PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Postfix mit beschränktem Zugriff konfigurieren



svesch
31.07.07, 14:21
Hallo,

ich habe einen Server mit SLES 10 am Laufen. Dieser soll als Mail-Relayserver dienen, auf den nur bestimmte Server/Anwendungen Zugriff haben sollen.
Mein erster Test war das Freischalten von einigen Netzwerksegmenten durch den Parameter

mynetworks = 192.168.2.0/24, 10.100.111.0/24

Dies funktionierte auch nur sollte das Ganze ja nicht auf Segmentebene freigeschaltet werden, sondern schon auf Host-/IP-Ebene, sprich explizit zu sagen, die 5 dürfen, der Rest nicht.
Hierfür hab ich analog zum Beispiel in den man-Pages zum Thema access eine Hash-Tabelle angelegt:

10.100.111.10 OK
10.100.111.13 OK

Anschließend führte ich postmap /etc/postfix/mailers aus und veränderte ich den Parameter
smtpd_client_restrictions = check_client_access hash:/etc/postfix/mailers

Danach wurde postfix neu gestartet mit dem Ergebnis, dass niemand mehr eine Verbindung zu dem Server auf Porst 25 aufbauen konnte. Es kommt dann immer ein "connection refused".

Ich seh wohl vor lauter Config und Doku lesen den Fehler nicht oder habe ich einen Denkfehler eingebaut? :confused:

Hier folgend nun meine Config-Dateien fürs Postfix. Wäre nett, wenn mir jemand helfen könnte oder die richtigen Fragen stellen könnte.

main.cf (ohne Kommentare)

debug_peer_level = 2
debugger_command =
PATH=/bin:/usr/bin:/usr/local/bin:/usr/X11R6/bin
xxgdb $daemon_directory/$process_name $process_id & sleep 5

sendmail_path = /usr/sbin/sendmail
newaliases_path = /usr/bin/newaliases
mailq_path = /usr/bin/mailq
setgid_group = maildrop
html_directory = /usr/share/doc/packages/postfix/html
manpage_directory = /usr/share/man
sample_directory = /usr/share/doc/packages/postfix/samples
readme_directory = /usr/share/doc/packages/postfix/README_FILES
inet_protocols = all
biff = no
mail_spool_directory = /var/mail
canonical_maps = hash:/etc/postfix/canonical
virtual_alias_maps = hash:/etc/postfix/virtual
virtual_alias_domains = hash:/etc/postfix/virtual
relocated_maps = hash:/etc/postfix/relocated
transport_maps = hash:/etc/postfix/transport
sender_canonical_maps = hash:/etc/postfix/sender_canonical
masquerade_exceptions = root
masquerade_classes = envelope_sender, header_sender, header_recipient
myhostname = g99la004
program_directory = /usr/lib/postfix
inet_interfaces = all
masquerade_domains =
mydestination = $mydomain
defer_transports =
mynetworks = 192.168.2.0/24, 10.100.111.0/24
disable_dns_lookups = yes
relayhost = [relayhost]
relay_domains = $mydomain, domain1.de, domain2.de, domain3.de
mailbox_command =
mailbox_transport =
strict_8bitmime = no
disable_mime_output_conversion = yes
smtpd_sender_restrictions = hash:/etc/postfix/access
smtpd_client_restrictions = check_client_access hash:/etc/postfix/mailers,reject_unknown_client
smtpd_banner = $myhostname - The new SMTP Cluster - powered by $mail_name
smtpd_helo_required = yes
smtpd_helo_restrictions =
strict_rfc821_envelopes = no
smtpd_recipient_restrictions = permit_mynetworks,reject_unauth_destination
smtp_sasl_auth_enable = no
smtpd_sasl_auth_enable = no
smtpd_use_tls = no
smtp_use_tls = no
alias_maps = hash:/etc/aliases
mailbox_size_limit = 0
message_size_limit = 10240000


Ausgabe vom Kommando postconf -n



alias_maps = hash:/etc/aliases
biff = no
canonical_maps = hash:/etc/postfix/canonical
command_directory = /usr/sbin
config_directory = /etc/postfix
daemon_directory = /usr/lib/postfix
debug_peer_level = 2
defer_transports =
disable_dns_lookups = yes
disable_mime_output_conversion = yes
html_directory = /usr/share/doc/packages/postfix/html
inet_interfaces = all
inet_protocols = all
mail_owner = postfix
mail_spool_directory = /var/mail
mailbox_command =
mailbox_size_limit = 0
mailbox_transport =
mailq_path = /usr/bin/mailq
manpage_directory = /usr/share/man
masquerade_classes = envelope_sender, header_sender, header_recipient
masquerade_domains =
masquerade_exceptions = root
message_size_limit = 10240000
mydestination = $mydomain
myhostname = g99la004
mynetworks = 192.168.2.0/24, 10.100.111.0/24
newaliases_path = /usr/bin/newaliases
queue_directory = /var/spool/postfix
readme_directory = /usr/share/doc/packages/postfix/README_FILES
relay_domains = $mydomain, domain1.de, domain2.de, domain3.de
relayhost = [relayhost]
relocated_maps = hash:/etc/postfix/relocated
sample_directory = /usr/share/doc/packages/postfix/samples
sender_canonical_maps = hash:/etc/postfix/sender_canonical
sendmail_path = /usr/sbin/sendmail
setgid_group = maildrop
smtp_sasl_auth_enable = no
smtp_use_tls = no
smtpd_banner = $myhostname - The new SMTP Cluster - powered by $mail_name
smtpd_client_restrictions = check_client_access hash:/etc/postfix/mailers,reject_unknown_client
smtpd_helo_required = yes
smtpd_helo_restrictions =
smtpd_recipient_restrictions = permit_mynetworks,reject_unauth_destination
smtpd_sasl_auth_enable = no
smtpd_sender_restrictions = hash:/etc/postfix/access
smtpd_use_tls = no
strict_8bitmime = no
strict_rfc821_envelopes = no
transport_maps = hash:/etc/postfix/transport
unknown_local_recipient_reject_code = 550
virtual_alias_domains = hash:/etc/postfix/virtual
virtual_alias_maps = hash:/etc/postfix/virt



Ohne meine ACL/Hashtabelle und das check_client_access funkioniert das Relayen von Mails, doch da dies an sich keine Zugriffsbeschränkung darstellt, brauch ich nun Hilfe :(
Wäre nett, wenn jemand nen Rat hätte. Danke im Vorraus.

Grüße