Saluds listeros escribo nuevamente por que sigo teniendo el problema de
que un usuario sin autentificarce en Outlook puede enviar un correo local
y mi postfix no lo rechaza. Muestro nuevamente como quedo mi
configuracion. Gracias de antemano

#--control de correo entrante / saliente--#
mynetworks = /etc/postfix/smtp_ip_permit
mydestination = $myhostname, $mydomain, localhost.$mydomain, localhost

#--habilitar el soporte sasl en el postfix--#
smtp_sasl_auth_enable = no
smtpd_helo_required = yes
smtpd_sasl_auth_enable = yes
smtpd_sasl_authenticated_header = yes
smtpd_sasl_security_options = noanonymous
broken_sasl_auth_clients = yes
disable_vrfy_command = yes

#--host que pueden hacer smtp definidos en mynetworks--#
smtpd_client_restrictions =
permit_sasl_authenticated,
permit_mynetworks,
reject

#--restrinciones nacionales y la une--#
smtpd_restriction_classes =
inter_out,
nac_in,
nac_out,
yahoo_in,
yahoo_out,
admin_in

smtpd_sender_restrictions =
check_recipient_access hash:/etc/postfix/_usuarios_admin_in,
check_recipient_access hash:/etc/postfix/_usuarios_nac_in,
check_recipient_access hash:/etc/postfix/_usuarios_yahoo_in,
permit_sasl_authenticated,
reject_non_fqdn_sender
permit

smtpd_recipient_restrictions =
permit_sasl_authenticated,
permit_mynetworks,
check_sender_access hash:/etc/postfix/_usuarios_nac_out,
check_sender_access hash:/etc/postfix/_usuarios_yahoo_out,
check_sender_access hash:/etc/postfix/_usuarios_inter_out,
reject_non_fqdn_recipient,
reject_unknown_recipient_domain,
reject_unauth_destination,
reject

inter_out =
permit

admin_in =
check_recipient_access regexp:/etc/postfix/_filtro_admin,
reject

nac_out =
check_recipient_access regexp:/etc/postfix/_filtro_nac,
reject

nac_in =
check_sender_access regexp:/etc/postfix/_filtro_nac,
reject

yahoo_in =
check_sender_access regexp:/etc/postfix/_filtro_yahoo,
reject

yahoo_out =
check_recipient_access regexp:/etc/postfix/_filtro_yahoo,
reject

smtpd_data_restrictions = reject_unauth_pipelining

El Wed, 10 Mar 2010 13:56:28 +0000, Joan Manuel escribió:

> Saluds listeros escribo nuevamente por que sigo teniendo el problema de
> que un usuario sin autentificarce en Outlook puede enviar un correo
> local y mi postfix no lo rechaza. Muestro nuevamente como quedo mi
> configuracion.

No es preciso que abras otro hilo, puedes seguir en el anterior...

En cuanto a tu consulta, pues me parece que es normal con la
configuración que tienes definida en el siguiente campo:

> smtpd_recipient_restrictions =

Si quieres que todos los usuarios (independientemente de que sean locales
-misma red- o remotos) tengan que autentificar vía sasl, tienes que
ponerlo como primer requisito y eliminar "permit_mynetworks" porque al
tener habilitado este último estás dando vía libre a todos los clientes
de tu red local (intranet), lo cual no me parece del todo mal.

***
smtpd_recipient_restrictions =
permit_sasl_authenticated,
# permit_mynetworks,
check_sender_access hash:/etc/postfix/_usuarios_nac_out,
check_sender_access hash:/etc/postfix/_usuarios_yahoo_out,
check_sender_access hash:/etc/postfix/_usuarios_inter_out,
reject_non_fqdn_recipient,
reject_unknown_recipient_domain,
reject_unauth_destination,
reject
***

Prueba así, recarga postfix y a ver qué sucede.

Recuerda enviar siempre los registros de error de Postfix (puedes ocultar
información sensible, dominios,etc...) para que podamos ver dónde está el
fallo y qué responde el servidor de correo.

Saludos,

Todo sigue igual Camale?ira te voy a poner lo que tengo declarado en
mynetworks por si hay algo incorrecto el rango de red 10.22.4.0/24 es mi
Lan donde estoy probando la configuracion. Gracias

#--control de correo entrante / saliente--#
mynetworks = 127.0.0.1/32 10.22.4.0/24
mydestination = $myhostname, $mydomain, localhost.$mydomain, localhost


Mar 10 15:32:12 beta postfix/smtpd[25841]: disconnect from
unknown[10.22.4.129]
Mar 10 15:32:12 beta postfix/local[25795]: 334AD14A06C:
to=<joanmanuel>, relay=local, delay=0.04,
delays=0.04/0/0/0, dsn=2.0.0, status=sent (delivered to maildir)
Mar 10 15:32:12 beta postfix/local[25795]: 334AD14A06C:
to=<segurmatica>, relay=local, delay=0.06,
delays=0.04/0/0/0.02, dsn=2.0.0, status=sent (delivered to maildir)
Mar 10 15:32:12 beta postfix/qmgr[25780]: 334AD14A06C: removed
[..]

El mié, 10-03-2010 a las 15:49 +0000, Joan Manuel escribió:
> Todo sigue igual Camaleón mira te voy a poner lo que tengo declarado en
> mynetworks por si hay algo incorrecto el rango de red 10.22.4.0/24 es mi
> Lan donde estoy probando la configuracion. Gracias
>
> #--control de correo entrante / saliente--#
> mynetworks = 127.0.0.1/32 10.22.4.0/24
> mydestination = $myhostname, $mydomain, localhost.$mydomain, localhost
>> Mar 10 15:32:12 beta postfix/smtpd[25841]: disconnect from
> unknown[10.22.4.129]
> Mar 10 15:32:12 beta postfix/local[25795]: 334AD14A06C:
> to=<joanmanuel>, relay=local, delay=0.04,
> delays=0.04/0/0/0, dsn=2.0.0, status=sent (delivered to maildir)
> Mar 10 15:32:12 beta postfix/local[25795]: 334AD14A06C:
> to=<segurmatica>, relay=local, delay=0.06,
> delays=0.04/0/0/0.02, dsn=2.0.0, status=sent (delivered to maildir)
> Mar 10 15:32:12 beta postfix/qmgr[25780]: 334AD14A06C: removed
>

¡encontré el problema!... o bueno, eso creo =D porque me pasó algo
similar también: postfix aceptaba correo autenticado y no autenticado.
Sucede que tenés, y en realidad lo dejo en 3 líneas para simplificar mi
explicación:
smtpd_recipient_restrictions =
permit_sasl_authenticated,
permit_mynetworks,
reject_unauth_destination,

y además en tu mynetworks tenés cargada tu lan (10.22.4.x). Entonces,
digamos que mi computadora en esa lan sea 10.22.4.10, yo quiero enviar
un mail, autenticándome.
Postfix evalúa las restricciones,
1. me autentico? si. ¿usuario y contraseña correcta? si --> permitir. No
se evalúan las otras reglas, total ya lo permitió

Desactivo la autenticación en el cliente de e-mail y pruebo de nuevo
1. ¿me autentico? no, toca revisar si se cumple la siguiente condición.
2. ¿está dentro de la lan?, si --> permitir. No se evalúan las
siguientes reglas

Ahora intento desde mi casa, en Salta (argentina), y además, sin
autenticar, digamos que tengo una ip 200.45.33.33. Si mal no recuerdo,
200.45 correspondía a argentina, pero lo importante es que NO estoy en
tu lan y que no me autentico
1. ¿me autentico? no. Probar con la siguiente regla
2. ¿está en la lan? no. Probar con la siguiente regla
3. acceso denegado

Entonces, si querés forzar la autenticación aun en tu lan, tendrías que
cambiar mynetworks y dejarle *solo* el localhost (127.0.0.1) y alguna ip
que te interese que envíe sin identificarse, por ejemplo algún server.
También tendrías que comprobar las direcciones en los sender_access para
ver si alguna no te hace conflicto

El Wed, 10 Mar 2010 15:49:38 +0000, Joan Manuel escribió:

> Todo sigue igual Camaleón

¿Has hecho el cambio que te comentaba?

> mira te voy a poner lo que tengo declarado en
> mynetworks por si hay algo incorrecto el rango de red 10.22.4.0/24 es mi
> Lan donde estoy probando la configuracion. Gracias

No tienes nada mal en "mynetworks", eso es correcto.

Te faltará configurar algún otro valor que es lo que está permitiendo a
los clientes de tu red local enviar sin autentificar vía SASL... a ver,
retomo los datos de tu configuración:

***
smtpd_client_restrictions =
permit_sasl_authenticated,
# permit_mynetworks,
reject
***

Prueba quitando de aquí también el "permit_mynetworks", y lo mismo,
recarga el servicio de Postfix e intenta de nuevo de nuevo. Algo nos
estamos dejando.

Saludos,