Postfix - blokowanie IP ?

Bartek Jakubski migo w supernet.com.pl
Pon, 7 Lip 2003, 17:33:07 CEST 

On Mon, Jul 07, 2003 at 11:54:18AM +0200, Quickest wrote:
> On Sun, 6 Jul 2003 14:55:28 +0200
> Bartek Jakubski <migo w supernet.com.pl> wrote:
> 
>>> tymczasem:
>>> ip REJECT 
>>> nie działa wcale, jak to powinno to wyglądać poprawnie, aby postfix odbijał pocztę z danego ip ?
>>> 
>> 
>> Pokaż wynik 'postconf|grep restriction'.
>> 
> 
> [root w danger mail]# postconf|grep restriction
> smtpd_client_restrictions = reject_rbl_client relays.ordb.org, hash:/etc/mail/access
> smtpd_data_restrictions =
> smtpd_etrn_restrictions =
> smtpd_helo_restrictions =
> smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination
> smtpd_restriction_classes =
> smtpd_sender_restrictions = hash:/etc/mail/access
> [root w danger mail]#
> 
> Tak, to powinno wyglądać prawidłowo ? Czy inaczej ? Bo chyba, coś nie do końca, mam to dobrze skonfigurowane.
> 
To generalnie jest prawidłowo, inna sprawa, co _dokładnie_ chciałes
osiągnąć. Jedna sprawa - zwykle początkujący w postfiksie mają z tym
problemy - czym się różnią smtpd_client_restrictions,
smtpd_sender_restrictions i smtpd_recipient_restrictions. (no
i powiedzmy *_data_*). Otóż nazwy tych parametrów nie określają co jest
sprawdzane w wymienionych w nich regułkach, tylko _kiedy_ są sprawdzane
te regułki.
smtpd_client_restrictions jest sprawdzane po połączeniu klienta
smtpd_sender_restrictions po 'MAIL FROM:' w sesji SMTP
smtpd_recipient_restrictions po 'RCPT TO:'

czyli w smtpd_client_restrictions nie możesz sprawdzać po adresie
nadawcy, bo zwyczajnie postfix go jeszcze nie zna.
W smtpd_recipient_restrictions możesz korzystać z wszystkich regułek.
Jeszcze żeby uniknąć nieporozumień: domyślnie ustawione jest
'smtpd_delay_reject = yes', co powoduje, że jeśli np. jakaś regułka
z smtpd_client_restrictions spowoduje odrzucenie maila, to komunikat
o tym klient dostanie i tak dopiero po 'RCPT TO:'.

Nie wiem, co tam trzymasz w /etc/mail/access, ale to co masz
w smtpd_client_restrictions jest równoważne:
  reject_rbl_client relays.ordb.org 
  check_client_access hash:/etc/mail/access

Czyli access będzie sprawdzone pod kątem adresu i domeny klienta. Zwróć
uwagę, że umieszczenie tam 'OK' nie ma a bardzo sensu (tzn. może mieć
w specyficznej sytuacji), bo i tak potem będzie sprawdzone
smtpd_recipient_restrictions i poczta i tak może zostać odrzucona.

Generalnie: zwykle czytelniej jest wrzucić wszystko do
smtpd_recipient_restrictions, np:

smtpd_recipient_restrictions = 
  permit_mynetworks
  permit_sasl_authenticated
  check_client_access hash:/etc/mail/access
  check_sender_access hash:/etc/mail/access
  reject_rbl_client relays.ordb.org
  permit_auth_destination
  reject

To tak przykładowo, to dostosowania dla siebie.

-- 
-- .- Bartek Jakubski --------------------- Sosnowiec -. --
-- |  Free Software is a matter of liberty, not price  | --
-- `---------------(http://www.fsf.org/philosophy)-----' --

Więcej informacji o liście dyskusyjnej pld-users-pl