[postfix-jp:02945] Re: SMTP Authentication と POP before SMTP

[IKEDA Nozomu <ike@xxxxxxxxxxxxx>]

池田です。

LeiJun さんは書きました:
>main.cfに
>
>smtpd_recipient_restrictions =
>        permit_mynetworks,
>        check_client_access hash:/etc/postfix/pop-before-smtp,
>        permit_sasl_authenticated,
>        reject_unauth_destination
>
>と設定しています
>
>　これだと、sasl_authenticatedかpop-before-smtpがどれかが通ればリレーで
>きますが、あまり意味がなかったって感じですので、両方全部通れるにしかリ
>レーできないように設定したいですが、どうすればよろしいでしょうか。

なぜ意味がないと感じられたのか、非常に興味があります。

それはさておき、技術的には両方をクリアさせることは可能だと思います。
smtpd_*_restrictions は client, helo, sender, recipient の順に
評価され、デフォルトでは client, helo, sender を全て通過させて
recipient で必要に応じてはじく、という設定になっています。
混乱を避けるため、複雑な設定が必要でなければ全て recipient で制限を
掛けることを私もお勧めしています。

ただ、実際には client 等でも recipient で出来るものと同じ設定を
することが出来るので (smtpd_delay_reject = yes の場合)、
こんな感じの設定で SMTP-Auth と PbS の両方を強制できないでしょうか？

smtpd_delay_reject = yes
smtpd_client_restrictions =
        permit_mynetworks,
        check_client_access hash:/etc/postfix/pop-before-smtp,
        reject_unauth_destination
smtpd_recipient_restrictions =
        permit_mynetworks,
        permit_sasl_authenticated,
        reject_unauth_destination

SMTP-Auth と POP before SMTP の両方をクリアさせることに
どれほどの意味があるかは正直わかりませんが...

---
池田　望 (IKEDA Nozomu)   ike@xxxxxxxxxxxxx
http://www.kobitosan.net/ike/