Configurarea Postfix pentru a restricționa accesul utilizatorului la comanda Postfix „Sendmail”.

Citind la http://www.postfix.org/postconf.5.html#smtpd_relay_restrictions, vedem că, în mod implicit, accesul rețelei de corespondență în rețea la postfix este restricționat la utilizatorii „locali” sau „autentificați”:

smtpd_relay_restrictions (implicit: permit_mynetworks, permit_sasl_authenticated, defer_unauth_destination)

Restricții de acces pentru controlul retransmiterii e-mailului pe care serverul SMTP Postfix le aplică în contextul comenzii RCPT TO, înainte de smtpd_recipient_restrictions.

În același timp, totuși, orice utilizator capabil să ruleze aplicații pe serverul de e-mail poate ocoli aceste smtpd_relay_restrictions de rețea, chiar și cerința de autentificare SASL, prin simpla utilizare a comenzii locale postfix sendmail pentru a trimite e-mail. Comanda postfix sendmail poate fi rulată direct, dintr-un shell, sau indirect, de exemplu, folosind „managerul de informații personale” Gnome Evolution.

În loc să restricționați accesul la comanda postfix sendmail în sine, prin modificarea permisiunilor de utilizator sau de grup sendmail și apartenența la grupul de utilizator, cum poate fi configurat direct postfix pentru a restricționa accesul la comanda postfix sendmail?

Citind la http://www.postfix.org/sendmail.1.html, v-om vedea:

Postfix sendmail(1) se bazează pe comanda postdrop(1) pentru a crea un fișier coadă în directorul maildrop.

Și apoi, citind la http://www.postfix.org/postdrop.1.html:

Următorii parametri main.cf sunt deosebit de relevanți pentru acest program.

authorized_submit_users (static:oricine)
Lista utilizatorilor care sunt autorizați să trimită e-mail cu comanda sendmail(1) (și cu comanda de ajutor privilegiată postdrop(1)).

Citiri suplimentare la http://www.postfix.org/postconf.5.html#authorized_submit_users, v-om vedea:

În mod implicit, toți utilizatorii au voie să trimită e-mailuri. În caz contrar, UID-ul real al procesului este căutat în fișierul cu parole de sistem și accesul este acordat numai dacă numele de conectare corespunzător se află pe lista de acces. Numele de utilizator „necunoscut” este folosit pentru procesele al căror UID real nu se găsește în fișierul cu parole. Pentru a refuza accesul la trimiterea e-mailului tuturor utilizatorilor, specificați o listă goală.

Specificați o listă de nume de utilizator, modele „/file/name” sau „type:table”, separate prin virgule și/sau spații albe. Lista este potrivită de la stânga la dreapta, iar căutarea se oprește la prima potrivire. Un model „/fișier/nume” este înlocuit cu conținutul său; un tabel de căutare „type:table” se potrivește atunci când un nume se potrivește cu o cheie de căutare (rezultatul căutării este ignorat). Continuați liniile lungi pornind următoarea linie cu spații albe. Specificați „!pattern” pentru a exclude un nume de utilizator din listă. Forma „!/fișier/nume” este acceptată numai în versiunea 2.4 și ulterioară a Postfix.

Exemplu:
authorized_submit_users = !www, static:all

Informații suplimentare despre tiparele „type:table” pot fi găsite la http://www.postfix.org/DATABASE_README.html#types.