Ich möchte Postfix (unter Ubuntu 14.04) so einrichten, dass es den Übermittlungsport verwendet, aber ich befürchte, dass es zu einem offenen Relay werden könnte. Ich würde gerne wissen, welche Einschränkungen für jede der Einschränkungslisten am besten sind (die standardmäßig die Variablen $mua_ haben, was bedeutet, dass es im Grunde überhaupt keine Einschränkungen gibt?)
Hier ist die Standardkonfiguration von master.cf in Ubuntu:
submission inet n - - - - smtpd
-o syslog_name=postfix/submission
-o smtpd_tls_security_level=encrypt
-o smtpd_sasl_auth_enable=yes
-o smtpd_reject_unlisted_recipient=no
-o smtpd_client_restrictions=$mua_client_restrictions
-o smtpd_helo_restrictions=$mua_helo_restrictions
-o smtpd_sender_restrictions=$mua_sender_restrictions
-o smtpd_recipient_restrictions=
-o smtpd_relay_restrictions=permit_sasl_authenticated,reject
-o milter_macro_daemon_name=ORIGINATING
Und hier steht postconf -Mx
(erweitert die Variablen $mua_):
submission inet n - - - - smtpd
-o syslog_name=postfix/submission
-o smtpd_tls_security_level=encrypt
-o smtpd_sasl_auth_enable=yes
-o smtpd_reject_unlisted_recipient=no
-o smtpd_client_restrictions=
-o smtpd_helo_restrictions=
-o smtpd_sender_restrictions=
-o smtpd_recipient_restrictions=
-o smtpd_relay_restrictions=permit_sasl_authenticated,reject
-o milter_macro_daemon_name=ORIGINATING
Ich vermute also, dass der Benutzer, solange er ein SASL-authentifizierter Benutzer ist, E-Mails mit jedem beliebigen Konto und an jedes beliebige Ziel senden kann, ohne Helo- oder Client-Einschränkungen (ich vermute, das liegt daran, dass MUAs – wie Outlook – und nicht Server eine Verbindung zu diesem Port herstellen, also sollten Sie nicht zu wählerisch sein).
Einige Einschränkungen, die meiner Meinung nach trotz dieser Tatsache wünschenswert wären, wären:
reject_non_fqdn_sender
undreject_unlisted_sender
fürsmtpd_sender_restrictions
reject_non_fqdn_recipient
fürsmtpd_recipient_restrictions
Welche weiteren Einschränkungen dieser Restriktionslisten sind wünschenswert?
Antwort1
Es wird nie ein offenes Relay, wenn SieAuthentifizierung erforderlich.
Wenn Sie befürchten, dass Ihre Benutzer keine guten Passwörter verwenden, können Sie Netzwerke mit Postfix, iptables oder externen Firewalls auf bestimmte IP-Bereiche beschränken.
Eine weitere gute Idee wäre, fail2ban als Brute-Force-Schutzmechanismus hinzuzufügen.
Wie bei jedem E-Mail-System sollten Sie immer auf Missbrauch achten und sicherstellen, dass Sie ein gültiges Postmaster-Postfach haben und Missbrauch verhindern. Auch die Überwachung von RBLs und die Einrichtung von Feedback-Schleifen ist eine gute Praxis.