[SOLVED] Berechtigungen Relay Netzwerke

[linushstge]

Hi zusammen,

folgendes Beispiel Setup:

Relay Domain	Transport	Vertrauenswürdiges Netzwerk
domain-a.de	server-a.de:25	10.0.0.1/32
domain-b.de	server-b.de:25	10.0.0.2/32

Um Relay Rechte (Ausgehend [Port 26]) zum Senden im Namen einer Domain zu erhalten muss nun der sendende Server aus einem der vertrauenswürdigen Netze stammen.

Gibt es die Möglichkeit die Vertrauenswürdigen Netzwerke mit den Relay Domain zu verknüpfen, sodass 10.0.0.2/32 nun nicht im Namen von domain-a.de Senden darf?

Eine manuelle Postfix Konfiguration ist leider ausgeschlossen, da Relay Domains, Transports und die vertrauenswürdigen Netze über die PMG Rest API dynamisch konfiguriert werden.

Genial wäre ein Event basiertes Web Hook Konzept um das PMG Verhalten unter bestimmten Umständen zu beeinflussen.

Liebe Grüße
Linus

 

[Stoiko Ivanov]

Derzeit ist das nicht implementiert - ließe sich über die postfix config machen (nicht ueber die REST API - aber vielleicht mit einem config-management tool a la ansible...)

Ich hoffe das hilft

 

[linushstge]

Vielen Dank für die Antwort.

Würde im Cluster Sync die ganze Postfix Config mit dem conf.d Ordner synchronisiert werden oder muss die Config auf allen Nodes deployed werden?

Macht es Sinn hier einen Feature Request aufzumachen oder kann man so schon abschätzen, dass das zu speziell ist?

 

[Stoiko Ivanov]

Im Clustersync werden primaer inhalte aus /etc/pmg gesynct (und teilweise /etc/mail/spamassassin) - potentiell kann das file in /etc/pmg/templates angelegt werden - allerdings muss für postfix dabei immer bei einem update postmap aufgerufen werden (.db files werden explizit nicht mitgesynct)

Macht es Sinn hier einen Feature Request aufzumachen oder kann man so schon abschätzen, dass das zu speziell ist?

Auf mich wirkt der request etwas spezifisch und es erhöht die Komplexität doch um einiges (und verwirrt potentiell jene user, die eher einfachere Setups (mit vertrauenswürdigen Servern drinnen, und unvertrauenswürdigen servern draußen haben).
Soweit ich mich erinnere sind in den letzten 2 Jahren auch keine ähnlichen Requests aufgekommen.

Außerdem ist es bei SMTP ja so eine Sache - hier wird nur die Envelop Adresse (während des SMTP-dialogs) verglichen - im Mail Body, kann ein potentieller Angreifer dennoch eine gefälschte Adresse schreiben, und die wird normalerweise im Mail Client angezeigt - deswegen bin ich auch von der Effektivität der Maßnahme nicht so ganz überzeugt.

Sprich - ich würde den request derzeit postponen

 

[linushstge]

Super, vielen Dank für die ausführliche Erklärung.

Gibt es ein Contribution Guide und neben dem geschlossenen Git auch eine Art Pull Request Verfahren?

Habe bislang leider nichts zu dem Thema gefunden.

Lg

 

[Stoiko Ivanov]

Gibt es ein Contribution Guide und neben dem geschlossenen Git auch eine Art Pull Request Verfahren?

die developer documentation fuer PVE beschreibt unseren workflow recht detailliert und sollte alle notwendigen Infos enthalten:
https://pve.proxmox.com/wiki/Developer_Documentation

unser workflow verwendet mailing listen (git format-patch/git send-email)

der unterschied zwischen PVE und PMG ist die mailing-liste: pmg-devel@lists.proxmox.com

Ich hoffe das hilft!