Re: Postfix als Smarthost _und_ SMTP-Auth-Server? // Apt verbietet Postfix plus Exim4
Hallo,
Daniel Meszaros <spam@meszi.de>:
>Postfix soll als Smarthost alle eingehenden Emails annehmen und
>diejenigen, die er relayen darf, an einen anderen SMTP-Server
>weiterreichen. Der Rest soll verworfen werden. Das geht soweit via
>relayhost- und transports-Regeln. Ggf. soll irgendwann später eine SPAM-
>und Viruscheck-Markierung der relayten Emails integriert werden.
>
>Es soll nun aber auch für authentifizierte User Emails in die Welt
>versenden, also auch an Domains, die nicht in "transports" stehen.
>Grundlegend bekomme ich das ja recht simpel umgesetzt, aber nicht mit
>der ersten Aufgabe unter einen Hut gebracht, da daraus in der Summe
>unweigerlich ein offenes Relay müsste.
Das Szenario kannst du problemlos mit Postfix umsetzen. Entscheidend
ist dabei diese Konfigurationsoption in der /etc/postfix/main.cf
(Zitat von http://www.postfix.org/SASL_README.html ):
smtpd_recipient_restrictions =
...
reject_sender_login_mismatch
permit_sasl_authenticated
permit_mynetworks
reject_unauth_destination
...
Die Restrictions werden von oben nach unten abgearbeitet, bis die erste
passende greift.
permit_sasl_authenticated sorgt dafür, dass User nach einem erfolgreichen
SASL Login Mails verschicken dürfen (und beendet damit die Abarbeitung
der Restrictions).
reject_unauth_destination verhindert das Relaying.
>Nun dachte ich an einen zweiten MTA - beide könnten ja verschiedene
>Ports nutzen. Konkret dachte ich bei der Smarthost-Aufgabe an ein
>parallel installiertes Exim auf Port 25, während ich Postfix für die
>User auf 465 oder gar 8025 sperren hätte können (master.cf).
>Hier macht mir aber apt einen Strich durch die Rechnung und erlaubt nur
>einen MTA auf der Kiste. Ich drehe mich also im Kreise.
Dass Debian nur einen MTA zulässt, liegt daran, dass jeder das Programm
/usr/sbin/sendmail mitbringt. Die Entwickler könnten prinzipiell den
Alternatives-Mechanismus dafür verwenden, aber die Zielgruppe dafür
ist wohl zu klein. Jedenfalls sollte man als Anwender nicht versuchen,
beide Pakete mit den --force-... Optionen gleichzeitig auf die Platte
zu zwingen.
>Geht das, was ich vorhabe, überhaupt _irgendwie_? Auf _einer_ Maschine?
Wenn du wirklich beide MTAs haben möchtest, dann kannst du entweder einen
von beiden als Debian Paket und den anderen aus den Sourcen nach /usr/local
oder /opt/irgendwas installieren. Oder du setzt einen Container auf (z.B.
mit Linux-VServer oder LXC) und betreibst den zweiten MTA darin.
Gruß, Harald
Reply to: