Конфигурация Postfix, многодоменный шлюз и пользовательские исключения

По сути, я немного разбираюсь в конфигурации постфикса, но осталось еще несколько вопросов, я пытаюсь обернуться.

Предположим, есть три сервера: MX.somedomain.com, MX.int.domain1.com и MX.int.domain2.com . MX.somedomain.com - это не черный список, статический IP-сервер с DKIM и SFP, настроенный для domain1.com и domain2.com, есть действительный сертификат letsencrypt для postfix на порту 25 для имени хоста mx.somedomain.com (используйте STARTTLS ).

Теперь в первую очередь должны применяться общие правила, согласно которым только «не динамические» IP-адреса могут передавать сообщение без авторизации, если это относится к domain1.com или domain2.com. Я думаю, что эта часть покрыта /etc/postfix/main.cf :

mynetworks = 127.0.0.0/8 relay_domains = domain1.com, domain2.com transport_maps = hash:/etc/postfix/transport smtpd_relay_restrictions = permit_mynetworks, reject_unauth_destination, reject_unauth_pipelining, reject_non_fqdn_sender, reject_rbl_client bl.spamcop.net, reject_rbl_client zen.spamhaus.org, reject_rbl_client dnsbl.sorbs.net, reject_rbl_client cbl.abuseat.org 

И / etc / postfix / transport :

domain1.com smtp:[mx.int.domain1.com:587] domain2.com smtp:[mx.int.domain2.com:587] 

Теперь сервер может ретранслировать почту в соответствии с его транспортным маршрутом, я скоро доберусь до аутентификации.

Серверы int не имеют статического IP-адреса, поэтому они должны подключиться к MX.somedomain.com:25, STARTTLS, AUTH (понятно, я полагаю) и, наконец, передать свои сообщения. Нет STARTTLS -> Нет AUTH.

Теперь мне нужно убедиться, что если я создаю пользователя domain1upgw: passw0rd, он получит разрешение на отправку как любой пользователь benetah @ domain1.com, но не @ domain2.com. То же самое касается пользователя domain2upgw: LoveSexSecretGod, который может передавать только сообщения, отправленные с @ domain2.com.

Чтобы немного оживить ситуацию, третий пользователь, webshop@domain1.com: swordfish, которому разрешено отправлять сообщения только как webshop@domain1.com, может напрямую подключиться к SMTP без использования инфраструктуры int.domain1.com. ,

То, что осталось, это нисходящее соединение от MX.somedomain.com к MX.int.domain1.com и MX.int.domain2.com. MX.int.domain1.com разрешает вход через LDAP, но хотелось бы, чтобы у меня был локальный независимый вход с постфиксным именем пользователя, к которому хост-узел ретрансляции MX.somedomain.com мог подключаться и оставлять сообщения.

Чего я не понимаю, так это сказать, как postfix применять разные правила для разных пользователей / групп / auth-методов.