Koozali.org: home of the SME Server

Bloccare email al di fuori del dominio locale

Offline ultratronix

  • 13
  • +0/-0
Bloccare email al di fuori del dominio locale
« on: October 19, 2016, 04:22:21 PM »
Salve a tutti,
prima di scrivere ho cercato sulla rete, ma non ho trovato nulla riguardo alla possibilità di bloccare tutte le email in uscita dal server SME 8. Sembra che l'unica possibilità sia quella di bloccare sul firewall la porta 25, ma la soluzione non mi piace tanto perché temo che le email si accodino e possano creare problemi a lungo andare.

In pratica mi serve una soluzione semplice (possibilmente "elegante") per fare in modo che il server possa ricevere e inviare solo email al suo interno. Le email in ingresso non mi preoccupano, visto che il server ha un dominio locale. Il problema è fare in modo che se un utente per errore aggiunge un destinatario al di fuori della rete e tenta di mandare quell'email, il server glielo impedisca mandandogli un errore.

In pratica, dovrebbe fare da relay solo per il dominio locale.
Grazie in anticipo
« Last Edit: October 19, 2016, 05:04:19 PM by ultratronix »

Offline Stefano

  • *
  • 10,836
  • +2/-0
Re: Bloccare email al di fuori del dominio locale
« Reply #1 on: October 19, 2016, 05:19:19 PM »
Ciao e benvenuto
Al momento non ho la risposta, che conto di darti quanto prima.
Oltre a darti il benvenuto ti suggerisco di iniziare a pensare alla migrazione su SME 9 (l'upgrade diretto non è possibile)

Offline ultratronix

  • 13
  • +0/-0
Re: Bloccare email al di fuori del dominio locale
« Reply #2 on: October 20, 2016, 09:00:56 AM »
Grazie mille, intanto. Purtroppo è un server in produzione e non riesco a passare facilmente a SME 9. La soluzione dovrei trovarla sulla 8. Secondo me occorre giocare sui relay (normalmente anzi, il comportamento di un server di default è consegnare solo al dominio gestito), ma non ho la più pallida idea di come intervenire.
Attendo con molto interesse una risposta, perché a mio avviso può interessare altri.

Offline Stefano

  • *
  • 10,836
  • +2/-0
Re: Bloccare email al di fuori del dominio locale
« Reply #3 on: October 20, 2016, 12:50:43 PM »
ciao

allora.. mi sono documentato e confrontato con altri..

se non ho capito male, tu hai dei client con un client di posta e degli account presenti su SME (server-only? server and gateway?).. vuoi evitare che se utente@tuodominio.local mette come destinatario account@gmail.com la mail venga consegnata.. giusto?

mi posti il contenuto di /var/service/qpsmtpd/config/norelayclients ?

Offline ultratronix

  • 13
  • +0/-0
Re: Bloccare email al di fuori del dominio locale
« Reply #4 on: October 20, 2016, 03:31:40 PM »
Esatto. Sono utenti solo definiti dentro SME. Per il resto è come hai scritto. Voglio evitare che utente@miodominio.local possa inviare a email all'esterno, ad esempio account@gmail.com. Vorrei evitare di lavorare sul firewall, perché non mi piace che non venga consegnato per timeout o altro. In pratica l'unico dominio su cui fare relay è quello miodomain.local. La posta deve girare solo localmente.
Il contenuto di /var/service/qpsmtpd/config/norelayclients è l'IP del mio gateway. Non c'è altro.
Grazie!


Offline Stefano

  • *
  • 10,836
  • +2/-0
Re: Bloccare email al di fuori del dominio locale
« Reply #5 on: October 20, 2016, 03:38:26 PM »
allora.. pare non sia cosa facile..

in ogni caso, prova a creare un custom fragment:

Code: [Select]
mkdir -p /etc/e-smith/templates-custom/var/service/qpsmtpd/config/norelayclients
cd /etc/e-smith/templates/var/service/qpsmtpd/config/norelayclients
cp 20* /etc/e-smith/templates-custom/var/service/qpsmtpd/config/norelayclients/
cd /etc/e-smith/templates-custom/var/service/qpsmtpd/config/norelayclients/
nano 20...

al posto di $GatewayIP metti la tua rete tipo 192.168.1.

salva il file, poi

Code: [Select]
signal-event email-update

e riprova


 

Offline ultratronix

  • 13
  • +0/-0
Re: Bloccare email al di fuori del dominio locale
« Reply #6 on: October 20, 2016, 03:46:19 PM »
Chiedo conferma solo perché il server è in produzione: devo scrivere l'IP della mia rete proprio come l'hai scritta, cioè col punto finale (chiaramente sostituendo l'indirizzo  con quello della mia rete)?

Offline Stefano

  • *
  • 10,836
  • +2/-0
Re: Bloccare email al di fuori del dominio locale
« Reply #7 on: October 20, 2016, 03:47:55 PM »
si.. se la tua rete è 192.168.1.X, metti 192.168.1. (punto finale)

è una modifica reversibile in pochi secondi e non pregiudica il funzionamento del server

Offline ultratronix

  • 13
  • +0/-0
Re: Bloccare email al di fuori del dominio locale
« Reply #8 on: October 20, 2016, 04:32:56 PM »
Ho applicato la modifica, ma riesco ancora ad inviare la posta all'esterno...
Il contenuto del file /var/service/qpsmtpd/config/norelayclients è ancora l'IP del gw. E' giusto che sia così? O sarebbe dovuto cambiare alla luce della modifica che ho fatto?

Offline Stefano

  • *
  • 10,836
  • +2/-0
Re: Bloccare email al di fuori del dominio locale
« Reply #9 on: October 20, 2016, 04:37:00 PM »
non è giusto che sia così ma cercando qui nei forum ho visto che non sei il solo ad aver avuto questo problema..

cancella il file creato e ridai il "signal-event"

se riesci, scrivi il post spiegando cosa vuoi ottenere nel forum in lingua inglese relativo a SME8.. li avrai maggior pubblico
io, una volta che hai postato, cercherò di attirare l'attenzione di un paio di persone che possono darti un contributo più utile del mio.

grazie

Offline ultratronix

  • 13
  • +0/-0
Re: Bloccare email al di fuori del dominio locale
« Reply #10 on: October 20, 2016, 05:03:25 PM »
Ok, intanto grazie mille!

Offline Stefano

  • *
  • 10,836
  • +2/-0
Re: Bloccare email al di fuori del dominio locale
« Reply #11 on: October 21, 2016, 03:26:04 PM »
eccomi
allora.. mi sono confrontato con altri utenti esperti e la risposta è che no, non c'è un sistema elegante per ottenere quello che vuoi ottenere senza ricorrere alla scrittura di un plugin apposito per qpsmtpd.

a questo punto ti chiedo, sempre che si possa, di dirmi come mai vorresti evitare il relay verso esterno.. magari esistono soluzioni alternative.. vedi mai che non cadiamo nel tipico caso del problema X Y :)

Offline ultratronix

  • 13
  • +0/-0
Re: Bloccare email al di fuori del dominio locale
« Reply #12 on: October 21, 2016, 03:33:18 PM »
Il cliente vuole che l'email giri esclusivamente all'interno dell'azienda, è usata presumibilmente come dialogo interno "scritto" (io attacco l'asino dove vuole il padrone...).  Mi meraviglio come non ci sia un sistema "elegante", perché normalmente è proprio il comportamento di default di un server di posta consegnare solo a determinati domini, tant'è che in Internet trovi tonnellate di pagine di gente che chiede come si può spedire all'esterno la posta...
Non pensavo di trovarmi in questa difficoltà...
Quindi, riassumendo, visto che gli ho venduto questa configurazione solo quattro mesi fa (e non posso certo dirgli che rifaccio tutto il lavoro!), come posso mettere una pezza?

Offline Stefano

  • *
  • 10,836
  • +2/-0
Re: Bloccare email al di fuori del dominio locale
« Reply #13 on: October 21, 2016, 03:42:50 PM »
beh, SME di default fa il server di posta, sia in ingresso (ci appoggi il record MX) che in uscita (sia Direct2MX che via smarthost)

quindi diciamo che quella che vuoi ottenere tu è una "forzatura" del sistema (SME in questo caso)..

mi sto interessando alla cosa, perchè eventualmente si può pensare di prendere un plugin esistente e di modificarlo.. non è come bere un bicchier d'acqua ma non è nemmeno come mandare l'uomo sulla luna..

come idea.. temporanea.. un servizio smtp su altra macchina che sia in ascolto, venga usato come smarthost (quindi solo per mail verso esterno) e che rediriga su /dev/null

Offline ultratronix

  • 13
  • +0/-0
Re: Bloccare email al di fuori del dominio locale
« Reply #14 on: October 21, 2016, 03:51:14 PM »
Tecnicamente potrebbe anche starci, ma per il cliente questa modifica è "gratuita", in quanto pensava (e io pensavo come lui) che ci fosse banalmente un flag da spostare... e non ho macchine a disposizione per fare il giochino smarthost ... La cosa doveva essere a dir tanto 5 minuti: 4' e 59 secondi per trovare il flag e 1 secondo per checkarlo!