Feature Request: ACL Trusted Networks

[linushstge]

Wenn das Proxmox Mail Gateway für mehrere Mailserver verwendet wird, wäre es wünschenswert, dass die Trusted Networks zusätzlich mit den Relay Domains verknüpft werden könnten, um gezielt Relay Rechte pro Domain zu erhalten.

Hintergrund: Aktuell kann jeder Server aus den Trusted Networks mit jeder Absender Domain E-Mails verschicken (inkl. DKIM Signatur, sofern für die Absender Domain eingerichtet).

Um das Problem aktuell zu lösen, muss vor dem PMG ein zusätzlicher SMTP SASL Auth Proxy verwendet werden, um Relay Policies gezielt zu steuern.


(Problem betrifft Kundenserver, mit Root Rechten wo eine SASL Authentifizierung auf dem Kundenserver einfach ausgehebelt werden kann und alles direkt via Relayhost an die PMG geht)

Lg
Linus

 

[Stoiko Ivanov]

Die Idee beim PMG ist an und für sich, dass die IPs, die an den internen, trusted port senden können, intern und trusted sind.
Sprich wenn unterschiedliche trust-boundaries gebraucht werden, wer für welche domain relayen kann, dann würde sich eine PMG Instanz je trust-domain anbieten.

Prinzipiell könnte sich vl. manuell was in der postfix config machen lassen.

 

[linushstge]

Hi Stoiko,

vielen Dank für deine Rückmeldung.

Bei sehr vielen Domains und dem Einsatz der PMG als Cluster bietet sich diese Option nicht wirklich an.

Wir haben die Thematik nun über einen vorgeschalteten Postfix SMTP Proxy gelöst, der Authentifizierung über 465 & 587 anbietet.

Diese Lösung ist via PMG API angebunden und funktioniert perfekt, sodass das PMG Cluster nur noch den SMTP Proxy als Trusted Network kennt und die eigentliche Authentifizierung davor stattfindet. Dadurch können wir problemlos die eigentlichen Relay Server anschließen und die komplette ACL Steuerung funktioniert davor.

Untrusted Kunden Server › SMTP Proxy Server (SMTP Auth + Sender Domain ACL Check) › PMG Cluster