Irritationen mit den Restrictions

[toml at thlu.de]

Moin @ all

Nachdem nun mein Mailserver einige Monate richtig zufriedenstellend 
läuft, wollte ich gestern meine Installation in einem Systemd-Container 
noch einmal neu aufbauen, einerseits um das Verständnis weiter zu 
vertiefen und andererseits darauf zu prüfen, ob ich  jetzt alles noch 
mal genau so machen würde. Das war dann eher so als nebenher laufendes 
Audit oder Qualitätscheck gedacht. Tja, und wie der Deibel das so will, 
sollte das erfolglos bleiben.... ich bin ich wohl auf ein 
Verständnisproblem (meinerseits) gestoßen. Dabei geht es um diese 4 
Restrictions:
- smtpd_client_restrictions
- smtpd_sender_restrictions
- smtpd_recipient_restrictions
- smtpd_relay_restrictions
Im Moment bin ich ein wenig überfordert mit der menge an englischen 
Texten und deren korrekte Interpretation. Deswegen hoffe ich auf Eure 
Unterstützung, bei meinen folgenden Interpretationsversuchen:

smtpd_recipient_restrictions ist etwas, für das ich doch eigentlich im 
privaten Netz keine Regeln brauche, da ich aus der privaten 
Absender-Perspektive keine Empfänger-Domains beschränken will.

smtpd_relay_restrictions beschreiben von wo (lokale Absender, lokale 
Netze) und durch wen Mail genutzt werden darf

smtpd_client_restrictions ist mir im Moment nicht klar, was ich darüber 
beschränken kann.... Client-IP-Adressen? Das ist in derzeitigen 
Einstellungen auch leer.

smtpd_sender_restrictions sollte alle From abweisen, die nicht in meiner 
Hash-Tabelle gematcht werden. Das ist bei mir momentan wirkungslos, es 
funktioniert mit meinen Einstellungen nicht... die vermutlich falsch sind.

Im Moment bin ich bei dieser Entwurfs-Einstellung (s.u.), die ich wie 
folgt verstehe:
1. permit_auth_destination matcht u.a. $inet_interfaces bei Recipient  
=  permit
     ansonsten reject

2. permit_sasl_authenticated  matcht den Client-SASL-Auth bei Relay =  
permit
     permit_mynetworks  matcht das Client-LAN  =  permit.
     ansonsten reject

3 Hash-Tabelle sollte "from" matchen, gefundener Sender = permit
    nicht gefunden = reject

smtpd_recipient_restrictions =
     permit_auth_destination
     reject_unauth_destination
     reject

smtpd_relay_restrictions =
     permit_mynetworks
     permit_sasl_authenticated
     reject_unauth_destination
     recect

smtpd_sender_restrictions =
     check_sender_access hash:/etc/postfix/sender_filter
     reject

Aber die sender_restrictions klappen derzeit nicht. Deswegen habe ich 
noch ein Verständnis-Problem mit den Matching-Regeln an sich. Wird 
solange "permit" unterstellt, bis in irgendeiner Regel dieser 3 
Restrictions ein "reject" gefunden wird - und es werden immer alle 
Regeln abgearbeitet? Oder reicht das erste "permit" schon aus, um alle 
weiteren Prüfungen abzubrechen?

mfg
Thomas