Назад | Перейти на главную страницу

Как я могу заблокировать внешнюю почту ОТ postmaster@mydomain.com?

Фирма безопасности тестировала мой почтовый сервер и утверждает, что мой демон Postfix является открытым ретранслятором. Доказательства следующие (действительный публичный IP-адрес mail.mydomain.com был изменен на 10.1.1.1 в целях безопасности):

Relay User: postmaster Relay Domain: 10.1.1.1
Transaction Log: EHLO elk_scan_137 250-mail.mydomain.com 250-PIPELINING
250-SIZE 20480000
250-VRFY
250-ETRN
250-STARTTLS
250-AUTH PLAIN LOGIN 250-AUTH=PLAIN LOGIN 250-ENHANCEDSTATUSCODES 250-8BITMIME
250 DSN
MAIL FROM: postmaster@[10.1.1.1]
250 2.1.0 Ok
RCPT TO: postmaster@[10.1.1.1]
250 2.1.5 Ok

Я уже заблокировал почту для root, но я явно не должен блокировать postmaster. Я чувствую, что возможность отправлять почту с сервера самому себе не создает открытого ретранслятора. Но как я могу безопасно заблокировать подделку postmaster@mail.mydomain.com отправитель?

[N.B. Я просканировал себя с помощью mxtoolbox.com, и они сказали, что это безопасно, а не открытое реле]

Тот факт, что кто-то может отправлять вам почту, адресованную IP-адресу вашего собственного почтового сервера, абсолютно не влияет на то, является ли почтовый сервер открытым ретранслятором.

Открытые реле принимать почту для всех без исключения систем за пределами их административного домена и пересылать их дальше. Это явно не то, что здесь демонстрируется.

Попросите охранную фирму поделиться тем, что они курили, потому что это действительно хорошая вещь.

Поскольку об этом еще никто не упоминал, это одна из проблем, для решения которой был разработан SPF. Если вы публикуете правильную запись SPF в своем DNS и ваш сервер проверяет записи SPF, он будет знать, что внешним серверам не разрешено отправлять электронную почту с "From: *@yourdomain.com". В качестве бонуса это не только решит вашу непосредственную проблему, но и заблокирует спам, а также поможет другим из нас заблокировать спам!

Для получения дополнительной информации о SPF и исправлении проблем с электронной почтой / спамом в целом прочтите:

Борьба со спамом - что я могу делать как: администратор электронной почты, владелец домена или пользователь?

Как указал Майкл, это не проблема «открытого реле». Вам следует серьезно подумать об увольнении аудиторов, если они думают, что это так. Это не так уж и сложно, и они совершенно не правы относительно терминологии и серьезности проблемы.

Я думаю нужно использовать ограничения smtpd.

Фрагмент моей конфигурации:

smtpd_helo_restrictions         =
    permit_mynetworks,
    reject_unauth_pipelining,
    permit_sasl_authenticated,
    reject_invalid_helo_hostname,
    reject_non_fqdn_hostname,
    reject_rbl_client zombie.dnsbl.sorbs.net,
    reject_rbl_client zen.spamhaus.org,
    reject_rbl_client bl.spamcop.net
smtpd_recipient_restrictions    =
    permit_mynetworks,
    reject_unauth_pipelining,
    reject_non_fqdn_recipient,
    permit_sasl_authenticated,
    reject_unauth_destination,
    check_policy_service inet:[127.0.0.1]:2501,
    permit
smtpd_sender_restrictions       =
    permit_mynetworks,
    reject_unauth_pipelining,
    reject_non_fqdn_sender,
    reject_unknown_sender_domain,
    permit_sasl_authenticated,
    permit_tls_clientcerts,
    check_sender_access regexp:$config_directory/tag_as_foreign.re,
    permit
smtpd_data_restrictions =
    reject_unauth_pipelining,
    reject_multi_recipient_bounce,
    permit

В зависимости от конфигурации вы можете выполнить широкий спектр проверок. Для каждого этапа рабочего процесса SMTP установлены ограничения. Узнайте больше на http://www.postfix.org/postconf.5.html.

Вы должны определить ограничения для всех этапов, то есть smtpd_helo_restrictions, smtpd_data_restrictions, smtpd_sender_restrictions, smtpd_recipient_restrictions и smtpd_client_restrictions. В Postfix 2.10+ появился новый smtpd_relay_restrictions вариант, который может идеально вам подойти.

Обратите внимание, что если вы хотите, чтобы ваша собственная почта ретранслировалась через ваш SMTP-сервер, вам нужно как-то идентифицировать вас - например, быть в $mynetworks, вы используете аутентификацию.

В моей конфигурации также используются списки черных хостов, серые списки и аутентификация.

По сути, ваши ограничения SMTP должны позволять:

  1. ваши сети (localhost, intranet и т. д .; см. permit_mynetworks),
  2. аутентифицированные пользователи (пользователи вошли в систему с использованием входа в систему SMTP, вы можете ретранслировать для них почту на внешние серверы; см. permit_sasl_authenticated),
  3. электронные письма, доставленные вам (= вы для них "конечный пункт назначения"; см. reject_unauth_destination).
  4. необязательно для всех других доменов электронной почты, для которых вы пересылаете электронную почту; например когда ваш сервер не является конечным пунктом назначения для некоторого домена, но, например, внешнего прокси, вы должны проверить получателя по белому списку и перенести его в пункт назначения следующего магазина.

Вся остальная электронная почта, отправляемая неавторизованным пользователем откуда угодно на внешние серверы, означает открытую ретрансляцию.

Отключите VRFY и EXPN, потому что эти параметры могут использоваться спамерами http://cr.yp.to/smtp/vrfy.html