Pas loin de 10 ans que je ne suis pas venu sur le forum... Bonjour à tous.
 
Sur un serveur postfix qui me sert uniquement en relais vers O365, j'ai besoin de filtrer les émetteurs autorisés (classique)
pour être autorisé, il y a deux critères à respecter.  
 
Avoir une IP dans une liste prédéfinie  
ET
Etre authentifié (SASL)
 
Pour les adresses IP, elles sont renseignées dans le paramètre mynetworks du main.cf
Pour l'auth SASL, j'ai installé le package cyrus qui va bien et ça fonctionne aussi.
 
Mon problème c'est d'exiger que les DEUX contraintes soient remplies simultanément.
 
Avec les lignes suivantes par exemple :
 
smtpd_recipient_restrictions = permit_mynetworks,
        permit_sasl_authenticated,
        reject_unauth_destination,
        reject_rbl_client opm.blitzed.org,
        reject_rbl_client list.dsbl.org,
        reject_rbl_client sbl.spamhaus.org,
        reject_rbl_client cbl.abuseat.org,
        reject_rbl_client dul.dnsbl.sorbs.net
 
 
Si une directive n'est pas validée, il passe à la suivante.  Ok
Ensuite, j'ai l'impression que la première directive validée l'emporte et que les autres ne sont pas évaluées.
 
Dans le cas ci-dessus, si l'IP n'est pas valide, il interprète la directive suivante et si l'authentification SASL est correcte, alors ça passe bien que l'IP ne soit pas bonne.
 
je suis pas certain d'être très clair.
 
Comment faire pour exiger que mes deux contraintes soient respectées ?
 
... et soyez indulgents, à près de 60 balais, je suis un jeunot sur Linux.

 
C'est bien ça.  
 
Tu veux autoriser une liste d'adresses, autrement dit, tu veux refuser ce qui n'est pas dans la liste

Merci pour ton retour kisscoolz c'est bien ce que j'avais compris.
 
Pour exiger que les deux contraintes soient respectées simultanément, ce n'était pas bien compliqué non plus (j'aime bien trouver moi même la solution à mes propres problèmes).
 
Il suffisait de mettre la contrainte d'IP sur la clause smtpd_client_restrictions avec autorisation mynetworks suivi d'un reject si la contrainte n'est pas vérifiée. Le contrôle de login, quand à lui reste inchangé.
 
C'est une solution, mais il y en a d'autres :-)
 
 
smtpd_client_restrictions = permit_mynetworks, reject
 
 
smtpd_recipient_restrictions =
        permit_sasl_authenticated,
        reject_unauth_destination,
        reject_rbl_client opm.blitzed.org,
        reject_rbl_client list.dsbl.org,
        reject_rbl_client sbl.spamhaus.org,
        reject_rbl_client cbl.abuseat.org,
        reject_rbl_client dul.dnsbl.sorbs.net
 

tiens je m'étais cassé les dents sur exactement le même problème il y à 2 semaines sans trouvé de solution