[Comm] Настройка Postfix

[Прокопьев Евгений]

> Хороший пример такого конфига идет в пакете. Чем он не устраивает?
> Там есть все что вы описываете.

/etc/postfix/main.cf ? Он не решает моих задач.

> | 1. Закрывали релей. Я понимаю это следующим образом: если в mynetworks
> | написано только 127.0.0.1/32, то в почтовом клиенте, установленном
> | непосредственно на почтовом сервере, я могу указать в качестве SMTP
> | только 127.0.0.1 (или localhost), но не 192.168.1.1 (или myserver.ru). И
> 
> Можете! Евгений, вы запутались сами и путаете остальных. Подумайте,
> postfix это всего лишь MTA. Как он может запрещать приложениям
> обращаться к другим серверам сети? Если вы хотите запретить _локальным_
> пользователям использовать все smtp-сервера кроме локального то это
> настраивается только через firewall. Postfix к этому не имеет никакого
> отношения.

Вы неправильно меня поняли. От SMTP не требуется запрещать пользоваться 
другими SMTP. Есть очень простая ситуация: машина 192.168.1.1 
(myserver.ru), на ней настроен Postfix, у которого в mynetworks написано 
только 127.0.0.1/32. Я хочу всего лишь чтобы pine, настроенный на этой 
машине, мог отправлять почту через localhost, но не мог через 
myserver.ru (т.к. в mynetworks ничего об этом не сказано), другие SMTP 
меня не интересуют.

> | тем более должно быть запрещено пересылать через этот SMTP почту с
> | других машин, в том числе и такую, для которой этот SMTP является
> | получателем. Должены быть разрешены только отправка исходящей почты от
> | хостов, указанных в mynetworks, и прием входящей почты от внешних SMTP.
> 
> Это дефолтная настройка. Поставте тот конфиг который идет в пакете и
> попробуйте через telnet отправить письмо с адреса и на адрес не
> перечисленых как mydestination. Я на 100% уверен что у вас ничего не 
> выйдет.

Вы имели ввиду mynetworks? ОК, завтра покажу логи, но это я проверял 
поверхностно,
т.к. есть аналогичная проблема, описанная выше. Наверняка причина общая.

> | Из коробки на свежеустановленном Postfix это, к сожалению, не работает.
> | Я уже спрашивал об этом и мне предложили следующие решения:
> | а) relay_domains = $mydestination - по умолчанию эта строка
> | закомментирована, но раскомменирование ничего не меняет
> 
> Правильно. Это дефолтная настройка. Вы собственно ничего и не поменяли ;)
> 
> | б) smtpd_sender_restrictions = permit_networks, reject - этой строки по
> | умолчанию нет вообще, а если ее вписать, то вся входящая почта с
> | адресов, не указанных в mynetworks, отвергается - а мне надо
> | отказываться не от приема, а от пересылки чужой почты.
> 
> Да, это был суровый совет. ;) Здесь в конце всегда должен быть permit
> иначе получится то что вы получили.

А какой тогда смысл? Если не сработает первое правило, то сработает 
второе, и пройдут все письма. Тогда уж достаточно просто сказать pеrmit

> | 2. Другая задача - отказ от приема почты с адресов, перечисленных в
> | /etc/postfix/access. Согласно документации, достаточно вписать в
> | /etc/postfix/access john на myserver.ru REJECT и сделать postmap
> | /etc/postfix/access, а в /etc/postfix/main.cf указать
> | smtpd_client_restrictions = hash:/etc/postfix/access, permit и
> | перегрузить postfix.
> 
> Да, после этого с адреса john на myserver.ru вам письмо уже не пришлют.
> 
> |
> | Увы :( Для пользователя john на myserver.ru на машине myserver.ru настроен
> | pine, в котором в качестве SMTP указан myserver.ru, но ни первая, ни
> | вторая задача не решаются, и этот пользователь спокойно посылает письма
> | всем прочим.
> 
> man iptables

При чем тут это? "в качестве SMTP указан myserver.ru" - вот ключевая 
фраза. Меня волнует поведение моего SMTP. Пользователь волен указать 
другой, и тогда меня перестает волновать поведение его писем.

> | Буду очень признателен всем, кто поможет мне разобраться.
> |
> | Да, и еще: можно ли запустить Postfix с пустым main.cf, а затем
> | добавлять те параметры, которые мне нужны? Какие параметры указывать
> | обязательно, а какие имеют разумные настройки по умолчанию?
> 
> Мне бы такое даже в голову не пришло. Теоретически такое возможно
> поскольку все параметры имеют дефолтное значение. Попробуйте потом
> расскажете что у вас получилось.

-- 
С уважением, Прокопьев Евгений