Postfix smtpd_client_restrictions の設定につきまして

ご存知かもしれませんが、SMTPによるメールの配送(主にクライアント側からの通信内容)を書きます。

1. クライアントがサーバに接続する
2. EHLO client.example.com (クライアントによる自ホスト名の通知)
3. AUTH CRAM-MD5 (SMTP-AUTHによる認証の開始)
4. ZnJlZCA5ZTk1YWVlMDljNDBhZjJiODRhMGMyYjNiYmFlNzg2ZQ== (認証データの送信)
5. MAIL FROM:<sender@example.com> (送信者メールアドレスの通知)
6. RCPT TO:<recipient@example.jp> (宛先メールアドレスの通知)
7. DATA (メール本文の開始)
8. ～以下略～

それぞれの段階に対応するrestrictionsは

1. smtpd_client_restrictions
2. smtpd_helo_restrictions
3. 無し
4. 無し
5. smtpd_sender_restrictions
6. smtpd_recipient_restrictions
7. smtpd_data_restrictions

となっています。

これだけを見ると1のsmtpd_client_restrictions(または2のsmtpd_helo_restrictions)で弾ければ3のSMTP-AUTHの試行に進めないように見えますが、実はデフォルト設定では1, 2, 5 の各restrictionsは6のRCPT TO:コマンドの時に評価がされます。その為smtpd_client_restrictionsの設定だけではSMTP-AUTHの試行が止められない事になります。

この1, 2, 5の各restrictionsの評価を6の段階に遅らせる動作は、以下の設定で止める事が出来ます。

smtpd_delay_reject = no

注意点としては、デフォルト設定ではsmtpd_client_restrictionsは6の段階までに得られるすべての情報(宛先メールアドレス等)を使って制限がかけられますが、smtpd_delay_reject=noだと1の段階で弾くのでかけられる制限の種類が少なくなります。(smtpd_helo_restrictionsやsmtpd_sender_restrictionsも同様)

本件ですが ufw(iptables)の設定で解決できました

Postfixの設定を変えずにiptables等で対応するのもいい方法だと思います。