанных в mynetworks, отвергается - а мне надо
| отказываться не от приема, а от пересылки чужой почты.

Да, это был суровый совет. ;) Здесь в конце всегда должен быть permit
иначе получится то что вы получили.

|
| 2. Другая задача - отказ от приема почты с адресов, перечисленных в
| /etc/postfix/access. Согласно документации, достаточно вписать в
| /etc/postfix/access john на myserver.ru REJECT и сделать postmap
| /etc/postfix/access, а в /etc/postfix/main.cf указать
| smtpd_client_restrictions = hash:/etc/postfix/access, permit и
| перегрузить postfix.

Да, после этого с адреса john на myserver.ru вам письмо уже не пришлют.

|
| Увы :( Для пользователя john на myserver.ru на машине myserver.ru настроен
| pine, в котором в качестве SMTP указан myserver.ru, но ни первая, ни
| вторая задача не решаются, и этот пользователь спокойно посылает письма
| всем прочим.

man iptables

|
| Буду очень признателен всем, кто поможет мне разобраться.
|
| Да, и еще: можно ли запустить Postfix с пустым main.cf, а затем
| добавлять те параметры, которые мне нужны? Какие параметры указывать
| обязательно, а какие имеют разумные настройки по умолчанию?

Мне бы такое даже в голову не пришло. Теоретически такое возможно
поскольку все параметры имеют дефолтное значение. Попробуйте потом
расскажете что у вас получилось.

|
|


- --
With best regards                    System administrator
Igor Muratov                         mailto:migor at altlinux.ru
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.1 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org

iD8DBQE+pSHNqjgjB/MK76QRAk9dAKCrA43VWWc3xw/7Gu9E0r8YDxLOOgCbBDFf
36HpM4yPvLs0W6u4aB7DPqM=
=Ck1D
-----END PGP SIGNATURE-----