Skocz do zawartości
Fizyda

Zasada działania SMTP oraz restrykcje dla postfixa

Polecane posty

Dziś próbowałem zabezpieczyć postfixa nakładając odpowiednie restrykcje, ale chyba przeceniłem swoje umiejętności bo coś nie działało to tak jak chciałem. Nie wiem czy ja czegoś nie rozumiem i działa wszystko jak powinno, czy może coś popsułem.

 

Dlatego też postanowiłem zastanowić się jak działa SMTP, no i doszedłem do wniosku który świetnie jest zobrazowany przez następujący obrazek:

 

04300ae9aafc3996be36a6e7e45cd8dc_fb.jpg

 

Dlaczego za pomocą swojego serwera (po autoryzacji sasl) mogę wysłać maile jako dowolna osoba z dowolnej domeny :D

i dlaczego takie maile dochodzą do mnie.

 

W Thunderbirdzie tworzę konto o nazwie andrzej@kaboom.pl i gdy tworzę wiadomość podając jako nadawce marysia@google.com, oraz odbiorce tomek@kaboom.pl to tomek dostaje maila z google ;d

 

kaboom.pl - domena obsługiwana przez serwer

andrzej i tomek - nazwy istniejących kont w domenie na serwerze

 

Wydaje mi się że nie powinno dochodzić do takich sytuacji, że mój serwer rozsyła maile z innych domen dla nieistniejących kont pocztowych, a tym bardziej, że takie maile docierają do niego. Chyba musi być jakaś weryfikacja bo inaczej nie wiedziałbym czy mail z mojego banku wysłał faktycznie bank czy może mój sąsiad.

 

Restrykcje jakie posiadam w tej chwili na serwerze:

# HELO restrictions:
smtpd_delay_reject = yes
smtpd_helo_required = yes
smtpd_helo_restrictions =
    permit_mynetworks,
    reject_non_fqdn_helo_hostname,
    reject_invalid_helo_hostname,
    permit

# Sender restrictions:
smtpd_sender_restrictions =
    reject_non_fqdn_sender,
    reject_unknown_sender_domain,
    permit

# Recipient restrictions:
smtpd_recipient_restrictions =
   reject_unauth_pipelining,
   reject_non_fqdn_recipient,
   reject_unknown_recipient_domain,
   permit_mynetworks,
   reject_unauth_destination,
   #check_sender_access
   #      hash:/etc/postfix/sender_access,
   reject_rbl_client zen.spamhaus.org,
   reject_rbl_client bl.spamcop.net,
   permit

-----------------------------

 

W tym momencie chyba widzę co zrąbałem, ale zostawiam temat bo jak znam życie i tak się dowiem czegoś mądrego i tak.

 

Jak mam strzelać to chodzi o za komentowane reguły w recipient które za komentowałem bo nie mogłem wysyłać maili ponieważ nie miałem pliku /etc/postfix/sender_access

 

Tak jak mówiłem zostawiam, może ktoś coś podpowie, nakieruje.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Da się zrobić ograniczenie że możesz wysyłać tylko z polem nadawcy zgodnym z nazwą konta. Teraz jestem na telefonie ale potem mogę Ci podesłać linijkę.

  • Upvote 1

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

 

 

reject_sender_login_mismatch

Będzie skutkować:

 

 

553 5.7.1 Sender address rejected: not owned by user

 

  • Upvote 1

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Jeśli użytkownicy są inni niż adresy email to użyj mapy:

 

smtpd_sender_login_maps = hash:/etc/postfix/sender_login_maps

  • Upvote 1

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Dzięki za pomoc tam myślałem że nic innego nie da się wymyślić. Dokładną konfigurację chyba trzeba będzie ogarnąć metodą prób i błędów już na normalnym serwerze.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się


×