Início / server / Perguntas / 1146756
Accepted
user2690527
Asked: 2023-10-28 23:18:45 +0800 CST

Postfix: Ordem de avaliação de `smtpd_client_restrictions`, `smtpd_helo_restrictions`, `smtpd_relay_restrictions` e `smtpd_recipient_restrictions`

  • 772

Em que ordem o Postfix > 2.10 avalia as seguintes diretivas?

  1. smtpd_client_restrictions
  2. smtpd_helo_restrictions
  3. smtpd_relay_restrictions
  4. smtpd_recipient_restrictions

Eu li o relé SMTP do Postfix e o controle de acesso (ACCESS README) e os parâmetros de configuração do Postfix , bem como os comentários em main.cf, mas IMHO os conselhos não são absolutamente claros ou mesmo contraditórios.

Nota: Quando falo sobre um "endereço local", refiro-me a qualquer endereço de destinatário cujo Postfix seja de alguma forma o destino final, ou seja, um endereço cuja parte do domínio esteja listada em mydestination, virtual_alias_domainsou virtual_mailbox_domains. Todo o resto é um endereço não local e o Postfix deve encaminhar o email para outro MTA.

Pergunta 1: As duas primeiras diretivas são sempre avaliadas para qualquer tipo de cliente (MUA e outros servidores SMTP) e qualquer endereço de destino na ordem especificada? Presumo que sim.

Pergunta 2: a) é smtpd_relay_restrictionssempre avaliado ou b) avaliado apenas para domínios de correio não locais?

Pergunta 3: a) é smtpd_recipient_restrictionssempre avaliado ou b) avaliado apenas para endereços locais?

Algumas citações da documentação

A documentação indica smtpd_recipient_restrictionsrestrições opcionais que o servidor Postfix SMTP aplica no contexto de um comando RCPT TO do cliente, após smtpd_relay_restrictions. Isso sugere que smtpd_relay_restrictionsé sempre avaliado, incl. endereços locais. Mas o nome da diretiva implica que ela só é considerada para endereços não locais que são encaminhados/retransmitidos.

A documentação para smtpd_recipient_restrictionsestados a partir do Postfix 2.10, regras de permissão de retransmissão são preferencialmente implementadas com smtpd_relay_restrictions, de modo que uma política permissiva de bloqueio de spam smtpd_recipient_restrictionsnão resultará mais em uma política permissiva de retransmissão de e-mail. Isto sugere que isso smtpd_recipient_restrictionsé considerado apenas para endereços locais, mas ignorado para endereços não locais.

No entanto, há um comentário smtpd_relay_resrictionsno padrão main.cfque afirma que nenhuma ação padrão (permitir ou rejeitar) é colocada no final, porque para servidores de correio externos, esta lista é combinada smtpd_recipient_restrictionse, portanto, uma ação antecipada rejectseria abortada prematuramente. Isso sugere que smtpd_recipient_restrictionsé sempre avaliado.

postfix

1 respostas

  1. Best Answer

    Esses nomes correspondem principalmente aos estágios da sessão SMTP. O documento principal a ser consultado é SMTPD ACCESS README .

    A primeira é a conexão do cliente, por isso smtpd_client_restrictionssão avaliadas. Nesta fase o que está disponível é o endereço IP remoto, seu DNS reverso e avanço do reverso.

    Em seguida emite HELO ou EHLO, que smtpd_helo_restrictionssão avaliados a seguir. O nome apresentado também está disponível nesta fase.

    O próximo é MAIL FROM, assim como smtpd_sender_restrictionso próximo com informações adicionais - remetente do envelope.

    O próximo é RCPT TOo que disponibiliza o destinatário do envelope. Mas aqui está o truque: o servidor agora decide como irá retransmitir o e-mail; então smtpd_relay_restrictionsé avaliado aqui. smtpd_recipient_restrictionsé avaliado a seguir. Isto é explicado em man 5 postconf.

    Em seguida estão smtpd_data_restrictionse smtpd_end_of_data_restrictions, que raramente são usados.

    Todas essas restrições são sempre avaliadas nesta ordem para cada correspondência até que a decisão seja tomada. Isso não depende deste servidor ser o destino final ou não. Ele interrompe a avaliação quando uma decisão definitiva (permitir, rejeitar, adiar) é tomada; por exemplo, se o cliente foi rejeitado no estágio HELO (por algo em smtpd_helo_restrictions), smtpd_recipient_restrictionsnão será avaliado. Porém, se smtpd_delay_reject = yes, a conexão ainda avançará para o estágio RCPT TO, mas como a decisão já foi tomada, nenhuma lista de restrições será avaliada; O Postfix simplesmente pula tudo rapidamente e adia a alegria de rejeitar o cliente depois de também fornecer o remetente e o destinatário do envelope, para que também registre essas informações.

    Além disso, milters são chamados para cada estágio. Milters são chamados após a lista de restrições correspondente.

    Para completar: o caminho de controle do ETRN é totalmente diferente. Em primeiro lugar, smtpd_client_restrictionse smtpd_helo_restrictionssão avaliados, e se ETRNo comando for usado (em vez do MAIL FROMque normalmente é usado aqui), a conexão é desviada para esse caminho, onde apenas verifica smtpd_etrn_restrictions.

    • 3

relate perguntas