home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #20 / NN_1992_20.iso / spool / vmsnet / mail / pmdf / 2270 < prev    next >
Encoding:
Internet Message Format  |  1992-09-10  |  3.0 KB
  1. Path: sparky!uunet!wupost!zaphod.mps.ohio-state.edu!hobbes.physics.uiowa.edu!news.iastate.edu!bvc.edu!kraftjoel
  2. From: kraftjoel@bvc.edu
  3. Newsgroups: vmsnet.mail.pmdf
  4. Subject: RE: Limiting access to outgoing mail.
  5. Message-ID: <1992Sep10.220644.1914@bvc.edu>
  6. Date: 10 Sep 92 22:06:44 CDT
  7. References: <01GOKRXC7ASI9TCNH3@INNOSOFT.COM>
  8. Organization: Buena Vista College, Storm Lake, IA
  9. Lines: 51
  10.  
  11. In article <01GOKRXC7ASI9TCNH3@INNOSOFT.COM>, dan@innosoft.com (Daniel C. Newman) writes:
  12. >>         I'd like to be able to limit access to non-local (off-node) email.
  13. >> I'm thinking that I can define a rights id, say 'NO_OUTMAIL' for example,
  14. >> and set the appropriate image with an ACL such that anyone holding that id
  15. >> cannot send internet mail messages.  My questions are simple:  Will this
  16. >> work?  and, which image(s) should be set this way?
  18. > This won't work since the users only run VMS MAIL or DECWindows MAIL.  They
  19. > don't run the actual images which send outbound mail.  Instead, you probably
  20. > want to associated this rightlist identifier with, say, your TCP/IP channel.
  21. > You do this by merely specifying the rightlist id as a channel keyword; e.g.,
  23. >         mtcp_local single smtp mx no_outmail
  25. > Then, only processes with the no_outmail rightslist id can queue mail to
  26. > the mtcp_local channel.  Be sure to grant this rightslist id to whatever
  27. > accounts PMDF may run under!
  28.  
  29. We have the exact same situation here on our campus, and I think that the
  30. solution is just a bit impractical.  On our campus, there are over 1000
  31. accounts that *should* be able to use mail, but only about 50 that should
  32. not.  Our system would be a rightslist nightmare if we tried this.
  33.  
  34. What we do isn't extremely graceful, but it certainly works.  Try putting an
  35. ACL on the PMDF_MAILSHR image.  You can put this in your startup file or do it
  36. anytime that PMDF is not installed:
  37.  
  38.     $ SET ACL/ACL=(ID=DISINMAIL,ACCESS=NONE) PMDF_MAILSHR
  39.  
  40. Then we grant the DISINMAIL identifier to the users that should not be able to
  41. send mail.  They can still receive it, but they wouldn't be able to subscribe
  42. to any lists so the volume here is minimal.  Whenever these users try to use
  43. the IN% transport, they get the following message:
  44.  
  45. MAIL> send
  46. To:     in%postmaster
  47. %MAIL-E-ERRACTRNS, error activating transport IN
  48. %LIB-E-ACTIMAGE, error activating image $1$DUA0:[PMDF.][EXE]IN_MAILSHR_V5.EXE;
  49. -RMS-F-NOPRIV, no privilege for attempted operation
  50.  
  51.  
  52. If these class accounts don't need NETMBX privilege for anything, you could
  53. also try using the 'netmbx' option on the channel (if I am remembering this
  54. correctly) and then anyone without that priv will not be able to queue mail to
  55. the channel.
  56.  
  57. --------------------------------------------------------------------------
  58. Joel D. Kraft           |  It's not quite the middle of nowhere...
  59. System Manager          |               but you can see it from here...
  60. Buena Vista College     |        I think it's called NEBRASKA!
  61. --------------------------------------------------------------------------
  62.