Sendmail: только локальная переписка

[mrrc]

Требуется организовать (помимо обычных) группу пользовательских ящиков на почтовом сервере, с которых можно было бы отправлять и принимать почту только с локальными пользователями этого же сервера.
То есть не позволять пользователем отправлять почту с этих ящиков во "внешний мир" и также чтобы нельзя было принимать почту на эти ящики "извне". Решить это можно через /etc/mail/access, наверное, прописав там этих пользователей, но как?

[corvax]

Требуется организовать (помимо обычных) группу пользовательских ящиков на почтовом сервере, с которых можно было бы отправлять и принимать почту только с локальными пользователями этого же сервера.
То есть не позволять пользователем отправлять почту с этих ящиков во "внешний мир" и также чтобы нельзя было принимать почту на эти ящики "извне". Решить это можно через /etc/mail/access, наверное, прописав там этих пользователей, но как?

1-й вариант - использовать FEATURE(`compat_check')

недостатки:
1. набор правил check_compat выполняется после приема всего письма
2. идентифицировать отправителей из искомой группы по envelope from не очень кузяво, ибо этот адрес легко подделывается
3. в access_db придется перечислить комбинации всех ограничиваемых адресов со всеми остальными

покопавшись в старых запасах вот чего нарыл:

2-й вариант - для ограничения входящей и исходящей почты использовать
http://mta.org.ua/sendmail/m4-releases/ ... _compat.m4

недостатки:
1. идентифицировать отправителей из искомой группы по envelope from не очень кузяво, ибо этот адрес легко подделывается
2. в access_db придется перечислить все ограничиваемые адреса

3-й вариант - для ограничения исходящей почты использовать
http://mta.org.ua/sendmail/m4-releases/ ... nd_mail.m4

недостатки:
1. для ограничения входящей почты все еще придется использовать
http://mta.org.ua/sendmail/m4-releases/ ... _compat.m4
что может привести к получению почты извне с локальным доменом в envelope from
2. исходящую почту придется рилеить не на основании IP адресов клиентов, а на основании данных SMTP аутентификации. что, впрочем, является больше достоинством, чем недостатком
3. в access_db необходимо перечислить все ограничиваемые SMTP логины

4-й вариант - для ограничения входящей почты использовать
http://mta.org.ua/sendmail/m4-releases/ ... nternal.m4
при этом для ограничения исходящей почты можно использовать
http://mta.org.ua/sendmail/m4-releases/ ... nd_mail.m4

недостатки:
1. необходимо будет в access_db перечислить каждый ограничиваемый адрес
2. нужно будет для check_fake_internal.m4 описать квалификатор и значение для trusted сетей, отличные от Connect и RELAY, т. к. restrict_outbound_mail.m4 подразумевает, что рилеинг иисходящей почты будет производится на основе данных SMTP аутентификации. на самом деле это в общем-то и не недостаток, а просто ньюанс используемой схемы.
3. в access_db необходимо перечислить все ограничиваемые SMTP логины

на счет деталей использования hack'ов - там в комментах к ним все написано. добавить могу только то, что им еще нужны будут:
http://mta.org.ua/sendmail/m4-releases/ ... nvelope.m4
http://mta.org.ua/sendmail/m4-releases/ ... /cfhead.m4