* [Comm] Настройка Postfix @ 2003-04-22 5:14 Прокопьев Евгений 2003-04-22 11:04 ` Igor Muratov 0 siblings, 1 reply; 12+ messages in thread From: Прокопьев Евгений @ 2003-04-22 5:14 UTC (permalink / raw) To: community Здравствуйте! Прошу прощения у всех, кого я достал своими вопросами по Postfix, но я зачитал документацию уже до дыр :( Пожалуйста, поделитесь набором _работающих_ конфигов Postfix, которые бы решали следующие задачи: 1. Закрывали релей. Я понимаю это следующим образом: если в mynetworks написано только 127.0.0.1/32, то в почтовом клиенте, установленном непосредственно на почтовом сервере, я могу указать в качестве SMTP только 127.0.0.1 (или localhost), но не 192.168.1.1 (или myserver.ru). И тем более должно быть запрещено пересылать через этот SMTP почту с других машин, в том числе и такую, для которой этот SMTP является получателем. Должены быть разрешены только отправка исходящей почты от хостов, указанных в mynetworks, и прием входящей почты от внешних SMTP. Из коробки на свежеустановленном Postfix это, к сожалению, не работает. Я уже спрашивал об этом и мне предложили следующие решения: а) relay_domains = $mydestination - по умолчанию эта строка закомментирована, но раскомменирование ничего не меняет б) smtpd_sender_restrictions = permit_networks, reject - этой строки по умолчанию нет вообще, а если ее вписать, то вся входящая почта с адресов, не указанных в mynetworks, отвергается - а мне надо отказываться не от приема, а от пересылки чужой почты. 2. Другая задача - отказ от приема почты с адресов, перечисленных в /etc/postfix/access. Согласно документации, достаточно вписать в /etc/postfix/access john@myserver.ru REJECT и сделать postmap /etc/postfix/access, а в /etc/postfix/main.cf указать smtpd_client_restrictions = hash:/etc/postfix/access, permit и перегрузить postfix. Увы :( Для пользователя john@myserver.ru на машине myserver.ru настроен pine, в котором в качестве SMTP указан myserver.ru, но ни первая, ни вторая задача не решаются, и этот пользователь спокойно посылает письма всем прочим. Буду очень признателен всем, кто поможет мне разобраться. Да, и еще: можно ли запустить Postfix с пустым main.cf, а затем добавлять те параметры, которые мне нужны? Какие параметры указывать обязательно, а какие имеют разумные настройки по умолчанию? -- С уважением, Прокопьев Евгений ^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Comm] Настройка Postfix 2003-04-22 5:14 [Comm] Настройка Postfix Прокопьев Евгений @ 2003-04-22 11:04 ` Igor Muratov 2003-04-22 11:40 ` Епифанов Сергей 2003-04-22 12:55 ` Прокопьев Евгений 0 siblings, 2 replies; 12+ messages in thread From: Igor Muratov @ 2003-04-22 11:04 UTC (permalink / raw) To: community -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Прокопьев Евгений пишет: | Здравствуйте! | | Прошу прощения у всех, кого я достал своими вопросами по Postfix, | но я зачитал документацию уже до дыр :( | | Пожалуйста, поделитесь набором _работающих_ конфигов Postfix, | которые бы решали следующие задачи: Хороший пример такого конфига идет в пакете. Чем он не устраивает? Там есть все что вы описываете. | | 1. Закрывали релей. Я понимаю это следующим образом: если в mynetworks | написано только 127.0.0.1/32, то в почтовом клиенте, установленном | непосредственно на почтовом сервере, я могу указать в качестве SMTP | только 127.0.0.1 (или localhost), но не 192.168.1.1 (или myserver.ru). И Можете! Евгений, вы запутались сами и путаете остальных. Подумайте, postfix это всего лишь MTA. Как он может запрещать приложениям обращаться к другим серверам сети? Если вы хотите запретить _локальным_ пользователям использовать все smtp-сервера кроме локального то это настраивается только через firewall. Postfix к этому не имеет никакого отношения. | тем более должно быть запрещено пересылать через этот SMTP почту с | других машин, в том числе и такую, для которой этот SMTP является | получателем. Должены быть разрешены только отправка исходящей почты от | хостов, указанных в mynetworks, и прием входящей почты от внешних SMTP. Это дефолтная настройка. Поставте тот конфиг который идет в пакете и попробуйте через telnet отправить письмо с адреса и на адрес не перечисленых как mydestination. Я на 100% уверен что у вас ничего не выйдет. | | Из коробки на свежеустановленном Postfix это, к сожалению, не работает. | Я уже спрашивал об этом и мне предложили следующие решения: | а) relay_domains = $mydestination - по умолчанию эта строка | закомментирована, но раскомменирование ничего не меняет Правильно. Это дефолтная настройка. Вы собственно ничего и не поменяли ;) | б) smtpd_sender_restrictions = permit_networks, reject - этой строки по | умолчанию нет вообще, а если ее вписать, то вся входящая почта с | адресов, не указанных в mynetworks, отвергается - а мне надо | отказываться не от приема, а от пересылки чужой почты. Да, это был суровый совет. ;) Здесь в конце всегда должен быть permit иначе получится то что вы получили. | | 2. Другая задача - отказ от приема почты с адресов, перечисленных в | /etc/postfix/access. Согласно документации, достаточно вписать в | /etc/postfix/access john@myserver.ru REJECT и сделать postmap | /etc/postfix/access, а в /etc/postfix/main.cf указать | smtpd_client_restrictions = hash:/etc/postfix/access, permit и | перегрузить postfix. Да, после этого с адреса john@myserver.ru вам письмо уже не пришлют. | | Увы :( Для пользователя john@myserver.ru на машине myserver.ru настроен | pine, в котором в качестве SMTP указан myserver.ru, но ни первая, ни | вторая задача не решаются, и этот пользователь спокойно посылает письма | всем прочим. man iptables | | Буду очень признателен всем, кто поможет мне разобраться. | | Да, и еще: можно ли запустить Postfix с пустым main.cf, а затем | добавлять те параметры, которые мне нужны? Какие параметры указывать | обязательно, а какие имеют разумные настройки по умолчанию? Мне бы такое даже в голову не пришло. Теоретически такое возможно поскольку все параметры имеют дефолтное значение. Попробуйте потом расскажете что у вас получилось. | | - -- With best regards System administrator Igor Muratov mailto:migor at altlinux.ru -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.1 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQE+pSHNqjgjB/MK76QRAk9dAKCrA43VWWc3xw/7Gu9E0r8YDxLOOgCbBDFf 36HpM4yPvLs0W6u4aB7DPqM= =Ck1D -----END PGP SIGNATURE----- ^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Comm] Настройка Postfix 2003-04-22 11:04 ` Igor Muratov @ 2003-04-22 11:40 ` Епифанов Сергей 2003-04-22 12:55 ` Прокопьев Евгений 1 sibling, 0 replies; 12+ messages in thread From: Епифанов Сергей @ 2003-04-22 11:40 UTC (permalink / raw) To: community В сообщении от 22 Апрель 2003 15:04 Igor Muratov написал: > Прокопьев Евгений пишет: > | Здравствуйте! > | > | Прошу прощения у всех, кого я достал своими вопросами по > | Postfix, но я зачитал документацию уже до дыр :( > | > | Пожалуйста, поделитесь набором _работающих_ конфигов > | Postfix, которые бы решали следующие задачи: > > Хороший пример такого конфига идет в пакете. Чем он не > устраивает? Там есть все что вы описываете. > > | 1. Закрывали релей. Я понимаю это следующим образом: если в > | mynetworks написано только 127.0.0.1/32, то в почтовом > | клиенте, установленном непосредственно на почтовом сервере, > | я могу указать в качестве SMTP только 127.0.0.1 (или > | localhost), но не 192.168.1.1 (или myserver.ru). И Попробуйте в main.cf smtpd_client_restrictions = permit smtpd_sender_restrictions = permit_mynetworks, permit_auth_destination, reject smtpd_recipient_restrictions = permit_mynetworks, permit_auth_destination, reject У меня при этом спокойно принимается почта на локальный сервер, а релей работает только если отправлять. -- С уважением, Епифанов Сергей ^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Comm] Настройка Postfix 2003-04-22 11:04 ` Igor Muratov 2003-04-22 11:40 ` Епифанов Сергей @ 2003-04-22 12:55 ` Прокопьев Евгений 2003-04-22 13:46 ` [Comm] " Evgeni Kobzev 2003-04-22 14:01 ` Igor Muratov 1 sibling, 2 replies; 12+ messages in thread From: Прокопьев Евгений @ 2003-04-22 12:55 UTC (permalink / raw) To: community > Хороший пример такого конфига идет в пакете. Чем он не устраивает? > Там есть все что вы описываете. /etc/postfix/main.cf ? Он не решает моих задач. > | 1. Закрывали релей. Я понимаю это следующим образом: если в mynetworks > | написано только 127.0.0.1/32, то в почтовом клиенте, установленном > | непосредственно на почтовом сервере, я могу указать в качестве SMTP > | только 127.0.0.1 (или localhost), но не 192.168.1.1 (или myserver.ru). И > > Можете! Евгений, вы запутались сами и путаете остальных. Подумайте, > postfix это всего лишь MTA. Как он может запрещать приложениям > обращаться к другим серверам сети? Если вы хотите запретить _локальным_ > пользователям использовать все smtp-сервера кроме локального то это > настраивается только через firewall. Postfix к этому не имеет никакого > отношения. Вы неправильно меня поняли. От SMTP не требуется запрещать пользоваться другими SMTP. Есть очень простая ситуация: машина 192.168.1.1 (myserver.ru), на ней настроен Postfix, у которого в mynetworks написано только 127.0.0.1/32. Я хочу всего лишь чтобы pine, настроенный на этой машине, мог отправлять почту через localhost, но не мог через myserver.ru (т.к. в mynetworks ничего об этом не сказано), другие SMTP меня не интересуют. > | тем более должно быть запрещено пересылать через этот SMTP почту с > | других машин, в том числе и такую, для которой этот SMTP является > | получателем. Должены быть разрешены только отправка исходящей почты от > | хостов, указанных в mynetworks, и прием входящей почты от внешних SMTP. > > Это дефолтная настройка. Поставте тот конфиг который идет в пакете и > попробуйте через telnet отправить письмо с адреса и на адрес не > перечисленых как mydestination. Я на 100% уверен что у вас ничего не > выйдет. Вы имели ввиду mynetworks? ОК, завтра покажу логи, но это я проверял поверхностно, т.к. есть аналогичная проблема, описанная выше. Наверняка причина общая. > | Из коробки на свежеустановленном Postfix это, к сожалению, не работает. > | Я уже спрашивал об этом и мне предложили следующие решения: > | а) relay_domains = $mydestination - по умолчанию эта строка > | закомментирована, но раскомменирование ничего не меняет > > Правильно. Это дефолтная настройка. Вы собственно ничего и не поменяли ;) > > | б) smtpd_sender_restrictions = permit_networks, reject - этой строки по > | умолчанию нет вообще, а если ее вписать, то вся входящая почта с > | адресов, не указанных в mynetworks, отвергается - а мне надо > | отказываться не от приема, а от пересылки чужой почты. > > Да, это был суровый совет. ;) Здесь в конце всегда должен быть permit > иначе получится то что вы получили. А какой тогда смысл? Если не сработает первое правило, то сработает второе, и пройдут все письма. Тогда уж достаточно просто сказать pеrmit > | 2. Другая задача - отказ от приема почты с адресов, перечисленных в > | /etc/postfix/access. Согласно документации, достаточно вписать в > | /etc/postfix/access john@myserver.ru REJECT и сделать postmap > | /etc/postfix/access, а в /etc/postfix/main.cf указать > | smtpd_client_restrictions = hash:/etc/postfix/access, permit и > | перегрузить postfix. > > Да, после этого с адреса john@myserver.ru вам письмо уже не пришлют. > > | > | Увы :( Для пользователя john@myserver.ru на машине myserver.ru настроен > | pine, в котором в качестве SMTP указан myserver.ru, но ни первая, ни > | вторая задача не решаются, и этот пользователь спокойно посылает письма > | всем прочим. > > man iptables При чем тут это? "в качестве SMTP указан myserver.ru" - вот ключевая фраза. Меня волнует поведение моего SMTP. Пользователь волен указать другой, и тогда меня перестает волновать поведение его писем. > | Буду очень признателен всем, кто поможет мне разобраться. > | > | Да, и еще: можно ли запустить Postfix с пустым main.cf, а затем > | добавлять те параметры, которые мне нужны? Какие параметры указывать > | обязательно, а какие имеют разумные настройки по умолчанию? > > Мне бы такое даже в голову не пришло. Теоретически такое возможно > поскольку все параметры имеют дефолтное значение. Попробуйте потом > расскажете что у вас получилось. -- С уважением, Прокопьев Евгений ^ permalink raw reply [flat|nested] 12+ messages in thread
* [Comm] Re: [Comm] Настройка Postfix 2003-04-22 12:55 ` Прокопьев Евгений @ 2003-04-22 13:46 ` Evgeni Kobzev 2003-04-22 14:19 ` Igor Muratov 2003-04-22 14:01 ` Igor Muratov 1 sibling, 1 reply; 12+ messages in thread From: Evgeni Kobzev @ 2003-04-22 13:46 UTC (permalink / raw) To: community ----- Исходное сообщение ----- От: "Прокопьев Евгений" <john@rmts.donpac.ru> Кому: <community@altlinux.ru> Отправлено: 22 апреля 2003 г. 16:55 Тема: Re: [Comm] Настройка Postfix > > | 1. Закрывали релей. Я понимаю это следующим образом: если в mynetworks > > | написано только 127.0.0.1/32, то в почтовом клиенте, установленном > > | непосредственно на почтовом сервере, я могу указать в качестве SMTP > > | только 127.0.0.1 (или localhost), но не 192.168.1.1 (или myserver.ru). И > > > > Можете! Евгений, вы запутались сами и путаете остальных. Подумайте, > > postfix это всего лишь MTA. Как он может запрещать приложениям > > обращаться к другим серверам сети? Если вы хотите запретить _локальным_ > > пользователям использовать все smtp-сервера кроме локального то это > > настраивается только через firewall. Postfix к этому не имеет никакого > > отношения. > > Вы неправильно меня поняли. От SMTP не требуется запрещать пользоваться > другими SMTP. Есть очень простая ситуация: машина 192.168.1.1 > (myserver.ru), на ней настроен Postfix, у которого в mynetworks написано > только 127.0.0.1/32. Я хочу всего лишь чтобы pine, настроенный на этой > машине, мог отправлять почту через localhost, но не мог через > myserver.ru (т.к. в mynetworks ничего об этом не сказано), другие SMTP > меня не интересуют. В Вашем случае pine вообще не использует сетевое соединение. 192.168.1.1 = 127.0.0.1 соответственно коннект идет через pickup а не через smtpd Посмотрите в логи postfix - многое прояснится. Сумбурно немного, но надеюсь поймете. Только я не понял зачем такие извраты? Или вам нужно чтобы postfix не слушал на 192.168.1.1 а слушал только на 127.0.0.1? Или слышал всех кроме самого себя? Он самого себя на 192.168.1.1 и так не слышит. Какова конечная цель телодвижений? Если не секрет конечно :) ^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Comm] Re: [Comm] Настройка Postfix 2003-04-22 13:46 ` [Comm] " Evgeni Kobzev @ 2003-04-22 14:19 ` Igor Muratov 2003-04-23 4:37 ` Прокопьев Евгений 2003-04-24 8:09 ` Igor Muratov 0 siblings, 2 replies; 12+ messages in thread From: Igor Muratov @ 2003-04-22 14:19 UTC (permalink / raw) To: community -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Evgeni Kobzev пишет: | ----- Исходное сообщение ----- | От: "Прокопьев Евгений" <john@rmts.donpac.ru> | Кому: <community@altlinux.ru> | Отправлено: 22 апреля 2003 г. 16:55 | Тема: Re: [Comm] Настройка Postfix | | | |>>| 1. Закрывали релей. Я понимаю это следующим образом: если в mynetworks |>>| написано только 127.0.0.1/32, то в почтовом клиенте, установленном |>>| непосредственно на почтовом сервере, я могу указать в качестве SMTP |>>| только 127.0.0.1 (или localhost), но не 192.168.1.1 (или myserver.ru). | | И | |>>Можете! Евгений, вы запутались сами и путаете остальных. Подумайте, |>>postfix это всего лишь MTA. Как он может запрещать приложениям |>>обращаться к другим серверам сети? Если вы хотите запретить _локальным_ |>>пользователям использовать все smtp-сервера кроме локального то это |>>настраивается только через firewall. Postfix к этому не имеет никакого |>>отношения. |> |>Вы неправильно меня поняли. От SMTP не требуется запрещать пользоваться |>другими SMTP. Есть очень простая ситуация: машина 192.168.1.1 |>(myserver.ru), на ней настроен Postfix, у которого в mynetworks написано |>только 127.0.0.1/32. Я хочу всего лишь чтобы pine, настроенный на этой |>машине, мог отправлять почту через localhost, но не мог через |>myserver.ru (т.к. в mynetworks ничего об этом не сказано), другие SMTP |>меня не интересуют. | | | В Вашем случае pine вообще не использует сетевое соединение. | 192.168.1.1 = 127.0.0.1 соответственно коннект идет через pickup а не через | smtpd Вовсе нет. Это разные интерфейсы и разные адреса. Соединение пойдет именно через smtpd. Не будет использоваться сетевая карта но для postfix это все равно будет выглядеть как соединение с 192.168.1.1 на 192.168.1.1 | Посмотрите в логи postfix - многое прояснится. | Сумбурно немного, но надеюсь поймете. | Только я не понял зачем такие извраты? | Или вам нужно чтобы postfix не слушал на 192.168.1.1 а слушал только на | 127.0.0.1? | Или слышал всех кроме самого себя? Он самого себя на 192.168.1.1 и так не | слышит. | Какова конечная цель телодвижений? Если не секрет конечно :) Я тоже не могу понять область применения таких ограничений. ;) | | _______________________________________________ | Community mailing list | Community@altlinux.ru | http://www.altlinux.ru/mailman/listinfo/community - -- With best regards System administrator Igor Muratov mailto:migor at altlinux.ru -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.1 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQE+pU9bqjgjB/MK76QRAl5+AJ4/rRd71R+SoqxIpGNEmqC0NssqlQCgol6a 3VusGvXcC6gGLi4iXDtgYo0= =6JoT -----END PGP SIGNATURE----- ^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Comm] Re: [Comm] Настройка Postfix 2003-04-22 14:19 ` Igor Muratov @ 2003-04-23 4:37 ` Прокопьев Евгений 2003-04-24 8:09 ` Igor Muratov 1 sibling, 0 replies; 12+ messages in thread From: Прокопьев Евгений @ 2003-04-23 4:37 UTC (permalink / raw) To: community > | В Вашем случае pine вообще не использует сетевое соединение. > | 192.168.1.1 = 127.0.0.1 соответственно коннект идет через pickup а не > через > | smtpd > > Вовсе нет. Это разные интерфейсы и разные адреса. Соединение пойдет > именно через smtpd. Не будет использоваться сетевая карта но для postfix > это все равно будет выглядеть как соединение с 192.168.1.1 на 192.168.1.1 > > | Посмотрите в логи postfix - многое прояснится. > | Сумбурно немного, но надеюсь поймете. В логах именно 192.168.1.1 - я днем раньше их приводил. > | Только я не понял зачем такие извраты? > | Или вам нужно чтобы postfix не слушал на 192.168.1.1 а слушал только на > | 127.0.0.1? > | Или слышал всех кроме самого себя? Он самого себя на 192.168.1.1 и так не > | слышит. > | Какова конечная цель телодвижений? Если не секрет конечно :) > > Я тоже не могу понять область применения таких ограничений. ;) Запрещать отравлять от 192.168.1.1, если можно отправить от 127.0.0.1 действительно бессмысленно. Но другого способа проверить open relay на отдельно стоящей тестовой машине я придумать не могу (кроме извратов с виртуальными машинами). Вот и оказывается по результатам проверки, что он открыт. -- С уважением, Прокопьев Евгений ^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Comm] Re: [Comm] Настройка Postfix 2003-04-22 14:19 ` Igor Muratov 2003-04-23 4:37 ` Прокопьев Евгений @ 2003-04-24 8:09 ` Igor Muratov 1 sibling, 0 replies; 12+ messages in thread From: Igor Muratov @ 2003-04-24 8:09 UTC (permalink / raw) To: community -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Igor Muratov пишет: | -----BEGIN PGP SIGNED MESSAGE----- | Hash: SHA1 | | Evgeni Kobzev пишет: | | ----- Исходное сообщение ----- | | От: "Прокопьев Евгений" <john@rmts.donpac.ru> | | Кому: <community@altlinux.ru> | | Отправлено: 22 апреля 2003 г. 16:55 | | Тема: Re: [Comm] Настройка Postfix | | | | | | | |>>| 1. Закрывали релей. Я понимаю это следующим образом: если в mynetworks | |>>| написано только 127.0.0.1/32, то в почтовом клиенте, установленном | |>>| непосредственно на почтовом сервере, я могу указать в качестве SMTP | |>>| только 127.0.0.1 (или localhost), но не 192.168.1.1 (или myserver.ru). | | | | И | | | |>>Можете! Евгений, вы запутались сами и путаете остальных. Подумайте, | |>>postfix это всего лишь MTA. Как он может запрещать приложениям | |>>обращаться к другим серверам сети? Если вы хотите запретить _локальным_ | |>>пользователям использовать все smtp-сервера кроме локального то это | |>>настраивается только через firewall. Postfix к этому не имеет никакого | |>>отношения. | |> | |>Вы неправильно меня поняли. От SMTP не требуется запрещать пользоваться | |>другими SMTP. Есть очень простая ситуация: машина 192.168.1.1 | |>(myserver.ru), на ней настроен Postfix, у которого в mynetworks написано | |>только 127.0.0.1/32. Я хочу всего лишь чтобы pine, настроенный на этой | |>машине, мог отправлять почту через localhost, но не мог через | |>myserver.ru (т.к. в mynetworks ничего об этом не сказано), другие SMTP | |>меня не интересуют. | | | | | | В Вашем случае pine вообще не использует сетевое соединение. | | 192.168.1.1 = 127.0.0.1 соответственно коннект идет через pickup а не | через | | smtpd | | Вовсе нет. Это разные интерфейсы и разные адреса. Соединение пойдет | именно через smtpd. Не будет использоваться сетевая карта но для postfix | это все равно будет выглядеть как соединение с 192.168.1.1 на 192.168.1.1 Опаньки. Вспылил. Был не прав. ;) | | | Посмотрите в логи postfix - многое прояснится. | | Сумбурно немного, но надеюсь поймете. | | Только я не понял зачем такие извраты? | | Или вам нужно чтобы postfix не слушал на 192.168.1.1 а слушал только на | | 127.0.0.1? | | Или слышал всех кроме самого себя? Он самого себя на 192.168.1.1 и так не | | слышит. | | Какова конечная цель телодвижений? Если не секрет конечно :) | | Я тоже не могу понять область применения таких ограничений. ;) | | | | | _______________________________________________ | | Community mailing list | | Community@altlinux.ru | | http://www.altlinux.ru/mailman/listinfo/community | | | - -- | With best regards System administrator | Igor Muratov mailto:migor at altlinux.ru | -----BEGIN PGP SIGNATURE----- | Version: GnuPG v1.2.1 (GNU/Linux) | Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org | | iD8DBQE+pU9bqjgjB/MK76QRAl5+AJ4/rRd71R+SoqxIpGNEmqC0NssqlQCgol6a | 3VusGvXcC6gGLi4iXDtgYo0= | =6JoT | -----END PGP SIGNATURE----- | | _______________________________________________ | Community mailing list | Community@altlinux.ru | http://www.altlinux.ru/mailman/listinfo/community - -- With best regards System administrator Igor Muratov mailto:migor at altlinux.ru -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.1 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQE+p5u2qjgjB/MK76QRAi8LAKCqQycf8b+E00l3W5dAw65bzaeBYgCeLKzM tLDWmTaMilFr5UfKiKlbUsk= =w5sv -----END PGP SIGNATURE----- ^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Comm] Настройка Postfix 2003-04-22 12:55 ` Прокопьев Евгений 2003-04-22 13:46 ` [Comm] " Evgeni Kobzev @ 2003-04-22 14:01 ` Igor Muratov 2003-04-23 4:56 ` Прокопьев Евгений 1 sibling, 1 reply; 12+ messages in thread From: Igor Muratov @ 2003-04-22 14:01 UTC (permalink / raw) To: community -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Прокопьев Евгений пишет: |> Хороший пример такого конфига идет в пакете. Чем он не устраивает? |> Там есть все что вы описываете. | | | /etc/postfix/main.cf ? Он не решает моих задач. | |> | 1. Закрывали релей. Я понимаю это следующим образом: если в mynetworks |> | написано только 127.0.0.1/32, то в почтовом клиенте, установленном |> | непосредственно на почтовом сервере, я могу указать в качестве SMTP |> | только 127.0.0.1 (или localhost), но не 192.168.1.1 (или |> myserver.ru). И |> |> Можете! Евгений, вы запутались сами и путаете остальных. Подумайте, |> postfix это всего лишь MTA. Как он может запрещать приложениям |> обращаться к другим серверам сети? Если вы хотите запретить _локальным_ |> пользователям использовать все smtp-сервера кроме локального то это |> настраивается только через firewall. Postfix к этому не имеет никакого |> отношения. | | | Вы неправильно меня поняли. От SMTP не требуется запрещать пользоваться | другими SMTP. Есть очень простая ситуация: машина 192.168.1.1 | (myserver.ru), на ней настроен Postfix, у которого в mynetworks написано | только 127.0.0.1/32. Я хочу всего лишь чтобы pine, настроенный на этой | машине, мог отправлять почту через localhost, но не мог через | myserver.ru (т.к. в mynetworks ничего об этом не сказано), другие SMTP | меня не интересуют. Если релей будет разрешен только для 127.0.0.1/8 то так все и будет работать. | |> | тем более должно быть запрещено пересылать через этот SMTP почту с |> | других машин, в том числе и такую, для которой этот SMTP является |> | получателем. Должены быть разрешены только отправка исходящей почты от |> | хостов, указанных в mynetworks, и прием входящей почты от внешних SMTP. |> |> Это дефолтная настройка. Поставте тот конфиг который идет в пакете и |> попробуйте через telnet отправить письмо с адреса и на адрес не |> перечисленых как mydestination. Я на 100% уверен что у вас ничего не |> выйдет. | | | Вы имели ввиду mynetworks? ОК, завтра покажу логи, но это я проверял | поверхностно, | т.к. есть аналогичная проблема, описанная выше. Наверняка причина общая. Попробуйте еще так mynetworks_style = host По моему тогда отключается mynetworks. Т.е. это что-то вроде predefined value | |> | Из коробки на свежеустановленном Postfix это, к сожалению, не работает. |> | Я уже спрашивал об этом и мне предложили следующие решения: |> | а) relay_domains = $mydestination - по умолчанию эта строка |> | закомментирована, но раскомменирование ничего не меняет |> |> Правильно. Это дефолтная настройка. Вы собственно ничего и не поменяли ;) |> |> | б) smtpd_sender_restrictions = permit_networks, reject - этой строки по |> | умолчанию нет вообще, а если ее вписать, то вся входящая почта с |> | адресов, не указанных в mynetworks, отвергается - а мне надо |> | отказываться не от приема, а от пересылки чужой почты. |> |> Да, это был суровый совет. ;) Здесь в конце всегда должен быть permit |> иначе получится то что вы получили. | | | А какой тогда смысл? Если не сработает первое правило, то сработает | второе, и пройдут все письма. Тогда уж достаточно просто сказать pеrmit В данном виде это действительно бессмысленно. Но обычно делают так: smtpd_sender_restrictions = ~ permit_mynetworks, ~ reject_maps_rbl, ~ hash:/etc/postfix/access, ~ reject_non_fqdn_sender, ~ reject_unknown_sender_domain, ~ permit Т.е. сюда ставятся в основном запрещающие правила. | |> | 2. Другая задача - отказ от приема почты с адресов, перечисленных в |> | /etc/postfix/access. Согласно документации, достаточно вписать в |> | /etc/postfix/access john@myserver.ru REJECT и сделать postmap |> | /etc/postfix/access, а в /etc/postfix/main.cf указать |> | smtpd_client_restrictions = hash:/etc/postfix/access, permit и |> | перегрузить postfix. |> |> Да, после этого с адреса john@myserver.ru вам письмо уже не пришлют. |> |> | |> | Увы :( Для пользователя john@myserver.ru на машине myserver.ru настроен |> | pine, в котором в качестве SMTP указан myserver.ru, но ни первая, ни |> | вторая задача не решаются, и этот пользователь спокойно посылает письма |> | всем прочим. |> |> man iptables | | | При чем тут это? "в качестве SMTP указан myserver.ru" - вот ключевая | фраза. Меня волнует поведение моего SMTP. Пользователь волен указать | другой, и тогда меня перестает волновать поведение его писем. | |> | Буду очень признателен всем, кто поможет мне разобраться. |> | |> | Да, и еще: можно ли запустить Postfix с пустым main.cf, а затем |> | добавлять те параметры, которые мне нужны? Какие параметры указывать |> | обязательно, а какие имеют разумные настройки по умолчанию? |> |> Мне бы такое даже в голову не пришло. Теоретически такое возможно |> поскольку все параметры имеют дефолтное значение. Попробуйте потом |> расскажете что у вас получилось. | | - -- With best regards System administrator Igor Muratov mailto:migor at altlinux.ru -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.1 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQE+pUscqjgjB/MK76QRAvmgAJwKe+B+vPOHTV7N9e2afzQQqNWGZQCgrBf8 5C23krMI4CRGy65lWLAn+bU= =TIcK -----END PGP SIGNATURE----- ^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Comm] Настройка Postfix 2003-04-22 14:01 ` Igor Muratov @ 2003-04-23 4:56 ` Прокопьев Евгений 2003-04-24 8:36 ` Igor Muratov 2003-04-29 16:44 ` Dmitry V. Levin 0 siblings, 2 replies; 12+ messages in thread From: Прокопьев Евгений @ 2003-04-23 4:56 UTC (permalink / raw) To: community > | Вы неправильно меня поняли. От SMTP не требуется запрещать пользоваться > | другими SMTP. Есть очень простая ситуация: машина 192.168.1.1 > | (myserver.ru), на ней настроен Postfix, у которого в mynetworks написано > | только 127.0.0.1/32. Я хочу всего лишь чтобы pine, настроенный на этой > | машине, мог отправлять почту через localhost, но не мог через > | myserver.ru (т.к. в mynetworks ничего об этом не сказано), другие SMTP > | меня не интересуют. > > Если релей будет разрешен только для 127.0.0.1/8 то так все и будет > работать. Я же говорил, что я не понимаю чего-то простого :) 127.0.0.1/8 - все адреса типа 127.*.*.* 127.0.0.1/32 - только сам адрес 127.0.0.1 Правильно или я ошибаюсь? Но даже если я ошибаюсь, все равно это не повод пересылать письма для 192.168.1.1, если в mynetworks написано 127.0.0.1/32 > Попробуйте еще так > mynetworks_style = host > По моему тогда отключается mynetworks. Т.е. это что-то вроде predefined > value Такое впечатление, что именно эта строчка и работает (как минимум), хотя она закомментирована. -- С уважением, Прокопьев Евгений ^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Comm] Настройка Postfix 2003-04-23 4:56 ` Прокопьев Евгений @ 2003-04-24 8:36 ` Igor Muratov 2003-04-29 16:44 ` Dmitry V. Levin 1 sibling, 0 replies; 12+ messages in thread From: Igor Muratov @ 2003-04-24 8:36 UTC (permalink / raw) To: community -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Прокопьев Евгений пишет: |> | Вы неправильно меня поняли. От SMTP не требуется запрещать пользоваться |> | другими SMTP. Есть очень простая ситуация: машина 192.168.1.1 |> | (myserver.ru), на ней настроен Postfix, у которого в mynetworks |> написано |> | только 127.0.0.1/32. Я хочу всего лишь чтобы pine, настроенный на этой |> | машине, мог отправлять почту через localhost, но не мог через |> | myserver.ru (т.к. в mynetworks ничего об этом не сказано), другие SMTP |> | меня не интересуют. |> |> Если релей будет разрешен только для 127.0.0.1/8 то так все и будет |> работать. | | | Я же говорил, что я не понимаю чего-то простого :) | | 127.0.0.1/8 - все адреса типа 127.*.*.* | 127.0.0.1/32 - только сам адрес 127.0.0.1 | | Правильно или я ошибаюсь? | | Но даже если я ошибаюсь, все равно это не повод пересылать письма для | 192.168.1.1, если в mynetworks написано 127.0.0.1/32 Действительно все сетевые интерфейсы машины получаются равны. Т.е. все что вы разрешаете для lo воспринимается и для остальных интерфейсов. На мой взгляд это не совсем правильно но это не на что не влияет поэтому можно принять это как данность. | |> Попробуйте еще так |> mynetworks_style = host |> По моему тогда отключается mynetworks. Т.е. это что-то вроде predefined |> value | | | Такое впечатление, что именно эта строчка и работает (как минимум), хотя | она закомментирована. | Так оно и есть. Это на случай если вы что-то перемудрили с mynetworks. - -- With best regards System administrator Igor Muratov mailto:migor at altlinux.ru -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.1 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQE+p6H8qjgjB/MK76QRAnrPAJ0dYdNUhixItNXZqnrpQ17iHrytFACdFN12 4Z8OdKnw3oJJD9lfw4044UE= =4CXa -----END PGP SIGNATURE----- ^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Comm] Настройка Postfix 2003-04-23 4:56 ` Прокопьев Евгений 2003-04-24 8:36 ` Igor Muratov @ 2003-04-29 16:44 ` Dmitry V. Levin 1 sibling, 0 replies; 12+ messages in thread From: Dmitry V. Levin @ 2003-04-29 16:44 UTC (permalink / raw) To: ALT Linux general discussion list [-- Attachment #1: Type: text/plain, Size: 448 bytes --] On Wed, Apr 23, 2003 at 08:56:22AM +0400, Прокопьев Евгений wrote: > >Попробуйте еще так > >mynetworks_style = host > >По моему тогда отключается mynetworks. Т.е. это что-то вроде predefined > >value > > Такое впечатление, что именно эта строчка и работает (как минимум), хотя > она закомментирована. Чтобы узнать, какое значение параметра используется, есть postconf(1): $ /usr/sbin/postconf mynetworks_style mynetworks_style = subnet -- ldv [-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --] ^ permalink raw reply [flat|nested] 12+ messages in thread
end of thread, other threads:[~2003-04-29 16:44 UTC | newest] Thread overview: 12+ messages (download: mbox.gz / follow: Atom feed) -- links below jump to the message on this page -- 2003-04-22 5:14 [Comm] Настройка Postfix Прокопьев Евгений 2003-04-22 11:04 ` Igor Muratov 2003-04-22 11:40 ` Епифанов Сергей 2003-04-22 12:55 ` Прокопьев Евгений 2003-04-22 13:46 ` [Comm] " Evgeni Kobzev 2003-04-22 14:19 ` Igor Muratov 2003-04-23 4:37 ` Прокопьев Евгений 2003-04-24 8:09 ` Igor Muratov 2003-04-22 14:01 ` Igor Muratov 2003-04-23 4:56 ` Прокопьев Евгений 2003-04-24 8:36 ` Igor Muratov 2003-04-29 16:44 ` Dmitry V. Levin
ALT Linux Community general discussions This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 community community/ http://lore.altlinux.org/community \ mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com public-inbox-index community Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.community AGPL code for this site: git clone https://public-inbox.org/public-inbox.git