Định cấu hình Postfix để hạn chế quyền truy cập của người dùng vào lệnh "Sendmail" của Postfix

đọc tại http://www.postfix.org/postconf.5.html#smtpd_relay_restrictions, chúng tôi thấy rằng, theo mặc định, quyền truy cập chuyển tiếp thư mạng tới postfix bị hạn chế đối với người dùng "cục bộ" hoặc "được xác thực":

smtpd_relay_restrictions (mặc định: permit_mynetworks, permit_sasl_authenticated, defer_unauth_destination)

Các hạn chế truy cập đối với điều khiển chuyển tiếp thư mà máy chủ Postfix SMTP áp dụng trong ngữ cảnh của lệnh RCPT TO, trước smtpd_recipient_restrictions.

Tuy nhiên, đồng thời, bất kỳ người dùng nào có thể chạy các ứng dụng trên máy chủ thư đều có thể bỏ qua các hạn chế smtpd_relay_restrictions của mạng này, thậm chí cả yêu cầu xác thực SASL, chỉ bằng cách sử dụng lệnh sendmail cục bộ để gửi thư. Lệnh postfix sendmail có thể được chạy trực tiếp, từ trình bao hoặc gián tiếp, chẳng hạn như sử dụng "trình quản lý thông tin cá nhân" của Gnome Evolution.

Thay vì hạn chế quyền truy cập vào lệnh sendmail postfix, bằng cách thay đổi quyền của người dùng hoặc nhóm sendmail và tư cách thành viên nhóm của mỗi người dùng, làm cách nào để postfix có thể được định cấu hình trực tiếp để hạn chế quyền truy cập vào lệnh sendmail postfix?

đọc tại http://www.postfix.org/sendmail.1.html, chúng tôi thấy:

Postfix sendmail(1) dựa vào lệnh postdrop(1) để tạo tệp hàng đợi trong thư mục maildrop.

Và sau đó, đọc tại http://www.postfix.org/postdrop.1.html:

Các tham số main.cf sau đặc biệt phù hợp với chương trình này.

ủy quyền_submit_users (tĩnh: bất kỳ ai)
Danh sách người dùng được phép gửi thư bằng lệnh sendmail(1) (và với lệnh trợ giúp postdrop(1) đặc quyền).

Đọc thêm tại http://www.postfix.org/postconf.5.html#authorized_submit_users, chúng tôi thấy:

Theo mặc định, tất cả người dùng được phép gửi thư. Mặt khác, UID thực của quy trình được tra cứu trong tệp mật khẩu hệ thống và quyền truy cập chỉ được cấp nếu tên đăng nhập tương ứng có trong danh sách truy cập. Tên người dùng "không xác định" được sử dụng cho các quy trình không tìm thấy UID thực trong tệp mật khẩu. Để từ chối quyền truy cập gửi thư cho tất cả người dùng, hãy chỉ định một danh sách trống.

Chỉ định danh sách tên người dùng, mẫu "/file/name" hoặc "type:table", được phân tách bằng dấu phẩy và/hoặc khoảng trắng. Danh sách được khớp từ trái sang phải và quá trình tìm kiếm dừng ở kết quả khớp đầu tiên. Mẫu "/file/name" được thay thế bằng nội dung của nó; bảng tra cứu "type:table" được khớp khi tên khớp với khóa tra cứu (kết quả tra cứu bị bỏ qua). Tiếp tục các dòng dài bằng cách bắt đầu dòng tiếp theo với khoảng trắng. Chỉ định "!pattern" để loại trừ tên người dùng khỏi danh sách. Biểu mẫu "!/tệp/tên" chỉ được hỗ trợ trong phiên bản Postfix 2.4 trở lên.

Ví dụ:
ủy quyền_submit_users = !www, tĩnh: tất cả

Thông tin bổ sung về các mẫu "loại: bảng" có thể được tìm thấy tại http://www.postfix.org/DATABASE_README.html#types.