Postfilter mailing list

[Kadlecsik Jozsef <kadlec AT mail.kfki.hu>]

Szia!

On Sun, 10 Jan 2010, Novak Attila wrote:

> Néhány kérdés felmerült a postfilterrel kapcsolatban.
> 
> 1. Jelenleg nincs kötelező smtp auth beállítva a Postfixben. Hónap 
> végéig kaptak türelmi időt a felhasználók arra, hogy beállítsák. 
> Szeretném addig is beállítani, hogy a felhasználók csak olyan feladóval 
> tudjanak kifelé levelet küldeni ami létezik a user táblában. 

Ha nincs forward, csak akkor lehetséges. Ha bárhol mint rendszergazda 
beállítottál forward-ot (vagy bármelyik felhasználód!), akkor meg *kell* 
engedned, hogy kifelé tetszőleges E-mail címmel mint feladóval küldjenek 
levelet.

> Próbálkoztam lookup-al a user táblára de nem igazán akart működni. 

Szerintem ezzel menni kellene:

policy_my_users =
        or_group:begin
            authenticated:sasl:match=reject:nomatch=dunno
            
regexp:client_address:pattern=/^xxx\.xxx\.xxx\./:match=reject:nomatch=dunno
        or_group:end
        # update user whitelist, where enabled
        filter:sender:table=user:enable=auto_whitelist:default=reject

Vagyis: ha a kliens autentikált SASL-al, vagy a saját IP tartomány(ok)ban 
van, akkor töltsd be a sender alapján annak beállításait. Ha nem találod, 
vagy nincs auto_whitelist nála, akkor default "reject" a levélre. 

Ehhez az kell, hogy minden usernél vagy class, vagy policy szinten be 
legyen állítva az auto_whitelist policy. A "novice" user-beállításoknál 
ennek biztosítása nem gond, a class_* definícióknál mindenütt 
szerepelteted az auto_whitelist-et. "expert" usereknék jelenleg nem lehet 
beállítani, hogy ne kapcsolhassák ki - készül az új postfilter változat, 
abban ez benne lesz.

> Kipróbáltam a HOWTO-ban szereplő valid_domain példát is de nem akart 
> működni az sem. A példában szereplő mysql tábla struktúrát sehol nem 
> találtam de a hibaüzenetek alapján létrehoztam.

Közönséges lookup tábla, ezért nem szerepelt a tényleges felépítése: _key, 
_value mezők kellenek benne.

A példa sajnos hibás, bocs:

policy_my_users =
        or_group:begin
            authenticated:sasl:match=reject:nomatch=dunno
            
regexp:client_address:pattern=/^xxx\.xxx\.xxx\./:match=reject:nomatch=dunno
        or_group:end
        # check sender domains
        whitelist:sender_domain:table=valid_domains
        reject

Vagyis kifelé csak érvényes domain névvel küldhetnek levelet (forward itt 
sem lehet).
 
> Ha már a valid_domain módszer működne az is jó lenne de még jobb lenne 
> ha csak user táblában létező e-mail címről lehetne kifelé küldeni.
> 
> 2. Elég sok ip cím és tartomány van felsorolva a Postfix 
> 'mynetworks'-ben. Pl. 82.141.159.0/26,213.16.101.0/27,82.141.159.119, 
> stb. Ezeket hogyan tudom felsorolni a Postfilterben. Vagy ráhagyhatom az 
> ellenőrzést a Postfix-re ?

Fel kell sorolnod, mert a Postfilter a Postfix-től nem kapja meg azt az 
információt, hogy ezek a kliensek a "tieid", a mynetworks-ben vannak.

Ahogy elnézem, elég munkás megfelelő regexp-et készíteni rá. Egyszerűbb 
lehet az összes címet bepakolni egy lookup táblába, és arra hivatkozni 
regexp minta helyett. (Lásd a postfilter-main.cf.pod-ot.)

Azt hiszem célszerű lesz egy új szűrési lehetőség, ahol kifejezetten IP 
címekre és hálózatokra lehet egyzezést keresni...
 
> 3. Van egy mailban is a gépen. Az abban lévő e-mail címeket és aliasokat 
> felvegyem a postfilterbe rejtett címnek vagy valamelyik user slave-jének 
> ?

Ha azt akarod, hogy bármilyen külső funkcionalitást (VPN, Wifi, stb.) 
mailban címek is használhassanak (az azokhoz való hozzáférést E-mail 
cím/jelszó párossal véded le, támaszkodva a Postfilter user táblájára), 
akkor vedd fel ezeket a címeket is.
 
> 4. Fut egy postgrey is a szerveren. Érdemes használni helyette a 
> Postfilter-ét vagy maradhat postgrey.

A Postfilter-ben levő greylisting lényegében ugyanazt tudja, mint a 
postgrey. Ha a postgrey-t használod, a Postfilter nem tud róla report-ot 
készíteni. Ugyanakkor a greylisting report gondot is okozhat, mert a 
felhasználók azt hiszik, a greylist-el "kiszűrt" levelek elvesztek (holott 
nem, csak később érkeznek be). (Szép lenne, ha a Postfilter a később 
beengedett leveleket nem sorolná fel a greylisting report alatt, de 
jelenleg még nincs így).

Üdvözlettel,
Józsi
--
E-mail : 
kadlec AT mail.kfki.hu,
 
kadlec AT blackhole.kfki.hu
PGP key: http://www.kfki.hu/~kadlec/pgp_public_key.txt
Address: KFKI Research Institute for Particle and Nuclear Physics
         H-1525 Budapest 114, POB. 49, Hungary