Van valami triviális módja, hogy szétválasszam postfix-ben az inbound és outbound forgalmat (tehát ami bejön a céghez és ami kimegy a cégtől)? Ha jól értem, a postfix szempontjából mindegy a dolog, mail-mail.
Amiért érdekes lenne, hogy más content filtereket tennék a két irányra (tök felesleges rátenni vmit az inbound-ra, aminek igazából az outbound-on volna értelme, stb.)
Amik eszembe jutottak:
- külön szerverek az inbound-ra és az outbound-ra
- mivel loadbalancerek között vannak a postfix-ek, a belső LB-t (outbound) beállíthatom akár úgy is, hogy a member-ek 2525-ös portjára küldje a forgalmat, a külsőt (inbound) meg úgy, hogy a 3535-re és a master.cf -ben csinálok olyan láncot, amiben a megfelelő portra beeső forgalom a megfelelő content filtereken megy keresztül, csak ez is ilyen jobb kézzel bal fül vakarás lenne
Valami jó ötlet?
Thx.
- 218 megtekintés
Hozzászólások
Én is hasonlóan jártam. Kiküldött levél számoló scriptet nem tudtam kizárólag kimenőre tenni. Ráfutott bejövőnél is, csak a fetétel vizsgálat miatt tovább engedte, nem kavart be, de feleseges erőforrás és hibalehetőség volt.
Nekem az vált be, hogy van egy hoston postfix+dovecot, mint imap szerver és másik hoston van postfix+dovecot, mint smtp szerver. Utóbbinál azért van dovecot, mert kényelmesebbnek tűnt volt azzal megoldani, mint simán SASL-lal.
Imap szerveren postfix szinten több szabály esélyt sem ad a levélfeladásra, sem a külső piszkálásra. A támadók általában az MX-et kérdezik le és próbálkoznak 25-ös porton. Innen rögtön le is pattannak. Az smtp szerver címét pedig nem ismerik.
- A hozzászóláshoz be kell jelentkezni
Biztosak vagytok ebben? Már pár éve volt, nem emlékszem a részletekre, de pl. a bejövő leveleket vírus és spam szűrtem, a kimenőket meg nem.
Én úgy emlékszem, hogy a postfix doksijában megtaláltam egyszerűen a megoldást.
Szerintem nézzétek meg, mit ír a vírusszűrésnél a doksi, mert ott biztos van erre példa.
disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.
- A hozzászóláshoz be kell jelentkezni
Igazad van, előhoztál egy régi emlékfoszlányt, lehet kimenőre is, de úgy tudom csak az egyik változatot.
Ha nem tévedek, a main.cf-ben policyd daemont vagy master.cf-ben smtp -o filtert lehet alkalmazni. Utóbbi tud csak output irányt. Legalább is nekem a main.cf-ben lévő policyd daemon bejövőnél is lefutott.
- A hozzászóláshoz be kell jelentkezni
Azt mondod, a master.cf -ben a "-o content_filter" az csak outbound?
Úgy tudtam, a master.cf override-olja a main.cf -ben leírtakat + service-enként lehet külön működést beállítani.
- A hozzászóláshoz be kell jelentkezni
Biztos nem vagyok, de többször átolvasva a dolgot sem találtam mást.
Ha tudsz vmi jó kereső kifejezést, akkor nézzük meg azzal.
- A hozzászóláshoz be kell jelentkezni
Ha interface/IP alapján elkülöníthető a forgalom, akkor a master.cf-ben rendeld IPhez a bejövőt, másik IPhez a kimenőt, és azt állítasz be, amit szeretnél. Ugyanígy lehet porthoz is, ha a kimenőt másik porthoz rendeled (a bejövőt értelemszerűen nem tudod módosítani, ha közvetlen kapja a leveleket)
- A hozzászóláshoz be kell jelentkezni
Na rákerestem. A kereső kifejezés a postfix content filter volt.
Ezt találtam: http://www.postfix.org/SMTPD_PROXY_README.html
Így volt beállítva:
25-ös porton figyel, internet felől bejövő email-t megkapja, content filtert ráereszti, ha nem eldobandó, akkor megy a queue-ba és kézbesíti, ahogy kell.
Kimenő leveleket a submission porton vár a belső háló felől, content filter nélkül mennek a queue-ba.
disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.
- A hozzászóláshoz be kell jelentkezni
587-es port kimenőre és master.cf ben beconfigolod. De lehet külön postfix is.
- A hozzászóláshoz be kell jelentkezni
A legjobb szerintem a postmulti - http://www.postfix.org/MULTI_INSTANCE_README.html
- A hozzászóláshoz be kell jelentkezni