Faça duas coisas:
-
Execute o Postfix em sua própria conta de usuário. deve já estar fazendo isso, em qualquer sistema sã.
-
Defina uma regra iptables com uma correspondência de uid para essa conta, que bloqueia o tráfego de saída para a porta de destino 25 e não daquele usuário.
Por exemplo: Aqui, assumimos que o nome de usuário é
postfix
, embora possa ser algo diferente em seu sistema.iptables -I OUTPUT -m owner ! --uid-owner postfix -m tcp -p tcp --dport 25 -j REJECT --reject-with icmp-admin-prohibited ip6tables -I OUTPUT -m owner ! --uid-owner postfix -m tcp -p tcp --dport 25 -j REJECT --reject-with icmp6-adm-prohibited
Observe que, quando você salva a regra, o nome do usuário é convertido em um arquivo numérico.