У меня проблема выше моего уровня компетенции. Работая над улучшением мер безопасности, имеющихся в нашей сети, мы обнаружили (среди прочего) один недостаток, который мы не знаем, как исправить.
У нас есть собственный локальный SMTP-сервер, основанный на MDaemon, и мы нанимаем профессиональную службу хостинга, которая подключает нас к глобальной сети, и у них также есть собственный SMTP-ретранслятор, общедоступный. Итак, когда почта проходит, она приходит с их SMTP на наш, на наши устройства. Но мы обнаружили, что их tcp-порт 587 не запрашивал аутентификацию, что означает, что мы можем подделать любой адрес, доменное имя которого они обрабатывают, отправив любое электронное письмо, например, с boss@ourcorp.com на accountants@ourcorp.com, что упростит для потенциального злоумышленника с целью фишинга. Но наш поставщик услуг не может просто закрыть этот порт, потому что у нас есть кочевые пользователи, отправляющие через него почту со своего мобильного телефона. Вот варианты, о которых я подумал, не зная, насколько они осуществимы:
Если у вас есть какие-либо мысли по нашей проблеме, заранее благодарим.
Во-первых, я полагаю, что порт 587 вашего интернет-провайдера защищен каким-то образом, кроме логина / пароля? Один из способов - по IP-адресу источника, так что он доступен только для клиентов, подключенных к этому Интернет-провайдеру, но это ограничит пользователей мобильных телефонов подключением через этого Интернет-провайдера. Другой способ - POP-before-SMTP, но он работает только в том случае, если интернет-провайдер также обрабатывает почтовое хранилище и, таким образом, может аутентифицировать пользователей в любом случае. Я не рекомендую ни один из этих двух способов, но единственное другое решение, которое я вижу, - это открытое реле, которое определенно то, чего вы хотите избежать, и чье существование плохо отразится на компетенции вашего интернет-провайдера.
В зависимости от MSA вашего провайдера и ваших собственных служб аутентификации может быть доступна прокси-аутентификация. Я бы не рекомендовал его, так как его довольно сложно настроить и поддерживать без каких-либо преимуществ, которые я вижу.
Я бы порекомендовал вам второй Решение: у вас уже есть ваше почтовое хранилище, доступное в Интернет через IMAP (я полагаю!), у вас уже есть свой почтовый сервер, у вас уже настроен MSA, поэтому предоставление MSA в Интернете не является огромным изменением в доступе. Таким образом, все очень стандартно, очень просто объяснить, вы меньше зависите от своего интернет-провайдера, вы не будете без необходимости передавать конфиденциальную информацию о логине / пароле своему интернет-провайдеру. Конечно, существуют проблемы безопасности, такие как атаки по словарю, но, если я прав, это проблемы, которым вы уже подвергаетесь, позволяя пользователям вашего мобильного телефона проверять свою почту.
То, что могло бы заставить меня изменить свое мнение, было бы