Назад | Перейти на главную страницу

Postfix действует как открытый ретранслятор для почтовых ящиков домена

У меня есть почтовый сервер на Debian 7.8 с postfix 2.9.6.

Мои ограничения таковы:

smtpd_sender_restrictions = reject_sender_login_mismatch, reject_unknown_sender_domain, reject_non_fqdn_sender, reject_unlisted_sender, permit_sasl_authenticated, reject_unauth_destination, permit_mynetworks
#smtpd_helo_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_non_fqdn_helo_hostname, reject_invalid_helo_hostname, check_helo_access pcre:/etc/postfix/helo_access.pcre
smtpd_client_restrictions =  permit_sasl_authenticated, permit_mynetworks
smtpd_recipient_restrictions = permit_sasl_authenticated, reject_unauth_destination

Проблема в том, что псевдоним электронной почты может отправлять письма внутреннему пользователю без авторизации.

Примеры (все запросы выполняются с отключенной аутентификацией в клиенте, а НЕ с локального хоста):

alias@example.com -> alias@example.com --> Mail sent
alias@example.com -> mailbox@example.com --> Mail sent
someuser@anotherexample.com -> alias@example.com --> Mail sent
someuser@anotherexample.com -> mailbox@example.com --> Mail sent
mailbox@example.com -> alias@example.com --> Sender address rejected: not logged in
mailbox@example.com -> someuser@anotherexample.com --> Sender address rejected: not logged in
someuser@anotherexample.com -> someuser2@anotherexample.com --> Relay access denied
alias@example.com -> someuser@anotherexample.com --> Relay access denied

Где почтовый ящик - это любой виртуальный пользователь в базе данных

Любая идея? Спасибо!

РЕДАКТИРОВАТЬ: чтение, что reject_unverified_sender может вызвать черный список, я удалил идентификатор, и теперь проблема вернулась

Думаю, я решил эту проблему с помощью следующих ограничений:

smtpd_client_restrictions =  permit_sasl_authenticated, permit_mynetworks
#smtpd_helo_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_non_fqdn_helo_hostname, reject_invalid_helo_hostname, check_helo_access pcre:/etc/postfix/helo_access.pcre
smtpd_sender_restrictions = permit_sasl_authenticated, reject_unverified_sender, reject_sender_login_mismatch, reject_unknown_sender_domain, reject_non_fqdn_sender, reject_unlisted_sender, reject_unauth_destination, permit_mynetworks
smtpd_recipient_restrictions = permit_sasl_authenticated, reject_unauth_destination

вариант, которого мне не хватало, был reject_unverified_sender, я добавил после разрешения_sasl_authenticated, поэтому я все еще могу отправлять почту с псевдонимами.