Фирма безопасности тестировала мой почтовый сервер и утверждает, что мой демон Postfix является открытым ретранслятором. Доказательства следующие (действительный публичный IP-адрес mail.mydomain.com был изменен на 10.1.1.1 в целях безопасности):
Relay User: postmaster Relay Domain: 10.1.1.1
Transaction Log: EHLO elk_scan_137 250-mail.mydomain.com 250-PIPELINING
250-SIZE 20480000
250-VRFY
250-ETRN
250-STARTTLS
250-AUTH PLAIN LOGIN 250-AUTH=PLAIN LOGIN 250-ENHANCEDSTATUSCODES 250-8BITMIME
250 DSN
MAIL FROM: postmaster@[10.1.1.1]
250 2.1.0 Ok
RCPT TO: postmaster@[10.1.1.1]
250 2.1.5 Ok
Я уже заблокировал почту для root, но я явно не должен блокировать postmaster. Я чувствую, что возможность отправлять почту с сервера самому себе не создает открытого ретранслятора. Но как я могу безопасно заблокировать подделку postmaster@mail.mydomain.com отправитель?
[N.B. Я просканировал себя с помощью mxtoolbox.com, и они сказали, что это безопасно, а не открытое реле]
Тот факт, что кто-то может отправлять вам почту, адресованную IP-адресу вашего собственного почтового сервера, абсолютно не влияет на то, является ли почтовый сервер открытым ретранслятором.
Открытые реле принимать почту для всех без исключения систем за пределами их административного домена и пересылать их дальше. Это явно не то, что здесь демонстрируется.
Попросите охранную фирму поделиться тем, что они курили, потому что это действительно хорошая вещь.
Поскольку об этом еще никто не упоминал, это одна из проблем, для решения которой был разработан SPF. Если вы публикуете правильную запись SPF в своем DNS и ваш сервер проверяет записи SPF, он будет знать, что внешним серверам не разрешено отправлять электронную почту с "From: *@yourdomain.com". В качестве бонуса это не только решит вашу непосредственную проблему, но и заблокирует спам, а также поможет другим из нас заблокировать спам!
Для получения дополнительной информации о SPF и исправлении проблем с электронной почтой / спамом в целом прочтите:
Как указал Майкл, это не проблема «открытого реле». Вам следует серьезно подумать об увольнении аудиторов, если они думают, что это так. Это не так уж и сложно, и они совершенно не правы относительно терминологии и серьезности проблемы.
Я думаю нужно использовать ограничения smtpd.
Фрагмент моей конфигурации:
smtpd_helo_restrictions =
permit_mynetworks,
reject_unauth_pipelining,
permit_sasl_authenticated,
reject_invalid_helo_hostname,
reject_non_fqdn_hostname,
reject_rbl_client zombie.dnsbl.sorbs.net,
reject_rbl_client zen.spamhaus.org,
reject_rbl_client bl.spamcop.net
smtpd_recipient_restrictions =
permit_mynetworks,
reject_unauth_pipelining,
reject_non_fqdn_recipient,
permit_sasl_authenticated,
reject_unauth_destination,
check_policy_service inet:[127.0.0.1]:2501,
permit
smtpd_sender_restrictions =
permit_mynetworks,
reject_unauth_pipelining,
reject_non_fqdn_sender,
reject_unknown_sender_domain,
permit_sasl_authenticated,
permit_tls_clientcerts,
check_sender_access regexp:$config_directory/tag_as_foreign.re,
permit
smtpd_data_restrictions =
reject_unauth_pipelining,
reject_multi_recipient_bounce,
permit
В зависимости от конфигурации вы можете выполнить широкий спектр проверок. Для каждого этапа рабочего процесса SMTP установлены ограничения. Узнайте больше на http://www.postfix.org/postconf.5.html.
Вы должны определить ограничения для всех этапов, то есть smtpd_helo_restrictions
, smtpd_data_restrictions
, smtpd_sender_restrictions
, smtpd_recipient_restrictions
и smtpd_client_restrictions
. В Postfix 2.10+ появился новый smtpd_relay_restrictions
вариант, который может идеально вам подойти.
Обратите внимание, что если вы хотите, чтобы ваша собственная почта ретранслировалась через ваш SMTP-сервер, вам нужно как-то идентифицировать вас - например, быть в $mynetworks
, вы используете аутентификацию.
В моей конфигурации также используются списки черных хостов, серые списки и аутентификация.
По сути, ваши ограничения SMTP должны позволять:
permit_mynetworks
),permit_sasl_authenticated
),reject_unauth_destination
).Вся остальная электронная почта, отправляемая неавторизованным пользователем откуда угодно на внешние серверы, означает открытую ретрансляцию.
Отключите VRFY и EXPN, потому что эти параметры могут использоваться спамерами http://cr.yp.to/smtp/vrfy.html