Thread Info
  • State Not Answered
  • Replies 7 replies
  • Subscribers 0 subscribers
  • Views 762 views
  • Users 0 members are here
Options
Suggested

Exim directive, need an opinion

davidqdc
Please reference this post: https://community.sophos.com/products/unified-threat-management/astaroorg/f/68/t/59874

I am trying to only allow incoming SMTP Proxy connections from specific IP addresses.  I tried sender_net_accept; however, it is not recognized.  sender_net_reject seems to be recognized though.  I haven't tried, but am looking at sender_net_reject_except = "ipblock1:ipblock2"

Can anyone familiar with Astaro's Exim installation verify whether this will work?  
Parents Reply Children
  • 0 in reply to davidqdc
    You will have to use Exim ACLs. You will accept from specific addresses, then deny for all others (a wildcard, I imagine?). It has to be hunted down in a Search engine on the Exim forums/websites.

    For instance, see Access control lists
      
  • 0 in reply to SecApp
    Many thanks.  I will read up on ACL's.  Initially, I ran across *old* exim.conf info, and those directives are no longer available.
    I'll post back when/if I succeed.  Thanks again! 
  • 0 in reply to davidqdc
    Mission accomplished.  Thank you SecApp for the clue!

    I edited /var/chroot-smtp/etc/exim.conf-default.  At the end of the ACL definitions in the Main section, I added the following line (which names the appropriate ACL for the smtp_connect):

    acl_smtp_connect = acl_connect

    Then, I defined my ACL at the bottom of the ACL section.

    acl_connect:
    accept hosts = IP of my Exchange Server : IP of my upstream mail scanner
    deny message = This is not a published MX. Use DNS.

    That's it.  Works like a charm.  Unsure to where it's logging, but I'm not too worried about.  My ASL box is not a published MX, and I know exactly who should be connecting for incoming SMTP.  I am sure this could be spruced up a bit, but this is a quick, simple fix.

    Thanks again!  
  • 0 in reply to davidqdc
    Thanks for sharing that info; as you saw, it was going to be irritating to dig out the exact answer (poring over all of Exim's settings); since you were the one who needed it right away, I let you do the dirty work.

    Astaro may want to toy with the idea of adding this as a field to the SMTP proxy's settings...

       
  • 0 in reply to SecApp
    Hell, I don't mind looking it up at all, at all.  Appreciate the coaxing.  For whatever reason, I initially ran across old Exim config info; that, needless to say, was not helpful.

    In my situation, it's a necessary configuration.  We have an upstream antivirus/antispam scan service that proxies our email and keeps the bad stuff off our Net connection.  It saves us a bit of bandwidth, overall.  
  • 0 in reply to davidqdc
    Yeah, I wish Astaro would add this functionality to ASL.  We use MXLogic, as the SpamAssasin (sorry to say) really doesn't cut it for us.  We get a TON of mail.  We HAD to start using MXlogic. 
Cookie Information Banner