[postfix-jp:02253] Re: SMTP AUTH、POPbeforeSMTPで偽FromをRejectするには？

[IKEDA Nozomu <ike@xxxxxxxxxxxxx>]

池田です。

hanahana さんは書きました:
>問題は、SMTP　AUTH、POPbeforeSMTPで認証されたあと、
>Fromを@example.ne.jp以外のドメイン名で送信されてしまうことです。
>smtpd_sender_restrictions =
>　　　 check_sender_access hash:/etc/postfix/access
>         reject_unknown_sender_domain
>         permit
>
>/etc/postfix/access
>example.ne.jp OK と記載
>
>の設定で、まったくでたらめなものは、Rejectできたのですが、
　この設定では reject_unknown_sender_domain が有効になっている
だけで、check_sender_access は何の意味もありません。
smtpd_sender_restrictions のデフォルトは permit なので、
OK しかない check_sender_access は何の意味も持ちません。

>ユーザが別途所有しているプロバイダのアドレスでの送信をRejectしたいのですが、
>設定がうまくできません。
　設定としては次の順で処理されるようにすればよいのではないでしょうか？

・自ドメインから/宛のメールは全て許可。
・From が特定のドメイン以外のメールは全て拒否(正規表現マップ使用)。
・SMTP auth / POP before SMTP を許可。PbS は check_client_access で
　マップを指定。
・それ以外は拒否。

つまり、
[main.cf]
smtpd_recipient_restrictions =
  permit_mynetworks,
  check_sender_access pcre:/etc/postfix/sender_access,
  permit_sasl_authenticated,
  check_client_access hash:/etc/postfix/pop-before-smtp,
  reject

[sender_access]
/my.domain$/  OK                               
/.*/          reject

こんな感じでいかがでしょうか。今手元に試す環境がないので、
これで問題ないか確認できないので、試して報告して頂けると幸いです。
あとは RESTRICTION_CLASS_README にあるような記述を使っても
できるように思います。
ただ、いずれの場合もエンベロープ FROM の制限なので、
ヘッダ From をチェックすることはできません。ヘッダ From のチェックまで
必要であれば、PbS / SASL Auth 専用の Postfix を別に立てて、
header_cheks で見るしかないかと。

>SMTP AUTHには、、reject_sender_login_mismatchを使えばよいのかと思ったのですが、
>smtpd_sender_owner_maps、smtpd_sender_login_mapsに
>どう設定すればよいかわかりません。
　ちゃんと確認したわけではないのですが、uce.html 以外に
smtpd_sender_owner_maps という文字列が出てくる場所がないので、
これはドキュメントの誤植のように思います。
なので、smtpd_sender_login_maps で指定したマップに
MAIL FROM のアドレスと SASL アカウントの対応を書けば
よいのではないでしょうか。

---
池田　望 (IKEDA Nozomu)   ike@xxxxxxxxxxxxx
http://www.kobitosan.net/ike/