[U-co] restricciones de envio de correo postfix

Diego Umba sadmanrock en gmail.com
Vie Abr 17 14:29:44 BST 2009


Buenos Dias


Tengo un inconveniente y este es el ultimo recurso que agoto antes de tomar
una desicion de un cambio de estructura con el fin de alcanzar el objetivo
de seguridad de correo de la organizacion en la cual me desempeño.
El contexto del problema radica que en la organizacion de acuerdo a los
perfiles de usuario se deben tener restricciones de salida externa (salida
de correos por fuera del dominio) a algunos empleados y otros con salida de
correos a todos los dominios.
La estructura actual de correos cuenta con lo siguiente servidor de correos
postfix, dovecot, dbmail, ldap y herramientas de control antiespam como
Mailscanner, Clamav y Postgrey, la cual esta configurada de la siguiente
forma:
Postfix esta enlazada con dbmail y dbmail esta enlazada con ldap para traer
los usuarios y guardar los correos entrantes en el servidor.
He leido en los ultimos dias todo lo referente a los 3 programas y como se
enlazan pero no he encontrado informacion para tener restricciones para
salida de correo unicamente a algunos usuarios con dbmail y postfix.
Si alguna persona tiene algun manual explicativo de este proceso o tiene
sugerencias de soluciones a este inconveniente se lo agradeceria mucho.
Informo los archivos de configuracion del postfix main.cf, master.cf, porque
se que esto podria ser de gran ayuda.


# See /usr/share/postfix/main.cf.dist for a commented, more complete version


# Debian specific:  Specifying a file name will cause the first
# line of that file to be used as the name.  The Debian default
# is /etc/mailname.
#myorigin = /etc/mailname

smtpd_banner = $myhostname ESMTP $mail_name (Ubuntu)
biff = no

# appending .domain is the MUA's job.
append_dot_mydomain = no

# Uncomment the next line to generate "delayed mail" warnings
#delay_warning_time = 4h

readme_directory = no

# TLS parameters
smtpd_tls_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem
smtpd_tls_key_file=/etc/ssl/private/ssl-cert-snakeoil.key
smtpd_use_tls=yes
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache

# See /usr/share/doc/postfix/TLS_README.gz in the postfix-doc package for
# information on enabling SSL in the smtp client.

myhostname = mail.abogadoscac.com.co
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
myorigin = /etc/mailname
mydestination = ####, #######, ########, localhost
relayhost =
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128 192.168.0.0/24
192.168.2.0/29
mailbox_size_limit = 209725440
recipient_delimiter = +
inet_interfaces = all
local_recipient_maps =
header_checks = regexp:/etc/postfix/header_checks
mailbox_transport = dbmail-lmtp:127.0.0.1:24

smtpd_helo_required = yes

smtpd_helo_restrictions = reject_invalid_hostname

smtpd_recipient_restrictions =
                            permit_mynetworks,
                            reject_invalid_hostname,
                            reject_non_fqdn_sender,
                            reject_non_fqdn_recipient,
                            reject_unknown_recipient_domain,
                            reject_unauth_pipelining,
                            reject_unknown_sender_domain,
                            reject_unauth_destination,
#                           check_sender_access
hash:/etc/postfix/restricted_out

smtpd_data_restrictions = reject_unauth_pipelining
#smtpd_restriction_classes = nac_out
#nac_out = check_recipient_access hash:/etc/postfix/filtro_nac,
reject_unauth_destination, reject

Nota: Los comentarios # en los smtpd_recipient_restrictions son debidos a
algunas pruebas que se hicieron para la restriccion

Archivo de configuracion master.cf

#  -o milter_macro_daemon_name=ORIGINATING
#628      inet  n       -       -       -       -       qmqpd
pickup    fifo  n       -       -       60      1       pickup
cleanup   unix  n       -       -       -       0       cleanup
qmgr      fifo  n       -       n       300     1       qmgr
#qmgr     fifo  n       -       -       300     1       oqmgr
tlsmgr    unix  -       -       -       1000?   1       tlsmgr
rewrite   unix  -       -       -       -       -       trivial-rewrite
bounce    unix  -       -       -       -       0       bounce
defer     unix  -       -       -       -       0       bounce
trace     unix  -       -       -       -       0       bounce
verify    unix  -       -       -       -       1       verify
flush     unix  n       -       -       1000?   0       flush
proxymap  unix  -       -       n       -       -       proxymap
proxywrite unix -       -       n       -       1       proxymap
smtp      unix  -       -       -       -       -       smtp
# When relaying mail as backup MX, disable fallback_relay to avoid MX loops
relay     unix  -       -       -       -       -       smtp
        -o smtp_fallback_relay=
#       -o smtp_helo_timeout=5 -o smtp_connect_timeout=5
showq     unix  n       -       -       -       -       showq
error     unix  -       -       -       -       -       error
retry     unix  -       -       -       -       -       error
discard   unix  -       -       -       -       -       discard
local     unix  -       n       n       -       -       local
virtual   unix  -       n       n       -       -       virtual
lmtp      unix  -       -       -       -       -       lmtp
anvil     unix  -       -       -       -       1       anvil
scache    unix  -       -       -       -       1       scache
#
# ====================================================================
# Interfaces to non-Postfix software. Be sure to examine the manual
# pages of the non-Postfix software to find out what options it wants.
#
# Many of the following services use the Postfix pipe(8) delivery
# agent.  See the pipe(8) man page for information about ${recipient}
# and other message envelope options.
# ====================================================================
#
# maildrop. See the Postfix MAILDROP_README file for details.# Also specify
in main.cf: maildrop_destination_recipient_limit=1
#
maildrop  unix  -       n       n       -       -       pipe
  flags=DRhu user=vmail argv=/usr/bin/maildrop -d ${recipient}
#
# See the Postfix UUCP_README file for configuration details.
#
uucp      unix  -       n       n       -       -       pipe
  flags=Fqhu user=uucp argv=uux -r -n -z -a$sender - $nexthop!rmail
($recipient)
#
# Other external delivery methods.
#
ifmail    unix  -       n       n       -       -       pipe
  flags=F user=ftn argv=/usr/lib/ifmail/ifmail -r $nexthop ($recipient)
bsmtp     unix  -       n       n       -       -       pipe
  flags=Fq. user=bsmtp argv=/usr/lib/bsmtp/bsmtp -t$nexthop -f$sender
$recipient
scalemail-backend unix  -       n       n       -       2       pipe
  flags=R user=scalemail argv=/usr/lib/scalemail/bin/scalemail-store
${nexthop} ${user} ${extension}
mailman   unix  -       n       n       -       -       pipe
  flags=FR user=list argv=/usr/lib/mailman/bin/postfix-to-mailman.py# Also
specify in main.cf: maildrop_destination_recipient_limit=1
#
maildrop  unix  -       n       n       -       -       pipe
  flags=DRhu user=vmail argv=/usr/bin/maildrop -d ${recipient}
#
# See the Postfix UUCP_README file for configuration details.
#
uucp      unix  -       n       n       -       -       pipe
  flags=Fqhu user=uucp argv=uux -r -n -z -a$sender - $nexthop!rmail
($recipient)
#
# Other external delivery methods.
#
ifmail    unix  -       n       n       -       -       pipe
  flags=F user=ftn argv=/usr/lib/ifmail/ifmail -r $nexthop ($recipient)
bsmtp     unix  -       n       n       -       -       pipe
  flags=Fq. user=bsmtp argv=/usr/lib/bsmtp/bsmtp -t$nexthop -f$sender
$recipient
scalemail-backend unix  -       n       n       -       2       pipe
  flags=R user=scalemail argv=/usr/lib/scalemail/bin/scalemail-store
${nexthop} ${user} ${extension}
mailman   unix  -       n       n       -       -       pipe
  flags=FR user=list argv=/usr/lib/mailman/bin/postfix-to-mailman.py
  ${nexthop} ${user}

dbmail-lmtp     unix    -       -       n       -       -       lmtp# (c)
2000-2006 IC&S, The Netherlands
#


Gracias por la atencion prestada

Diego Armando Umba
Ubuntu User:#24876
Linux User:#481001
"El hombre más poderoso, es aquel que es totalmente, dueño de sí mismo"


Más información sobre la lista de distribución Ubuntu-co