postfix inbound/outbound

Van valami triviális módja, hogy szétválasszam postfix-ben az inbound és outbound forgalmat (tehát ami bejön a céghez és ami kimegy a cégtől)? Ha jól értem, a postfix szempontjából mindegy a dolog, mail-mail.

Amiért érdekes lenne, hogy más content filtereket tennék a két irányra (tök felesleges rátenni vmit az inbound-ra, aminek igazából az outbound-on volna értelme, stb.)

Amik eszembe jutottak:

- külön szerverek az inbound-ra és az outbound-ra

- mivel loadbalancerek között vannak a postfix-ek, a belső LB-t (outbound) beállíthatom akár úgy is, hogy a member-ek 2525-ös portjára küldje a forgalmat, a külsőt (inbound) meg úgy, hogy a 3535-re és a master.cf -ben csinálok olyan láncot, amiben a megfelelő portra beeső forgalom a megfelelő content filtereken megy keresztül, csak ez is ilyen jobb kézzel bal fül vakarás lenne

Valami jó ötlet?

Thx.

Hozzászólások

Szerkesztve: 2020. 03. 23., h - 21:58

Én is hasonlóan jártam. Kiküldött levél számoló scriptet nem tudtam kizárólag kimenőre tenni. Ráfutott bejövőnél is, csak a fetétel vizsgálat miatt tovább engedte, nem kavart be, de feleseges erőforrás és hibalehetőség volt.

Nekem az vált be, hogy van egy hoston postfix+dovecot, mint imap szerver és másik hoston van postfix+dovecot, mint smtp szerver. Utóbbinál azért van dovecot, mert kényelmesebbnek tűnt volt azzal megoldani, mint simán SASL-lal.

Imap szerveren postfix szinten több szabály esélyt sem ad a levélfeladásra, sem a külső piszkálásra. A támadók általában az MX-et kérdezik le és próbálkoznak 25-ös porton. Innen rögtön le is pattannak. Az smtp szerver címét pedig nem ismerik.

Biztosak vagytok ebben? Már pár éve volt, nem emlékszem a részletekre, de pl. a bejövő leveleket vírus és spam szűrtem, a kimenőket meg nem.

Én úgy emlékszem, hogy a postfix doksijában megtaláltam egyszerűen a megoldást.

Szerintem nézzétek meg, mit ír a vírusszűrésnél a doksi, mert ott biztos van erre példa.

Igazad van, előhoztál egy régi emlékfoszlányt, lehet kimenőre is, de úgy tudom csak az egyik változatot.

Ha nem tévedek, a main.cf-ben policyd daemont vagy master.cf-ben smtp -o filtert lehet alkalmazni. Utóbbi tud csak output irányt. Legalább is nekem a main.cf-ben lévő policyd daemon bejövőnél is lefutott.

Ha interface/IP alapján elkülöníthető a forgalom, akkor a master.cf-ben rendeld IPhez a bejövőt, másik IPhez a kimenőt, és azt állítasz be, amit szeretnél. Ugyanígy lehet porthoz is, ha a kimenőt másik porthoz rendeled (a bejövőt értelemszerűen nem tudod módosítani, ha közvetlen kapja a leveleket)

Na rákerestem. A kereső kifejezés a postfix content filter volt.

Ezt találtam: http://www.postfix.org/SMTPD_PROXY_README.html

Így volt beállítva:

25-ös porton figyel, internet felől bejövő email-t megkapja, content filtert ráereszti, ha nem eldobandó, akkor megy a queue-ba és kézbesíti, ahogy kell.

Kimenő leveleket a submission porton vár a belső háló felől, content filter nélkül mennek a queue-ba.

587-es port kimenőre és master.cf ben beconfigolod. De lehet külön postfix is.