El 07/11/2011 02:48 p.m., Damián Tomey Soto escribió:
Comunidad, estoy configurando un servidor postfix como mailrelay para
mi servidor interno de correo mdaemon el cual en un futuro no muy
lejano lo cambiaré a swl pero ahora este es el escenario que tengo:
Internet --- Firewall --- Postfix --- Firewall --- MDaemon
He seguido al detalle todo lo referente a postfix en estas últimas
semanas además de intercambiar con algunos miembros de la comunidad
para dudas, etc. Además he leído bastante documentación al respecto y
ya voy entendiendo como funciona postfix pero me surgen las siguientes
dudas:
Primero: en mi MDaemon tengo configurado los usuarios que pueden
recibir correos "de afuera" así como enviar "para afuera", entonces me
suerge la duda: ¿cómo traslado estas restricciones al postfix para
evitar que desde el exterior el postfix reciba un correo para un
usuario que no tiene permitida la entrada y el mdaemon no lo acepte?
Segundo: como configuro Postfix y MDaemon para que la comunicación
entre ellos sea segura???
Gracias, espero por la valiosa ayuda de ustedes.
______________________________________________________________________
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
Restricciones en postfix por dominio
Version 1 -- poner solo las direcciones que seran nacionales
En main.cf
===================
# En el archivo usuarios_nac se ponen SOLO los usuarios que NO pueden enviar
correo internacional
# El el archivo usuarios_nac_recv se ponen SOLO los que podran NO recibir
correos internacioneales
# En el archivo filtro_nac se definen que dominios son conciderados como
nacionales
smtpd_restriction_classes = nac_only
nac_in_only
smtpd_recipient_restrictions = check_sender_access
hash:/etc/postfix/usuarios_nac
permit_mynetworks
check_relay_domains
reject_unknown_hostname
reject_non_fqdn_hostname
reject_unknown_client
smtpd_sender_restrictions = check_recipient_access
hash:/etc/postfix/usuarios_nac_recv
permit
nac_only = check_recipient_access hash:/etc/postfix/filtro_nac
reject
nac_in_only = check_sender_access hash:/etc/postfix/filtro_nac
reject
==============================
En usuarios_nac Se ponen los usuarios que no podran enviar correos
internacionales
=============
#usuarios limitados
p...@centos.suse.cu nac_only
============================
En usuarios_nac_recv Se ponen los usuarios que no podran recibir correos
internacionales
=====================
#usuarios limitados
p...@centos.suse.cu nac_in_only
====================================
En filtro_nac se ponen el o los dominios que se concideran nacionales o a los
que se les dara acceso a los usuarios limitados
=====================
#dominios permitidos
cu OK
======================
___________________________________________________________________________
Version 2 --- Poner solo las cuentas de acceso total
En main.cf
\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\
# En el archivo usuarios_out se ponen SOLO los usuarios que pueden enviar
correos internacionales
# En el archivo usuarios_in se ponen SOLO los que pueden recivir correos
internacionales
# Ambos grupos de usuarios podran recibir correos nacionales
# En el archivo filtro_nac se de finen que dominios son conciderados como
nacionales
smtpd_recipient_restrictions = check_sender_access
hash:/etc/postfix/usuarios_out
check_recipient_access
hash:/etc/postfix/filtro_nac
reject
smtpd_sender_restrictions = check_recipient_access
hash:/etc/postfix/usuarios_in
check_sender_access hash:/etc/postfix/filtro_nac
reject
\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\
En usuarios_out
\\\\\\\\\\\\\\\\\\\
# envian internacional
ama...@slackware.debian.cu OK
p...@slackware.debian.cu OK
\\\\\\\\\\\\\\\\\\\\\\\\\
En usuarios_in
\\\\\\\\\\\\\\\\\\\\\\\\\\\\\
# reciben internacional
ama...@slackware.debian.cu OK
p...@slackware.debian.cu OK
\\\\\\\\\\\\\\\\\\\\\\\\\\
En filtro_nac
\\\\\\\\\\\\\\\\\\\\\\\\\
#Dominios permitidos
cu OK
\\\\\\\\\\\\\\\\\\\\\\
Ventajas de la version 2 sobre la version 1
Usualmente en una empresa hay mas cuentas nacionales que internacionales, por
lo que esta version facilita el trabajo del administrador
Comentarios adicionales
El archivo filtro_nac puede ser separado en dos partes, quedando asi usuarios
que pueden recivir de un dominio, pero que no pudieran enviar a este, o
visceversa, sois libres de imaginar cualquier version / variacion de esto.
En este archivo los dominios que se pongan tendrán concordancia para sus
subdominios, ej cu será valido para *.cu, si se pone prueba.cu sera valido
para *.prueba.cu pero no para test.cu
Para que la version 1 funcione debemos asegurarnos que smtpd_delay_reject =
yes esto se puede verificar revisando la salida de postconf, por defecto este
parámetro esta en yes por lo que generalmente no será necesario tocarlo...
Que hacer cuando las cosas no funcionan???
Existen dos directivas de main.cf que pueden ayudar a la hora de corregir
errores
debug_peer_level =
debug_peer_list =
La primera controla la cantidad de informacion que se escribe en los logs, por
defecto esta en 2 para corregir errores de este tipo deberia ser aumentada a
4 y la segunda especifica para que hosts o redes sera valido el aumento de
los logs de la directiva anterior, poner aqui la red o host que se esta
analizando o hacer igual a $mynetworks
*********************
¿Lo de la comunicación segura no entiendo a donde quieres llegar?
Salu2
--
Juan Carlos Hernández Gallardo
Administrador de Red
Direc. Prov. de Finanzas y Precios
Nodo, Ciego de Ávila
Email: jchernan...@ca.mfp.gov.cu
Telf: (0133) 224712
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL:
<http://listas.jovenclub.cu/pipermail/gutl-l/attachments/20111107/2c0be927/attachment.htm>
______________________________________________________________________
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
