https://slinkov.ru/openforum/vsluhforumID1/94327.html Добрый день, коллеги. <br>Подскажите, как лучше реализовать запрет на отправку от имени другого пользователя конкретному аккаунту? <br><br>Сейчас использую <br>check_sender_access hash:/etc/postfix/send_only_to_hr <br>send_only_to_hr = check_recipient_access hash:/etc/postfix/send_only_to_hr-maps, reject <br><br>--/etc/postfix/send_only_to_hr-- <br>e@mail send_only_to_hr <br><br>--/etc/postfix/send_only_to_hr-maps-- <br>hr@mail OK <br><br>т.е. с адреса e@mail можно отправить только на hr@mail, в остальных случаях reject. <br><br>Но, если не используется reject_authenticated_login_mismatch, то отправитель может подменить from: на, к примеру, director@mail и отправить письмо куда угодно. <br><br>login_mismatch нужно запретить только для конкретного логина. Подскажите, пожалуйста, решение<br> https://slinkov.ru/openforum/vsluhforumID1/94327.html#9 Thu, 07 Feb 2013 22:44:09 GMT &gt;&gt; что за sender_login_maps?<br>&gt;&gt; "лояльные сотрудники" значит адрес отправителя могут подменять?<br>&gt;&gt; котлеты от мух начните уже отделять. две задачи: <br>&gt;&gt; 1) защита от подмены адреса отправителя <br>&gt;&gt; 2) запрет пересылки между конкретными почтовыми адресами.<br>&gt; Я прошу игнорировать вас эту ветку, т.к. боюсь, что у вас трудности <br>&gt; с восприятием печатного текста и знаниями postfix.<br><br>Как угодно. Однако я настоятельно рекомендую Вам еще раз перечитать все, что я написал. Несколько раз. До просветления.<br><br><br> https://slinkov.ru/openforum/vsluhforumID1/94327.html#8 Thu, 07 Feb 2013 05:18:38 GMT <br>&gt; что за sender_login_maps?<br>&gt; "лояльные сотрудники" значит адрес отправителя могут подменять?<br>&gt; котлеты от мух начните уже отделять. две задачи: <br>&gt; 1) защита от подмены адреса отправителя <br>&gt; 2) запрет пересылки между конкретными почтовыми адресами.<br><br>Я прошу игнорировать вас эту ветку, т.к. боюсь, что у вас трудности с восприятием печатного текста и знаниями postfix. <br><br> https://slinkov.ru/openforum/vsluhforumID1/94327.html#7 Thu, 07 Feb 2013 00:50:58 GMT &gt;&gt; - может все же по по smtp_sender_login_maps?<br>&gt;&gt; - то есть остальные пользователи могут подменять адрес отправителя как хотят? какой <br>&gt;&gt; смысл это для одного пользователя делать?<br>&gt; - если можно через sender_login_maps как-то указать запрет только одному пользователю (например, <br>&gt; через regexp), то такой вариант подошел бы, но я не знаю <br>&gt; как это сделать.<br><br>что за sender_login_maps?<br><br>&gt; - остальные пользователи это лояльные компании сотрудники, которые отвечают на письма замещаемых <br>&gt; коллег, участвуют в тестировании ПО через этот сервер и пр. Запрет <br>&gt; необходимо вводить для недобросовестных сотрудников, подлежащих увольнению (формально <br>&gt; нельзя полностью закрыть доступ на прием\отправку до полного увольнения, т.к. это <br>&gt; прописано в договоре) <br><br>"лояльные сотрудники" значит адрес отправителя могут подменять?<br><br>котлеты от мух начните уже отделять. две задачи:<br>1) защита от подмены адреса отправителя<br>2) запрет пересылки между конкретными почтовыми адресами.<br><br><br><br> https://slinkov.ru/openforum/vsluhforumID1/94327.html#6 Tue, 05 Feb 2013 05:33:50 GMT &gt; - может все же по по smtp_sender_login_maps?<br>&gt; - то есть остальные пользователи могут подменять адрес отправителя как хотят? какой <br>&gt; смысл это для одного пользователя делать?<br><br>- если можно через sender_login_maps как-то указать запрет только одному пользователю (например, через regexp), то такой вариант подошел бы, но я не знаю как это сделать.<br>- остальные пользователи это лояльные компании сотрудники, которые отвечают на письма замещаемых коллег, участвуют в тестировании ПО через этот сервер и пр. Запрет необходимо вводить для недобросовестных сотрудников, подлежащих увольнению (формально нельзя полностью закрыть доступ на прием\отправку до полного увольнения, т.к. это прописано в договоре)<br> https://slinkov.ru/openforum/vsluhforumID1/94327.html#5 Tue, 05 Feb 2013 05:30:03 GMT &gt; давайте сначала: <br>&gt; - какая версия postfix <br>&gt; - как организуется авторизация пользователей <br><br>- 2.3.3,<br>- пользователи представляют собой реальных пользователей ОС<br><br>Вывод postconf -n<br><br>alias_database = hash:/etc/aliases<br>alias_maps = hash:/etc/aliases<br>bounce_queue_lifetime = 1d<br>bounce_template_file = /etc/postfix/bounce.cf.2013<br>broken_sasl_auth_clients = yes<br>command_directory = /usr/sbin<br>config_directory = /etc/postfix<br>daemon_directory = /usr/libexec/postfix<br>debug_peer_level = 2<br>delay_warning_time = 1h<br>html_directory = no<br>inet_interfaces = all<br>local_recipient_maps = unix:passwd.byname $alias_maps<br>mail_owner = postfix<br>mailbox_command = /usr/bin/procmail<br>mailbox_size_limit = 2048000000<br>mailq_path = /usr/bin/mailq.postfix<br>manpage_directory = /usr/share/man<br>maximal_queue_lifetime = 1d<br>message_size_limit = 21233664<br>mydestination = $myhostname, localhost.$mydomain, localhost, $mydomain, my-mail-domain.ru<br>mydomain = my-mail-domain.ru<br>myhostname = mail.my-mail-domain.ru<br>mynetworks = x.x.x https://slinkov.ru/openforum/vsluhforumID1/94327.html#4 Tue, 05 Feb 2013 02:14:43 GMT &gt; Спасибо, но об этом я и пишу. Я знаю единственный способ сравнить <br>&gt; авторизацию и отправителя "с конверта" - reject_sender_login_mismatch по sender_login_maps. <br>&gt; Но штатный способ не предусматривает эту проверку только для одного пользователя. <br><br>- может все же по по smtp_sender_login_maps?<br>- то есть остальные пользователи могут подменять адрес отправителя как хотят? какой смысл это для одного пользователя делать?<br> https://slinkov.ru/openforum/vsluhforumID1/94327.html#3 Tue, 05 Feb 2013 01:51:13 GMT &gt; Возможно есть другие средства, но мне они неизвестны.<br><br>давайте сначала:<br>- какая версия postfix<br>- как организуется авторизация пользователей<br><br><br><br> https://slinkov.ru/openforum/vsluhforumID1/94327.html#2 Mon, 04 Feb 2013 06:07:50 GMT &gt; Вы только конверты писем проверяете. Их содержимое легко модифицируется при отправке.<br>&gt; Различите конверт, письмо и авторизацию почтового пользователя для себя сначало.<br><br>Спасибо, но об этом я и пишу. Я знаю единственный способ сравнить авторизацию и отправителя "с конверта" - reject_sender_login_mismatch по sender_login_maps. Но штатный способ не предусматривает эту проверку только для одного пользователя.<br>На ум приходит только некое экзотическое регулярное выражение в prce:sender_login_maps, а-ля <br>user@mail user<br>/*любой адрес*/ %любой пользователь КРОМЕ user% <br>, но как это изобразить я не представляю.<br><br>Возможно есть другие средства, но мне они неизвестны.<br><br><br> https://slinkov.ru/openforum/vsluhforumID1/94327.html#1 Sun, 03 Feb 2013 00:09:42 GMT &gt;[оверквотинг удален]<br>&gt; --/etc/postfix/send_only_to_hr-- <br>&gt; e@mail send_only_to_hr <br>&gt; --/etc/postfix/send_only_to_hr-maps-- <br>&gt; hr@mail OK <br>&gt; т.е. с адреса e@mail можно отправить только на hr@mail, в остальных случаях <br>&gt; reject.<br>&gt; Но, если не используется reject_authenticated_login_mismatch, то отправитель может подменить <br>&gt; from: на, к примеру, director@mail и отправить письмо куда угодно.<br>&gt; login_mismatch нужно запретить только для конкретного логина. Подскажите, пожалуйста, <br>&gt; решение <br><br>Вы только конверты писем проверяете. Их содержимое легко модифицируется при отправке.<br><br>Различите конверт, письмо и авторизацию почтового пользователя для себя сначало.<br><br><br><br><br>