>>Просто не все понятно.
>1 Смотрите: вам надо разделить локальных и внешних отправителей.
>2 требовать авторизацию от локальных на все, от внешних только на релеинг.
>
>Отделить локальных пользователей можно по: е-mail'у, домену, ip.
>
>В этом примере они разделяются по домену c помощью регулярных выражений, отправитель
>попадающий под маску /my\.domain/ считается локальным, а все остальные внешними.
>>Строка /my\.domain/int - это отправка сообщений из моего домена по авторизации?
>>А /.*/ext -это прием почты из вне?

Большое спасибо! Теперь все понял.

А если клиент будет авторизовываться не из моего домена, а скажем где-то из дома, его пропустит?

>>А если клиент будет авторизовываться не из моего домена, а скажем где-то
>>из дома, его пропустит?
>Покажите итоговый конфиг postconf -n (полностью)

alias_database = hash:/etc/aliases
alias_maps = hash:/etc/aliases
broken_sasl_auth_clients = yes
command_directory = /usr/sbin
config_directory = /etc/postfix
daemon_directory = /usr/lib/postfix
debug_peer_level = 1
default_destination_concurrency_limit = 10
disable_vrfy_command = yes
home_mailbox = Maildir/
html_directory = no
in_flow_delay = 1s
inet_interfaces = all
local_destination_concurrency_limit = 2
local_recipient_maps = unix:passwd.byname $virtual_alias_maps $virtual_mailbox_maps
mail_owner = postfix
mail_spool_directory = /var/spool/mail
mailbox_size_limit = 10240000
mailq_path = /usr/bin/mailq
manpage_directory = /usr/share/man
maps_rbl_reject_code = 550
maximal_queue_lifetime = 5h
message_size_limit = 4096000
mydestination = localhost, $myhostname, $mydomain, localhost.$mydomain, mysql:/etc/postfix/mysql-mydestination.cf
mydomain = belabraziv.ru
myhostname = mail.belabraziv.ru
mynetworks = 192.168.0.0/16, 127.0.0.0/8
mynetworks_style = host
myorigin = $mydomain
newaliases_path = /usr/bin/newaliases
queue_directory = /var/spool/postfix
readme_directory = /usr/share/doc/postfix-2.1.5-r1/readme
relay_domains = $transport_maps
sample_directory = /etc/postfix
sendmail_path = /usr/sbin/sendmail
setgid_group = postdrop
smtpd_banner = $myhostname ESMTP $mail_name
smtpd_recipient_restrictions = permit_sasl_authenticated,reject_unauth_destination,reject_invalid_hostname,check_client_access hash:/etc/posfix/whitelist,reject_rbl_client relays.ordb.org
smtpd_restriction_classes = int, ext
smtpd_sasl_auth_enable = yes
smtpd_sasl_local_domain = belabraziv.ru
smtpd_sasl_security_options = noanonymous
smtpd_sender_restrictions = pcre:/etc/postfix/access
smtpd_tls_CAfile = /etc/postfix/cacert.pem
smtpd_tls_cert_file = /etc/postfix/newcert.pem
smtpd_tls_key_file = /etc/postfix/newreq.pem
smtpd_tls_loglevel = 1
smtpd_tls_received_header = yes
smtpd_tls_session_cache_timeout = 3600s
smtpd_use_tls = yes
tls_random_source = dev:/dev/urandom
transport_maps = mysql:/etc/postfix/mysql-transport.cf
unknown_local_recipient_reject_code = 550
virtual_alias_maps = mysql:/etc/postfix/mysql-virtual.cf
virtual_create_maildirsize = yes
virtual_gid_maps = mysql:/etc/postfix/mysql-virtual-gid.cf
virtual_mailbox_base = /
virtual_mailbox_limit = 10240000
virtual_mailbox_limit_inbox = yes
virtual_mailbox_limit_maps = mysql:/etc/postfix/mysql-mailboxsize.cf
virtual_mailbox_limit_override = yes
virtual_mailbox_maps = mysql:/etc/postfix/mysql-virtual-maps.cf
virtual_maildir_extended = yes
virtual_minimum_uid = 1000
virtual_overquota_bounce = yes
virtual_uid_maps = mysql:/etc/postfix/mysql-virtual-uid.cf

>>>>А если клиент будет авторизовываться не из моего домена, а скажем где-то
>>>>из дома, его пропустит?
>С этим конфигом у вас работает так:
>Если клиент в "MAIL FROM" сказал, что он из вашего домена, то
>авторизация нужна для всех действий, иначе авторизация нужна только для релеинга.
>
Так эта конфа пойдет для того, чтобы почта нормально получалась для моего домена из вне, а чтобы отправлять почту нужно авторизовываться в любом случае, даже если я не принадлежу этому домену

>>Так эта конфа пойдет для того, чтобы почта нормально получалась для моего
>>домена из вне, а чтобы отправлять почту нужно авторизовываться в любом
>>случае, даже если я не принадлежу этому домену
>У вас какая-то очень странная терминология...
>Если я правильно понял, ваш вопрос, то да.

Может я неправильно выражаюсь, но просто я запутался, во всех советах которые почитал по форуму пишут по разному по схожей проблеме. Последний раз попробую объяснить мою простую задачу: принимать почту от всех для моего домена, за исключением черных списков из ordb.org, а отправлять только от тех, кто сможет авторизоваться независимо от того от куда пришел (из собственного домена или из вне). Так понятно?

>Нет не понятно. что значит "отправлять" в вашем понимании???
>если smtp(8), то это одно, если smtpd(8) в ситуациях когда "RCPT TO: <не@ваш.домен>" (это называется relaying), то это совершенно другое.
>Hint: письма не берутся из воздуха - с точки зрения postfix все
>письма сначала являются входящими.

Отправлять в моем понимании, это - доставлять почту (в моем непростом случае доставлять почту на любой почтовый адрес в интернете от авторизованных клиентов клиентов, т.е релеить только от аутентифиц-х клиентов, для остальных только доставлять почту на мой домен)

Вы же здесь на форуме советовали вот это другому человеку:
smtpd_client_restrictions = permit_sasl_authenticated
smtpd_recipient_restrictions = permit_tls_clientcerts,permit_sasl_authenticated,
permit_mynetworks,reject_unauth_destination,reject_unknown_recipient_domain
smtpd_sasl_auth_enable = yes
smtpd_sasl_security_options = noanonymous
smtpd_sender_restrictions = permit_mynetworks, permit_auth_destination, permit_sasl_authenticated, reject

а мне сказали,что строка smtpd_client_restrictions = permit_sasl_authenticated не нужна, а строка
smtpd_sender_restrictions = permit_mynetworks, permit_auth_destination, permit_sasl_authenticated, reject вообще запретит прием почты из вне

Большое спасибо, что помогли разобраться!

>И таких админов берут на работу... :-) Эх.
>В примере указано, что если в "mail from:" будет в виде имя@ваш_домен,
>то будет запрашиваться авторизация.

Я не просил бы не оскорблять, я с postfix столкнулся впервые и просто хочу понять, а не бездумно прописывать непонятные опции