[SOLVED] Berechtigungen Relay Netzwerke

L

linushstge

Active Member
Dec 5, 2019
76
10
28
Hi zusammen,

folgendes Beispiel Setup:

Relay DomainTransportVertrauenswürdiges Netzwerk
domain-a.deserver-a.de:2510.0.0.1/32
domain-b.deserver-b.de:2510.0.0.2/32


Um Relay Rechte (Ausgehend [Port 26]) zum Senden im Namen einer Domain zu erhalten muss nun der sendende Server aus einem der vertrauenswürdigen Netze stammen.

Gibt es die Möglichkeit die Vertrauenswürdigen Netzwerke mit den Relay Domain zu verknüpfen, sodass 10.0.0.2/32 nun nicht im Namen von domain-a.de Senden darf?

Eine manuelle Postfix Konfiguration ist leider ausgeschlossen, da Relay Domains, Transports und die vertrauenswürdigen Netze über die PMG Rest API dynamisch konfiguriert werden.

Genial wäre ein Event basiertes Web Hook Konzept um das PMG Verhalten unter bestimmten Umständen zu beeinflussen.

Liebe Grüße
Linus
 
Derzeit ist das nicht implementiert - ließe sich über die postfix config machen (nicht ueber die REST API - aber vielleicht mit einem config-management tool a la ansible...)

Ich hoffe das hilft
 
Vielen Dank für die Antwort.

Würde im Cluster Sync die ganze Postfix Config mit dem conf.d Ordner synchronisiert werden oder muss die Config auf allen Nodes deployed werden?

Macht es Sinn hier einen Feature Request aufzumachen oder kann man so schon abschätzen, dass das zu speziell ist?
 
Im Clustersync werden primaer inhalte aus /etc/pmg gesynct (und teilweise /etc/mail/spamassassin) - potentiell kann das file in /etc/pmg/templates angelegt werden - allerdings muss für postfix dabei immer bei einem update postmap aufgerufen werden (.db files werden explizit nicht mitgesynct)

linushstge said:
Macht es Sinn hier einen Feature Request aufzumachen oder kann man so schon abschätzen, dass das zu speziell ist?
Click to expand...
Auf mich wirkt der request etwas spezifisch und es erhöht die Komplexität doch um einiges (und verwirrt potentiell jene user, die eher einfachere Setups (mit vertrauenswürdigen Servern drinnen, und unvertrauenswürdigen servern draußen haben).
Soweit ich mich erinnere sind in den letzten 2 Jahren auch keine ähnlichen Requests aufgekommen.

Außerdem ist es bei SMTP ja so eine Sache - hier wird nur die Envelop Adresse (während des SMTP-dialogs) verglichen - im Mail Body, kann ein potentieller Angreifer dennoch eine gefälschte Adresse schreiben, und die wird normalerweise im Mail Client angezeigt - deswegen bin ich auch von der Effektivität der Maßnahme nicht so ganz überzeugt.

Sprich - ich würde den request derzeit postponen
 
Super, vielen Dank für die ausführliche Erklärung.

Gibt es ein Contribution Guide und neben dem geschlossenen Git auch eine Art Pull Request Verfahren?

Habe bislang leider nichts zu dem Thema gefunden.

Lg
 
linushstge said:
Gibt es ein Contribution Guide und neben dem geschlossenen Git auch eine Art Pull Request Verfahren?
Click to expand...

die developer documentation fuer PVE beschreibt unseren workflow recht detailliert und sollte alle notwendigen Infos enthalten:
https://pve.proxmox.com/wiki/Developer_Documentation

unser workflow verwendet mailing listen (git format-patch/git send-email)

der unterschied zwischen PVE und PMG ist die mailing-liste: pmg-devel@lists.proxmox.com :)

Ich hoffe das hilft!
 
  • Like
Reactions: linushstge
You must log in or register to reply here.

About

The Proxmox community has been around for many years and offers help and support for Proxmox VE, Proxmox Backup Server, and Proxmox Mail Gateway.
We think our community is one of the best thanks to people like you!

Quick Navigation

Home Get Subscription Wiki Downloads Proxmox Customer Portal About

Get your subscription!

The Proxmox team works very hard to make sure you are running the best software and getting stable updates and security enhancements, as well as quick enterprise support. Tens of thousands of happy customers have a Proxmox subscription. Get yours easily in our online shop.

Buy now!
Community platform by XenForo® © 2010-2024 XenForo Ltd.
Top Bottom
Back