По сути, я немного разбираюсь в конфигурации постфикса, но осталось еще несколько вопросов, я пытаюсь обернуться.
Предположим, есть три сервера: MX.somedomain.com, MX.int.domain1.com и MX.int.domain2.com. MX.somedomain.com - это не черный список, статический IP-сервер с DKIM и SFP, настроенный для domain1.com и domain2.com, есть действительный сертификат letsencrypt для postfix на порту 25 для имени хоста mx.somedomain.com (используйте STARTTLS).
Теперь, прежде всего, должны применяться общие правила, согласно которым только "не динамические" IP-адреса могут передавать сообщение без авторизации, если это относится к domain1.com или domain2.com. Я думаю, что эта часть покрыта /etc/postfix/main.cf:
mynetworks = 127.0.0.0/8
relay_domains = domain1.com, domain2.com
transport_maps = hash:/etc/postfix/transport
smtpd_relay_restrictions = permit_mynetworks,
reject_unauth_destination,
reject_unauth_pipelining,
reject_non_fqdn_sender,
reject_rbl_client bl.spamcop.net,
reject_rbl_client zen.spamhaus.org,
reject_rbl_client dnsbl.sorbs.net,
reject_rbl_client cbl.abuseat.org
И /etc/postfix/transport:
domain1.com smtp:[mx.int.domain1.com:587]
domain2.com smtp:[mx.int.domain2.com:587]
Теперь сервер может ретранслировать почту в соответствии с его транспортным маршрутом, я скоро доберусь до аутентификации.
Серверы int не имеют статического IP-адреса, поэтому они должны подключиться к MX.somedomain.com:25, STARTTLS, AUTH (понятно, я полагаю) и, наконец, передать свои сообщения. Нет STARTTLS -> Нет AUTH.
Теперь мне нужно убедиться, что если я создаю пользователя domain1upgw:passw0rd, он получит разрешение на отправку как любой пользователь benetah @ domain1.com, но не @ domain2.com. То же самое касается пользователя domain2upgw:LoveSexSecretGod, который может передавать только сообщения, отправленные с @ domain2.com.
Чтобы немного оживить ситуацию, третий пользователь, webshop@domain1.com:swordfish, которому разрешено отправлять сообщения только как webshop@domain1.com, может напрямую подключиться к SMTP без использования инфраструктуры int.domain1.com. ,
То, что осталось, это нисходящее соединение от MX.somedomain.com к MX.int.domain1.com и MX.int.domain2.com. MX.int.domain1.com разрешает вход через LDAP, но хотелось бы, чтобы у меня был локальный независимый вход с постфиксным именем пользователя, к которому хост-узел ретрансляции MX.somedomain.com мог подключаться и оставлять сообщения.
Чего я не понимаю, так это сказать, как postfix применять разные правила для разных пользователей / групп / auth-методов.