Настройка ACL для контроля использования алиасов

Материал из База знаний УИТ РХТУ
Перейти к: навигация, поиск

Включение ACL

Вместе с почтовым сервером postfix предоставляется механизм контроля доступа пользователя по access list(ACL). Поэтому никаких дополнительных действий по его включению не требуется.

Общие сведения по настройка ACL

ACL позволяет блокировать и разрешать отправку и прием писем из внутренней сети, внешней сети , конкретному пользователю, группе пользователей, алиасу и доменам. Все необходимые изменения вносятся в файл main.cf, а так же в созданные файлы *_access_list(название может быть любым).

Во время любой из этих двух стадий возможно проверять права как отправителя так и получателя письма. Для этого используются команды:

Обе эти команды имеют одинаковую сигнатуру записи, рассмотрим ее на примере check_recipient_access check_recipient_access hash:/etc/postfix/access_lists/access_list - здесь обязательно указывается тип бд(hash в данном случае бд в одном файле) в котором хранится список, и полный путь до файла без разшерения. Сам же список должен быть устроен следующим образом:

user1@domen1.ru       OK
user2@domen.ru        reject
user3@domen1.ru       access_class
user4@domen.ru        permit_sasl_authenticated, reject_unauth_destination, permit_mynetworks

в данном случае:

Более подробно следует рассмотреть access_class, он задается пользователем в файле main.cf в параметре smtpd_restriction_classes и предназначен для объединения множества проверок в единую группу с коротким и емким названием. Для этого необходимо написать следующее:

smtpd_restriction_classes =
        ...
        access_class,
        ...

access_class =
        check_sender_access hash:/etc/postfix/access_lists/conc_access_list

Важным замечанием при настроки параметров доступа:

Действующая настройка ACL на почтовом сервере РХТУ

ACL на почтовом сервере РХТУ используются для контроля доступа к алиасам. Для этого необходимо проводить проверку не только получателя отправляемой почты(т.е. алиас), но и отправителя чтобы выяснить есть ли у него права на отправку на данный алиас. Это достигается следующей комбинацией правил:

smtpd_recipient_restrictions =
        check_recipient_access hash:/etc/postfix/access_lists/recipient_access
        ...

smtpd_restriction_classes =
        access_class,
        ...

access_class =
        check_sender_access hash:/etc/postfix/access_lists/sender_access_list

Таким образом мы сначала проверяем отправителя письма, на то является ли он искомым нами алиасом, а затем проверяем отправителя сообщения на парва отправки сообщений на этот алиас. Сами файлы выглядят следующим образом:

/etc/postfix/access_lists/recipient_access:
...
aliase@muctr.ru    access_class, reject
...

/etc/postfix/access_lists/sender_access_list:
...
user@muctr.ru           OK
...

Стоит заметить что указание reject в данном случае обязательно, так как разрешенных пользователей меньше чем запрещенных, удобнее создать список разрешонных пользователей, а всем остальным запретить отправку.

Личные инструменты
Пространства имён
Варианты
Действия
Навигация
Инструменты