OpenForum RSS: Авторизация SMTP только из определенной подсети Postfix+Dovecot https://www.opennet.dev/openforum/vsluhforumID1/95145.html Доброго времени суток! <br><br>Перечитал кипу документации и форумов, но все также не могу решить проблему, надеюсь что кто-нибуть укажет куда копать.<br><br>Дано:<br>Ubuntu 10.04.4 LTS<br>Почтовая система IredMail (Postfix+Dovecot+OpenLDAP)<br><br>На данный момент из Интернета можно подключится к SMTP серверу - авторизироваться и отправлять письма.<br><br>Нужно:<br>Ограничить возможность SMTP авторизации только из определенных диапазонов локальной сети а именно 192.168.1.0/24 10.10.10.0/24<br><br>На данный момент конфиг Postfix'а main.cf имеет следующий вид:<br><br>smtpd_banner = $myhostname ESMTP $mail_name (Ubuntu)<br>biff = no<br>append_dot_mydomain = no<br>readme_directory = no<br># TLS parameters<br>smtpd_tls_cert_file = /etc/ssl/certs/iRedMail_CA.pem<br>smtpd_tls_key_file = /etc/ssl/private/iRedMail.key<br>smtpd_use_tls=yes<br>smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache<br>smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache<br><br>myhostname = mail.example.com<br>alias_maps = hash:/etc/postfix/aliases<br>alias_d Авторизация SMTP только из определенной подсети Postfix+Dovecot (ALex_hha) https://www.opennet.dev/openforum/vsluhforumID1/95145.html#12 Sun, 03 Nov 2013 10:54:06 GMT Копать в сторону smtpd_restriction_classes<br><br>http://www.postfix.org/postconf.5.html#smtpd_restriction_classes <br>http://www.postfix.org/RESTRICTION_CLASS_README.html<br><br>&gt; Попробовал(в разных вариациях), но к сожалению этот вариант не работает.\<br><br>что именно пробовал и что именно не работает?<br><br>smtpd_sasl_exceptions_networks = !192.168.1.0/24 !10.10.10.0/24<br><br>всем клиентам, кроме этих двух подсетей AUTH не будет анонсироваться<br><br>Правда тут нюанс, если вы используете STARTTLS, то оно все равно будет работать<br> Авторизация SMTP только из определенной подсети Postfix+Dovecot (Danger) https://www.opennet.dev/openforum/vsluhforumID1/95145.html#11 Fri, 01 Nov 2013 16:02:53 GMT &gt;&gt; Там можно определять отдельно со снаком отрицания = "!", то что я <br>&gt;&gt; написал, это просто из мана выдернуто было <br>&gt; Попробовал(в разных вариациях), но к сожалению этот вариант не работает.<br><br>Ковыряй postfix + dovecot на тему allow_nets<br> Авторизация SMTP только из определенной подсети Postfix+Dovecot (Вячеслав) https://www.opennet.dev/openforum/vsluhforumID1/95145.html#10 Thu, 31 Oct 2013 23:09:22 GMT &gt; Там можно определять отдельно со снаком отрицания = "!", то что я <br>&gt; написал, это просто из мана выдернуто было <br><br>Попробовал(в разных вариациях), но к сожалению этот вариант не работает.<br> Авторизация SMTP только из определенной подсети Postfix+Dovecot (Veon) https://www.opennet.dev/openforum/vsluhforumID1/95145.html#9 Thu, 31 Oct 2013 10:38:38 GMT &gt;[оверквотинг удален]<br>&gt; smtpd_sasl_exceptions_networks (default: empty) <br>&gt; What remote SMTP clients the Postfix SMTP server will not offer AUTH <br>&gt; support to.<br>&gt; Some clients (Netscape 4 at least) have a bug that causes them <br>&gt; to require a login and password whenever AUTH is offered, whether <br>&gt; it's necessary or not. To work around this, specify, for example, <br>&gt; $mynetworks to prevent Postfix from offering AUTH to local clients.<br>&gt; Как я понимаю если использовать $mynetworks, Postfix не будет предлагать AUTH для <br>&gt; всех подсетей\хостов которые перечислены в mynetworks, и это немножко не то <br>&gt; что я ищу. Или возможно я что-то не так понял?<br><br>Там можно определять отдельно со снаком отрицания = "!", то что я написал, это просто из мана выдернуто было<br> Авторизация SMTP только из определенной подсети Postfix+Dovecot (Вячеслав) https://www.opennet.dev/openforum/vsluhforumID1/95145.html#8 Thu, 31 Oct 2013 10:04:01 GMT &gt; Да, действительно не правильно. Но кажется нашёл, попробуйте.<br>&gt; smtpd_sasl_exceptions_networks = $mynetworks <br><br>Сейчас попробовать нет возможности, но попробую вечером.<br><br>Правда есть некоторые сомнения<br>Из документации http://www.postfix.org/postconf.5.html#smtpd_sasl_exceptions_networks<br><br>smtpd_sasl_exceptions_networks (default: empty)<br>What remote SMTP clients the Postfix SMTP server will not offer AUTH support to.<br><br>Some clients (Netscape 4 at least) have a bug that causes them to require a login and password whenever AUTH is offered, whether it's necessary or not. To work around this, specify, for example, $mynetworks to prevent Postfix from offering AUTH to local clients.<br><br>Как я понимаю если использовать $mynetworks, Postfix не будет предлагать AUTH для всех подсетей\хостов которые перечислены в mynetworks, и это немножко не то что я ищу. Или возможно я что-то не так понял?<br> Авторизация SMTP только из определенной подсети Postfix+Dovecot (Veon) https://www.opennet.dev/openforum/vsluhforumID1/95145.html#7 Thu, 31 Oct 2013 09:23:34 GMT &gt;&gt;&gt;&gt; Если не принципиально, то закройтесь файрволлом на 25 порт и всё.<br>&gt;&gt;&gt; Так почту получать то нужно <br>&gt;&gt; Так получайте, в чём проблема, это 110-ый порт будет для POP3 например.<br>&gt; Возможно Вы меня неправильно поняли (или я Вас), если я закрою в <br>&gt; файрволе 25 порт как я буду получать почту от других серверов? <br>&gt; Мне нужно всего лишь запретить авторизацию для отправки почты отовсюду кроме <br>&gt; двух подсетей и самого сервера.<br><br>Да, действительно не правильно. Но кажется нашёл, попробуйте. <br><br>smtpd_sasl_exceptions_networks = $mynetworks<br> Авторизация SMTP только из определенной подсети Postfix+Dovecot (Вячеслав) https://www.opennet.dev/openforum/vsluhforumID1/95145.html#6 Thu, 31 Oct 2013 09:19:12 GMT &gt;&gt;&gt; Если не принципиально, то закройтесь файрволлом на 25 порт и всё.<br>&gt;&gt; Так почту получать то нужно <br>&gt; Так получайте, в чём проблема, это 110-ый порт будет для POP3 например. <br><br>Возможно Вы меня неправильно поняли (или я Вас), если я закрою в файрволе 25 порт как я буду получать почту от других серверов? Мне нужно всего лишь запретить авторизацию для отправки почты отовсюду кроме двух подсетей и самого сервера.<br><br> Авторизация SMTP только из определенной подсети Postfix+Dovecot (Вячеслав) https://www.opennet.dev/openforum/vsluhforumID1/95145.html#5 Thu, 31 Oct 2013 09:15:42 GMT &gt; Не совсем понятно что подразумевает фраза: <br>&gt; "Ограничить возможность SMTP авторизации только из определенных диапазонов локальной <br>&gt; сети а именно 192.168.1.0/24 10.10.10.0/24" <br>&gt; И как она коррелирует со строчкой: <br>&gt; mynetworks = 127.0.0.1/32, 192.168.1.0/24, 10.10.10.0/24 <br><br>В mynetworks перечислены две рабочие подсети (локальная и VPN) и локалхост самого сервера.<br><br>Мне нужно чтоб только из этих двух подсетей была возможность авторизироватся и отправлять почту. Сейчас же можно подключится из любой точки вне сети и зная логин и пароль использовать сервер для отправки почты.<br> Авторизация SMTP только из определенной подсети Postfix+Dovecot (Veon) https://www.opennet.dev/openforum/vsluhforumID1/95145.html#4 Thu, 31 Oct 2013 09:06:42 GMT &gt;&gt; Если не принципиально, то закройтесь файрволлом на 25 порт и всё.<br>&gt; Так почту получать то нужно <br><br>Так получайте, в чём проблема, это 110-ый порт будет для POP3 например.<br>