Topic: Bloccare email al di fuori del dominio locale

[ultratronix]

Salve a tutti,
prima di scrivere ho cercato sulla rete, ma non ho trovato nulla riguardo alla possibilità di bloccare tutte le email in uscita dal server SME 8. Sembra che l'unica possibilità sia quella di bloccare sul firewall la porta 25, ma la soluzione non mi piace tanto perché temo che le email si accodino e possano creare problemi a lungo andare.

In pratica mi serve una soluzione semplice (possibilmente "elegante") per fare in modo che il server possa ricevere e inviare solo email al suo interno. Le email in ingresso non mi preoccupano, visto che il server ha un dominio locale. Il problema è fare in modo che se un utente per errore aggiunge un destinatario al di fuori della rete e tenta di mandare quell'email, il server glielo impedisca mandandogli un errore.

In pratica, dovrebbe fare da relay solo per il dominio locale.
Grazie in anticipo

[Stefano]

Ciao e benvenuto
Al momento non ho la risposta, che conto di darti quanto prima.
Oltre a darti il benvenuto ti suggerisco di iniziare a pensare alla migrazione su SME 9 (l'upgrade diretto non è possibile)

[ultratronix]

Grazie mille, intanto. Purtroppo è un server in produzione e non riesco a passare facilmente a SME 9. La soluzione dovrei trovarla sulla 8. Secondo me occorre giocare sui relay (normalmente anzi, il comportamento di un server di default è consegnare solo al dominio gestito), ma non ho la più pallida idea di come intervenire.
Attendo con molto interesse una risposta, perché a mio avviso può interessare altri.

[Stefano]

ciao

allora.. mi sono documentato e confrontato con altri..

se non ho capito male, tu hai dei client con un client di posta e degli account presenti su SME (server-only? server and gateway?).. vuoi evitare che se utente@tuodominio.local mette come destinatario account@gmail.com la mail venga consegnata.. giusto?

mi posti il contenuto di /var/service/qpsmtpd/config/norelayclients ?

[ultratronix]

Esatto. Sono utenti solo definiti dentro SME. Per il resto è come hai scritto. Voglio evitare che utente@miodominio.local possa inviare a email all'esterno, ad esempio account@gmail.com. Vorrei evitare di lavorare sul firewall, perché non mi piace che non venga consegnato per timeout o altro. In pratica l'unico dominio su cui fare relay è quello miodomain.local. La posta deve girare solo localmente.
Il contenuto di /var/service/qpsmtpd/config/norelayclients è l'IP del mio gateway. Non c'è altro.
Grazie!

[Stefano]

allora.. pare non sia cosa facile..

in ogni caso, prova a creare un custom fragment:

Code: [Select]

mkdir -p /etc/e-smith/templates-custom/var/service/qpsmtpd/config/norelayclients
cd /etc/e-smith/templates/var/service/qpsmtpd/config/norelayclients
cp 20* /etc/e-smith/templates-custom/var/service/qpsmtpd/config/norelayclients/
cd /etc/e-smith/templates-custom/var/service/qpsmtpd/config/norelayclients/
nano 20...

al posto di $GatewayIP metti la tua rete tipo 192.168.1.

salva il file, poi

Code: [Select]

signal-event email-update

e riprova


 

[ultratronix]

Chiedo conferma solo perché il server è in produzione: devo scrivere l'IP della mia rete proprio come l'hai scritta, cioè col punto finale (chiaramente sostituendo l'indirizzo  con quello della mia rete)?

[Stefano]

si.. se la tua rete è 192.168.1.X, metti 192.168.1. (punto finale)

è una modifica reversibile in pochi secondi e non pregiudica il funzionamento del server

[ultratronix]

Ho applicato la modifica, ma riesco ancora ad inviare la posta all'esterno...
Il contenuto del file /var/service/qpsmtpd/config/norelayclients è ancora l'IP del gw. E' giusto che sia così? O sarebbe dovuto cambiare alla luce della modifica che ho fatto?

[Stefano]

non è giusto che sia così ma cercando qui nei forum ho visto che non sei il solo ad aver avuto questo problema..

cancella il file creato e ridai il "signal-event"

se riesci, scrivi il post spiegando cosa vuoi ottenere nel forum in lingua inglese relativo a SME8.. li avrai maggior pubblico
io, una volta che hai postato, cercherò di attirare l'attenzione di un paio di persone che possono darti un contributo più utile del mio.

grazie

[ultratronix]

Ok, intanto grazie mille!

[Stefano]

eccomi
allora.. mi sono confrontato con altri utenti esperti e la risposta è che no, non c'è un sistema elegante per ottenere quello che vuoi ottenere senza ricorrere alla scrittura di un plugin apposito per qpsmtpd.

a questo punto ti chiedo, sempre che si possa, di dirmi come mai vorresti evitare il relay verso esterno.. magari esistono soluzioni alternative.. vedi mai che non cadiamo nel tipico caso del problema X Y

[ultratronix]

Il cliente vuole che l'email giri esclusivamente all'interno dell'azienda, è usata presumibilmente come dialogo interno "scritto" (io attacco l'asino dove vuole il padrone...).  Mi meraviglio come non ci sia un sistema "elegante", perché normalmente è proprio il comportamento di default di un server di posta consegnare solo a determinati domini, tant'è che in Internet trovi tonnellate di pagine di gente che chiede come si può spedire all'esterno la posta...
Non pensavo di trovarmi in questa difficoltà...
Quindi, riassumendo, visto che gli ho venduto questa configurazione solo quattro mesi fa (e non posso certo dirgli che rifaccio tutto il lavoro!), come posso mettere una pezza?

[Stefano]

beh, SME di default fa il server di posta, sia in ingresso (ci appoggi il record MX) che in uscita (sia Direct2MX che via smarthost)

quindi diciamo che quella che vuoi ottenere tu è una "forzatura" del sistema (SME in questo caso)..

mi sto interessando alla cosa, perchè eventualmente si può pensare di prendere un plugin esistente e di modificarlo.. non è come bere un bicchier d'acqua ma non è nemmeno come mandare l'uomo sulla luna..

come idea.. temporanea.. un servizio smtp su altra macchina che sia in ascolto, venga usato come smarthost (quindi solo per mail verso esterno) e che rediriga su /dev/null

[ultratronix]

Tecnicamente potrebbe anche starci, ma per il cliente questa modifica è "gratuita", in quanto pensava (e io pensavo come lui) che ci fosse banalmente un flag da spostare... e non ho macchine a disposizione per fare il giochino smarthost ... La cosa doveva essere a dir tanto 5 minuti: 4' e 59 secondi per trovare il flag e 1 secondo per checkarlo!

[Stefano]

mi dispiace the tu ti sia venuto a trovare in questa situazione ma, da quando conosco questo prodotto (dal 2003) non ho mai letto di richieste del genere.. e, cercando qui e nel wiki, non ho trovato riferimenti (ed ecco perchè la cosa mi ha incuriosito), segno che la funzionalità non c'è, non è mai esistita ed evidentemente va contro i concetti alla base del prodotto..

se puoi, contattami offline (skype), grazie

[ultratronix]

Ciao,
nessuna news?

[Stefano]

ciao.. no, nessuna.. l'unica cosa che mi è stata suggerita è di configurare uno smarthost "falso".. tutte le mail verso domini esterni verranno redirette verso di lui.. non so (non ho provato) se e quali siano gli effetti collaterali (bounces, messaggi di errore)..

se riesci/puoi, fai la prova  e fammi sapere.. se riesco a trovare del tempo, mi ci dedico un po', ma sono un po' tirato con i tempi

[ultratronix]

Cioè devo creare un nuovo server, definirlo come smarthost e far puntare il mio mailserver a questo smarthost? Attualmente, nel mailserver non è definito alcun server SMTP esterno, evidentemente SME manda direttamente i messaggi ai server destinatari. Pensavo che installando il server come "Solo mailserver interno" facesse proprio questo, cioè non spedisse nulla all'esterno.

La procedura suggerita è un po' lunga e non vale la candela (almeno per me), perché il cliente non paga questa manutenzione. Diciamo che se la tiene così. Peccato per SME, però, perché dovrebbe essere semplice modificarne l'impostazione.  Normalmente di default un server di posta dovrebbe inviare email solo all'interno del proprio dominio, il resto dovrebbe considerarlo un relay e proibirlo a meno di specificazioni dell'amministratore.

Comunque grazie ugualmente! Se ho tempo provo a bloccare la posta 25 in uscita sul firewall e vediamo che cosa succede (timeout, bounce, code, errori,... ?)

[Stefano]

non mi sono spiegato, chiedo venia..
nessun bisogno di creare un server..
basta impostare uno smarthost non raggiungibile (tipo smarthost.mydomain.tld) e senza autenticazione (ovvio)

quanto alle feature, come detto è l'uso che ne fai tu nella fattispecie che è "anomalo" (virgolettato d'obbligo).. SME ha sempre avuto tutte le features di un mail server completo e la "limitazione" che tu vuoi (o meglio, il tuo cliente vuole) imporre non è mai stata presa in considerazione

Nota a margine.. per te che sei il manutentore/gestore della macchina, non poter ricevere le email di root/admin è una grossa castrazione.. questo quantomeno dal mio punto di vista.. con la limitazione che vogliono imporre, a meno che tu non sia un utente interno e tu non vada quotidianamente a leggerti le email, tu di quello che succede su quella macchina non saprai mai nulla (se non quando è successo...)
e questo, sempre IMVVVHO, è male e dovrebbe essere una leva nei confronti del cliente..

in ogni caso vedo di mettere questi test nella task list e di metterci mano

[ultratronix]

Infatti, attualmente non è impostato alcuno smarthost... Se ho capito bene, devo andare in Email-->Cambia configurazione distribuzione email-->"Indirizzo del mail server del provider Internet" e mettere qualcosa di non raggiungibile, tipo xyz.example.org? Ora la box è vuota.

Un'altra cosa che mi ha tratto in inganno è l'opzione "Posta ad utenti sconosciuti"--> "Rifiuta". Pensavo di aver risolto, invece vuol dire che il server rifiuta l'email ad utenti sconosciuti, ma del dominio che gestisce!

Grazie ancora per l'assistenza