Postfix-Konfiguration, Multi-Domain-Gateway und Benutzerausnahmen

Grundsätzlich habe ich einige Grundkenntnisse über die Konfiguration von Postfix erhalten, aber es gibt noch ein paar Fragen, ich versuche, den Kopf zu drehen.

Angenommen, es gibt drei Server, MX.somedomain.com, MX.int.domain1.com und MX.int.domain2.com . MX.somedomain.com ist ein statischer IP-Server ohne Blacklistet mit DKIM und SFP für domain1.com und domain2.com. Es gibt ein gültiges letsencrypt-Zertifikat für postfix auf Port 25 für den Hostnamen mx.somedomain.com (verwenden Sie STARTTLS.) ).

Nun sollten zunächst die generischen Regeln gelten, dass nur "nicht dynamische" IP-Adressen eine Nachricht unberechtigt übertragen dürfen, sofern dies für domain1.com oder domain2.com gilt. Ich glaube, ich habe diesen Teil mit /etc/postfix/main.cf abgedeckt :

mynetworks = 127.0.0.0/8 relay_domains = domain1.com, domain2.com transport_maps = hash:/etc/postfix/transport smtpd_relay_restrictions = permit_mynetworks, reject_unauth_destination, reject_unauth_pipelining, reject_non_fqdn_sender, reject_rbl_client bl.spamcop.net, reject_rbl_client zen.spamhaus.org, reject_rbl_client dnsbl.sorbs.net, reject_rbl_client cbl.abuseat.org 

Und / etc / postfix / transport :

domain1.com smtp:[mx.int.domain1.com:587] domain2.com smtp:[mx.int.domain2.com:587] 

Jetzt kann der Server die E-Mails entsprechend seiner Transportroute weiterleiten, ich komme in kurzer Zeit zur Authentifizierung.

Die int-Server haben keine statische IP-Adresse, daher sollten sie eine Verbindung zu MX.somedomain.com:25, STARTTLS, AUTH (schlicht) herstellen und schließlich ihre Nachrichten übergeben. Kein STARTTLS -> NO AUTH.

Jetzt muss ich sicherstellen, dass, wenn ich einen Benutzer domain1upgw: passw0rd erstellt, der Benutzer die Berechtigung erhält, jeden Benutzer benetah @ domain1.com zu senden, nicht jedoch @ domain2.com. Gleiches gilt für einen Benutzer domain2upgw: LoveSexSecretGod, der möglicherweise nur Nachrichten überträgt, die von @ domain2.com stammen.

Ein dritter Benutzer, webshop@domain1.com: swordfish, der nur Nachrichten als webshop@domain1.com senden darf, um sich ein wenig aufzufrischen, sodass er sich direkt mit dem smtp verbinden kann, ohne die Infrastruktur von int.domain1.com zu verwenden .

Was übrig bleibt, ist die Downstream-Verbindung von MX.somedomain.com zu MX.int.domain1.com und MX.int.domain2.com. MX.int.domain1.com autorisiert das Login über LDAP, aber ich würde mir wünschen, ich hätte ein lokales, unabhängiges Postfix-Benutzerlogin, mit dem sich der Upstream-Relay-Host MX.somedomain.com verbinden und Nachrichten hinterlassen könnte.

Was ich nicht verstehe, ist, wie man postfix anweist, verschiedene Regeln auf verschiedene Benutzer / Gruppen / Auth-Methoden anzuwenden.