Можно ли разрешить SMTP Relay из private address blocks?
Мне кажется, что это, вероятно, нормально, но я не уверен, что это не сделает мой сервер уязвимым для чего-то вроде IP-forgery атаки или подобное. В принципе, каковы шансы, что некоторые черные шляпы применит какие-то умные методы и обманут меня? MTA думать, что он получил конверт из private address block, эффективно превращая его в открытое реле?
Мой MTA работает внутри docker container, поэтому я боялся, что все подключения (в том числе с удаленных серверов) будут рассматриваться как локальные. Однако из следующей записи журнала видно, что MTA удалось выяснить, что входящее соединение является удаленным:
SMTP connection from [xxx.yyy.39.83]:43108 I=[172.18.0.2]:25 (TCP/IP connection count = 1)
В общем как сделать MTAсобирают такую информацию, берут ли они ее из TCP связи, от SMTP headers, что-то среднее?
Более безопасная установка - это обычно блокировать неаутентифицированный SMTP, добавляя в белый список только те несколько сервисов, которые не могут пройти аутентификацию - которых к настоящему времени не должно быть или почти нет.
IP-адреса, которые пользователи MTA для разрешения ретрансляции обычно берут из сеанса TCP. В этом случае (TCP и современные системы) их невозможно подделать, если у фальсификатора нет доступа к сетевой инфраструктуре между вами и удаленным IP. Однако следует отметить, что:
ELB Postfix "Proxy protocol", что было бы вашим «посередине»).