https://opennet.ru/openforum/vsluhforumID1/92057.html Имеется почтовый сервер с Postfix 2.5.5 на debian lenny. Проблема в том, что open relay остается открытым для списка access. Как его закрыть для них? Конфигурировал почтовик не я и пока postfix.org не помог разобраться.<br><br>postconf -n:<br><br>alias_database = hash:/etc/postfix/aliases, hash:/etc/postfix/vse<br>alias_maps = hash:/etc/postfix/aliases<br>command_directory = /usr/sbin<br>config_directory = /etc/postfix<br>content_filter = scan:127.0.0.1:8025<br>daemon_directory = /usr/lib/postfix<br>debug_peer_level = 2<br>disable_vrfy_command = yes<br>header_checks = regexp:/etc/postfix/header_checks<br>html_directory = no<br>inet_interfaces = all<br>local_recipient_maps = unix:passwd.byname $alias_maps<br>mail_owner = postfix<br>mailbox_size_limit = 0<br>mailq_path = /usr/local/bin/mailq<br>manpage_directory = /usr/local/man<br>maps_rbl_reject_code = 550<br>maximal_queue_lifetime = 3d<br>message_size_limit = 26000000<br>mydestination = $myhostname, localhost.$mydomain, $mydomain, mail.$mydomain, www.$mydomain, ftp.$mydomain, <br>mydomain = mydomain.ru<br>m https://opennet.ru/openforum/vsluhforumID1/92057.html#9 Mon, 08 Aug 2011 22:26:53 GMT &gt;&gt; Вам и предложили <br>&gt;&gt; 2 варианта: <br>&gt;&gt; 1. Разрешить пропускать почту только с себя. Что по сути лишает почтовый <br>&gt;&gt; сервер его фукнционала напрочь.<br>&gt;&gt; 2. Пропускать почту только от авторизованных пользователей.<br>&gt;&gt; Больше вариантов без нарушения функциональности не существует.<br>&gt; Спасибо всем ответившим и особенно Дяде Федору, за понятные и метафоричные коменты. <br>&gt; Проблема сформулирована верно, но действительно не имеет решения.<br><br>Имеет!!!. Скоро кончатся все летние каникулы и телепаты вернуться из турции!<br><br>И тут же станет всем понятна схема Вашей сети (они - телепаты - расскажут. Нет - не на форуме - просто ВЕСЬ МИР сразу будет ЗНАТЬ что у Вас происходит (ну телепаты ешкин кот - что с них возьмешь?)), и что Вы хотели добиться, и что делали, и что не получилось.<br><br>Эти отдохнувшие дядтки и тетки так навалятся на работу, что Вам даже логов высылать не придется!!! Просто наберитесь терпения.<br><br>&gt; Тему можно закрывать.<br><br>Неужели?<br><br>PS<br>все телепаты 1-е сентября с 1-м апрлеля путают... может еще несколь https://opennet.ru/openforum/vsluhforumID1/92057.html#8 Fri, 05 Aug 2011 13:44:54 GMT &gt; Спасибо всем ответившим и особенно Дяде Федору, за понятные и метафоричные коменты. <br>&gt; Проблема сформулирована верно, но действительно не имеет решения.<br><br>Нэма за що. :) Если не возражаете - то может все-таки ответите на вопрос. В связи чем возникло желание запретить машинкам из собственной сети пересылать почту через почтовый сервер? У меня просто есть устойчивое ощущение, что Вы просто неверно сформулировали вопрос. Может быть проблема в спаме, который периодически (что неизбежно) будет пролетать из внутренней сети? Ну и от себя замечу, что у меня, например, в Постфиксе те, кому разрешена пересылка обозначены так в main.cf: mynetworks = cidr:/etc/postfix/network-table<br>Ну и дальше, естественно, простейший файлик, в котором перечислены сети в формате CIDR.<br><br> https://opennet.ru/openforum/vsluhforumID1/92057.html#7 Fri, 05 Aug 2011 12:14:37 GMT &gt; Вам и предложили <br>&gt; 2 варианта: <br>&gt; 1. Разрешить пропускать почту только с себя. Что по сути лишает почтовый <br>&gt; сервер его фукнционала напрочь.<br>&gt; 2. Пропускать почту только от авторизованных пользователей.<br>&gt; Больше вариантов без нарушения функциональности не существует. <br><br>Спасибо всем ответившим и особенно Дяде Федору, за понятные и метафоричные коменты. Проблема сформулирована верно, но действительно не имеет решения.<br><br>Тему можно закрывать.<br> https://opennet.ru/openforum/vsluhforumID1/92057.html#6 Thu, 04 Aug 2011 11:42:44 GMT &gt; Не очень понятен смысл вашего возбужденного опуса. Вопрос однозначен - "как закрыть <br>&gt; open relay" и другого я нигде не писал и не спрашивал. <br><br> У Вас каша в голове. Почтовый сервер компании по сути своей является "open relay" для сети компании! Это его основное предназначение! А каша Ваша заключается в том, что Вы не понимаете, что такое на самом деле open relay. Это сервер, который пропускает почту со ВСЕГО мира! Вот классическое определение термина open relay. Вам и предложили 2 варианта:<br>1. Разрешить пропускать почту только с себя. Что по сути лишает почтовый сервер его фукнционала напрочь.<br>2. Пропускать почту только от авторизованных пользователей.<br>Больше вариантов без нарушения функциональности не существует. Вы же хотите чего "странного". Хирургическим путем приделать к бабушке я..ца, но при этом, чтобы она не становилась дедушкой. Может хоть так дойдет?<br>Чем Вам, собственно, мешает то, что почтовый сервер выполняет свое предназначение? То есть - пропускает почту со своей сети. Может Вы просто н https://opennet.ru/openforum/vsluhforumID1/92057.html#5 Thu, 04 Aug 2011 10:06:10 GMT &gt;[оверквотинг удален]<br>&gt;&gt; умственных, так и физических.<br>&gt; Не очень понятен смысл вашего возбужденного опуса. Вопрос однозначен - "как закрыть <br>&gt; open relay" и другого я нигде не писал и не спрашивал. <br>&gt; Однако это не значит, что надо лишать сервер уже имеющегося функционала. <br>&gt; Первый вариант решает одну проблему, но добавляет новую, что недопустимо. Авторизация <br>&gt; не подходит, т.к. это усложняет работу и уже влияет на клиентскую <br>&gt; сторону.<br>&gt; Само собой свои умственные и физический ресурсы активно привлекаются к решению данной <br>&gt; проблемы. Насильно, ваши усилия мне не нужны. Если у вас нет <br>&gt; времени и желания на это - свободны.<br><br>может быть установить в разрешенных сетях smtp-сервера? если юниксы не хотите там ставить то и под винду попадались даже бесплатные в свое время, там же и рулить отправкой, тогда можно прописать не сети, а конкретные ip/32 в конфиге постфикса. <br> https://opennet.ru/openforum/vsluhforumID1/92057.html#4 Thu, 04 Aug 2011 08:19:21 GMT &gt;[оверквотинг удален]<br>&gt;&gt; что и остальной инет к нам, то убрать адреса вида xxx.xxx.xxx.0/24 <br>&gt;&gt; нельзя.<br>&gt; Вы спросили - как его закрыть - Вам ответили. Вы бы <br>&gt; определились для начала - Вам надо его ЗАКРЫТЬ или не надо? <br>&gt; Еще один вариант - настроить отправку почты с авторизацией по паролю. <br>&gt; Но Вам ведь тоже это не подойдет, правда? Это ж надо <br>&gt; каждого клиента перенастраивать? Ну тогда по окружающим прудам пошарьтесь - может <br>&gt; кувшин с Хоттабычем найдете. Они (Хоттабычи) обычно делают так, что "оно <br>&gt; само" начинает работать. Все остальные варианты предполагают приложения усилий - как <br>&gt; умственных, так и физических.<br><br>Не очень понятен смысл вашего возбужденного опуса. Вопрос однозначен - "как закрыть open relay" и другого я нигде не писал и не спрашивал. Однако это не значит, что надо лишать сервер уже имеющегося функционала. Первый вариант решает одну проблему, но добавляет новую, что недопустимо. Авторизация не подходит, т.к. это усложняет работу и уже влияет на клиентскую сторону. <br><br> https://opennet.ru/openforum/vsluhforumID1/92057.html#3 Thu, 04 Aug 2011 07:04:38 GMT &gt; Этот вариант, не подходит потому, что внешние офисы так же отправляют почту <br>&gt; через этот сервер, а поскольку они идут через тот же гейт, <br>&gt; что и остальной инет к нам, то убрать адреса вида xxx.xxx.xxx.0/24 <br>&gt; нельзя.<br><br> Вы спросили - как его закрыть - Вам ответили. Вы бы определились для начала - Вам надо его ЗАКРЫТЬ или не надо? Еще один вариант - настроить отправку почты с авторизацией по паролю. Но Вам ведь тоже это не подойдет, правда? Это ж надо каждого клиента перенастраивать? Ну тогда по окружающим прудам пошарьтесь - может кувшин с Хоттабычем найдете. Они (Хоттабычи) обычно делают так, что "оно само" начинает работать. Все остальные варианты предполагают приложения усилий - как умственных, так и физических.<br><br> https://opennet.ru/openforum/vsluhforumID1/92057.html#2 Thu, 04 Aug 2011 06:17:23 GMT &gt;&gt;&gt; mynetworks = xxx.xxx.xxx.0/24, xxx.xxx.rrrr.0/24, 127.0.0.0/8 <br>&gt; Оставить mynetworks = 127.0.0.0/8 <br><br>Этот вариант, не подходит потому, что внешние офисы так же отправляют почту через этот сервер, а поскольку они идут через тот же гейт, что и остальной инет к нам, то убрать адреса вида xxx.xxx.xxx.0/24 нельзя.<br><br><br> https://opennet.ru/openforum/vsluhforumID1/92057.html#1 Thu, 04 Aug 2011 02:49:55 GMT &gt;&gt; mynetworks = xxx.xxx.xxx.0/24, xxx.xxx.rrrr.0/24, 127.0.0.0/8<br><br> Оставить mynetworks = 127.0.0.0/8<br>