Feature Request: ACL Trusted Networks

linushstge

Well-Known Member
Dec 5, 2019
77
10
48
Wenn das Proxmox Mail Gateway für mehrere Mailserver verwendet wird, wäre es wünschenswert, dass die Trusted Networks zusätzlich mit den Relay Domains verknüpft werden könnten, um gezielt Relay Rechte pro Domain zu erhalten.

Hintergrund: Aktuell kann jeder Server aus den Trusted Networks mit jeder Absender Domain E-Mails verschicken (inkl. DKIM Signatur, sofern für die Absender Domain eingerichtet).

Um das Problem aktuell zu lösen, muss vor dem PMG ein zusätzlicher SMTP SASL Auth Proxy verwendet werden, um Relay Policies gezielt zu steuern.


(Problem betrifft Kundenserver, mit Root Rechten wo eine SASL Authentifizierung auf dem Kundenserver einfach ausgehebelt werden kann und alles direkt via Relayhost an die PMG geht)

Lg
Linus
 
Die Idee beim PMG ist an und für sich, dass die IPs, die an den internen, trusted port senden können, intern und trusted sind.
Sprich wenn unterschiedliche trust-boundaries gebraucht werden, wer für welche domain relayen kann, dann würde sich eine PMG Instanz je trust-domain anbieten.

Prinzipiell könnte sich vl. manuell was in der postfix config machen lassen.
 
Hi Stoiko,

vielen Dank für deine Rückmeldung.

Bei sehr vielen Domains und dem Einsatz der PMG als Cluster bietet sich diese Option nicht wirklich an.

Wir haben die Thematik nun über einen vorgeschalteten Postfix SMTP Proxy gelöst, der Authentifizierung über 465 & 587 anbietet.

Diese Lösung ist via PMG API angebunden und funktioniert perfekt, sodass das PMG Cluster nur noch den SMTP Proxy als Trusted Network kennt und die eigentliche Authentifizierung davor stattfindet. Dadurch können wir problemlos die eigentlichen Relay Server anschließen und die komplette ACL Steuerung funktioniert davor.

Untrusted Kunden Server › SMTP Proxy Server (SMTP Auth + Sender Domain ACL Check) › PMG Cluster
 

About

The Proxmox community has been around for many years and offers help and support for Proxmox VE, Proxmox Backup Server, and Proxmox Mail Gateway.
We think our community is one of the best thanks to people like you!

Get your subscription!

The Proxmox team works very hard to make sure you are running the best software and getting stable updates and security enhancements, as well as quick enterprise support. Tens of thousands of happy customers have a Proxmox subscription. Get yours easily in our online shop.

Buy now!