Wie kann ich externe E-Mails VON [email protected] blockieren?

tag-icon tag-icon postfix spam security
Wie kann ich externe E-Mails VON [email protected] blockieren?

Eine Sicherheitsfirma hat meinen Mailserver getestet und behauptet, mein Postfix-Daemon sei ein offenes Relay. Der Beweis ist wie folgt (die gültige öffentliche IP für mail.mydomain.com wurde aus Sicherheitsgründen in 10.1.1.1 geändert):

Relay User: postmaster Relay Domain: 10.1.1.1
Transaction Log: EHLO elk_scan_137 250-mail.mydomain.com 250-PIPELINING
250-SIZE 20480000
250-VRFY
250-ETRN
250-STARTTLS
250-AUTH PLAIN LOGIN 250-AUTH=PLAIN LOGIN 250-ENHANCEDSTATUSCODES 250-8BITMIME
250 DSN
MAIL FROM: postmaster@[10.1.1.1]
250 2.1.0 Ok
RCPT TO: postmaster@[10.1.1.1]
250 2.1.5 Ok

Ich habe E-Mails an Root bereits blockiert, aber Postmaster sollte ich eindeutig nicht blockieren. Ich bin der Meinung, dass die Möglichkeit, E-Mails von einem Server an sich selbst zu senden, kein offenes Relay darstellt.Aber wie kann ich eine gefälschte[email geschützt]Absender?

[NB: Ich habe mich selbst mit mxtoolbox.com gescannt und dort heißt es, es sei sicher und kein offenes Relay.]

Antwort1

Die Tatsache, dass Ihnen jemand E-Mails senden kann, die an die IP-Adresse Ihres eigenen Mailservers adressiert sind, hat absolut keinen Einfluss darauf, ob es sich bei dem Mailserver um ein offenes Relay handelt.

Offene RelaisMails für alle Systeme außerhalb ihrer Verwaltungsdomäne annehmen und weiterleiten. Dies wird hier eindeutig nicht demonstriert.

Bitten Sie die Sicherheitsfirma, Ihnen mitzuteilen, was sie geraucht haben, denn es ist offensichtlich wirklich gutes Zeug.

Antwort2

Da es bisher noch niemand erwähnt hat, ist dies eines der Probleme, die SPF beheben soll. Wenn Sie einen korrekten SPF-Eintrag in Ihrem DNS veröffentlichen und Ihren Server SPF-Einträge überprüfen lassen, weiß er, dass externe Server keine E-Mails mit „Von: *@IhreDomain.com“ senden dürfen. Als Bonus behebt dies nicht nur Ihr unmittelbares Problem, sondern blockiert auch Spam und hilft uns anderen, ebenfalls Spam zu blockieren!

Weitere Informationen zu SPF und zur Behebung von E-Mail-/SPAM-Problemen im Allgemeinen finden Sie unter:

Spam bekämpfen – Was kann ich als E-Mail-Administrator, Domäneninhaber oder Benutzer tun?

Wie Michael betonte, handelt es sich hier nicht um ein „Open Relay“-Problem. Sie sollten ernsthaft erwägen, Ihre Prüfer zu entlassen, wenn sie glauben, dass dies der Fall ist. Das ist nicht so schwer, und sie liegen hinsichtlich der Terminologie und der Schwere des Problems völlig falsch.

Antwort3

Ich denke, Sie müssen SMTP-Einschränkungen verwenden.

Ausschnitt meiner Konfiguration:

smtpd_helo_restrictions         =
    permit_mynetworks,
    reject_unauth_pipelining,
    permit_sasl_authenticated,
    reject_invalid_helo_hostname,
    reject_non_fqdn_hostname,
    reject_rbl_client zombie.dnsbl.sorbs.net,
    reject_rbl_client zen.spamhaus.org,
    reject_rbl_client bl.spamcop.net
smtpd_recipient_restrictions    =
    permit_mynetworks,
    reject_unauth_pipelining,
    reject_non_fqdn_recipient,
    permit_sasl_authenticated,
    reject_unauth_destination,
    check_policy_service inet:[127.0.0.1]:2501,
    permit
smtpd_sender_restrictions       =
    permit_mynetworks,
    reject_unauth_pipelining,
    reject_non_fqdn_sender,
    reject_unknown_sender_domain,
    permit_sasl_authenticated,
    permit_tls_clientcerts,
    check_sender_access regexp:$config_directory/tag_as_foreign.re,
    permit
smtpd_data_restrictions =
    reject_unauth_pipelining,
    reject_multi_recipient_bounce,
    permit

Abhängig von Ihrer Konfiguration können Sie eine Vielzahl von Prüfungen durchführen. Für jede Phase des SMTP-Workflows gibt es eine Einschränkung. Weitere Informationen finden Sie unterhttp://www.postfix.org/postconf.5.html.

Sie sollten Einschränkungen für alle Phasen definieren, d. h. smtpd_helo_restrictions, smtpd_data_restrictions, smtpd_sender_restrictions, smtpd_recipient_restrictionsund smtpd_client_restrictions. In Postfix 2.10+ gibt es eine neue smtpd_relay_restrictionsOption, die möglicherweise perfekt für Sie geeignet ist.

Beachten Sie, dass Sie irgendwie identifizierbar sein müssen, wenn Sie möchten, dass Ihre eigenen E-Mails über Ihren SMTP-Server weitergeleitet werden. Dies kann beispielsweise der Fall sein, wenn $mynetworksSie sich angemeldet haben und eine Authentifizierung verwenden.

Meine Konfiguration verwendet auch Blackhost-Listen, Greylists und Authentifizierung.

Grundsätzlich sollten Ihre SMTP-Einschränkungen Folgendes zulassen:

  1. Ihre Netzwerke (localhost, Intranet usw.; siehe permit_mynetworks),
  2. authentifizierte Benutzer (Benutzer, die sich mit SMTP-Login angemeldet haben. Für sie können Sie E-Mails an externe Server weiterleiten; siehe permit_sasl_authenticated),
  3. E-Mails, die an Sie zugestellt werden (= Sie sind der „Endempfänger“ für diese E-Mails; siehe reject_unauth_destination).
  4. optional alle anderen E-Mail-Domänen, für die Sie E-Mails weiterleiten; wenn Ihr Server beispielsweise nicht das endgültige Ziel für eine Domäne, sondern beispielsweise ein Front-End-Proxy ist, sollten Sie den Empfänger anhand einer Whitelist überprüfen und ihn zum nächsten Hop-Ziel transportieren.

Bei allen anderen E-Mails, die von nicht autorisierten Benutzern von irgendwoher an externe Server gesendet werden, handelt es sich um Open Relay.

Antwort4

Deaktivieren Sie VRFY und EXPN, da diese Parameter von Spammern verwendet werden könnenhttp://cr.yp.to/smtp/vrfy.html

verwandte Informationen