¿Cómo puedo bloquear el correo externo DE [email protected]?

tag-icon tag-icon postfix spam security
¿Cómo puedo bloquear el correo externo DE [email protected]?

Una empresa de seguridad ha estado probando mi servidor de correo y afirma que mi demonio Postfix es un relé abierto. La evidencia es la siguiente (la IP pública válida para mail.mydomain.com se ha cambiado a 10.1.1.1 por seguridad):

Relay User: postmaster Relay Domain: 10.1.1.1
Transaction Log: EHLO elk_scan_137 250-mail.mydomain.com 250-PIPELINING
250-SIZE 20480000
250-VRFY
250-ETRN
250-STARTTLS
250-AUTH PLAIN LOGIN 250-AUTH=PLAIN LOGIN 250-ENHANCEDSTATUSCODES 250-8BITMIME
250 DSN
MAIL FROM: postmaster@[10.1.1.1]
250 2.1.0 Ok
RCPT TO: postmaster@[10.1.1.1]
250 2.1.5 Ok

Ya bloqueé el correo para rootear, pero claramente no debería bloquear a Postmaster. Siento que la capacidad de enviar correo desde un servidor a sí mismo no constituye una retransmisión abierta.Pero, ¿cómo puedo bloquear de forma segura un mensaje falsificado?[correo electrónico protegido]¿remitente?

[NB: Me escaneé usando mxtoolbox.com y dicen que es seguro y no un relé abierto]

Respuesta1

El hecho de que alguien pueda enviarle correo dirigido a la dirección IP de su propio servidor de correo no influye en absoluto en si el servidor de correo es un relé abierto.

Relés abiertosaceptar correo para todos y cada uno de los sistemas fuera de su dominio administrativo y reenviarlos. Claramente esto no es lo que se demuestra aquí.

Pídale a la empresa de seguridad que comparta lo que sea que hayan estado fumando, ya que claramente es algo realmente bueno.

Respuesta2

Como nadie más lo ha mencionado todavía, este es uno de los problemas para cuya solución se diseñó el SPF. Si publica un registro SPF correcto en su DNS y hace que su servidor verifique los registros SPF, sabrá que los servidores externos no pueden enviar correos electrónicos con "De: *@sudominio.com". Como beneficio adicional, esto no solo solucionará su problema inmediato, sino que también bloqueará el spam y nos ayudará al resto de nosotros a bloquear el spam también.

Para obtener más información sobre SPF y cómo solucionar problemas de correo electrónico/SPAM en general, lea:

Luchando contra el spam: ¿Qué puedo hacer como administrador de correo electrónico, propietario de dominio o usuario?

Como señaló Michael, este no es un problema de "relé abierto". Debería considerar seriamente despedir a sus auditores si creen que este es el caso. Esto no es tan difícil y están completamente equivocados con respecto a la terminología y la gravedad del problema.

Respuesta3

Creo que necesitas usar restricciones smtpd.

Fragmento de mi configuración:

smtpd_helo_restrictions         =
    permit_mynetworks,
    reject_unauth_pipelining,
    permit_sasl_authenticated,
    reject_invalid_helo_hostname,
    reject_non_fqdn_hostname,
    reject_rbl_client zombie.dnsbl.sorbs.net,
    reject_rbl_client zen.spamhaus.org,
    reject_rbl_client bl.spamcop.net
smtpd_recipient_restrictions    =
    permit_mynetworks,
    reject_unauth_pipelining,
    reject_non_fqdn_recipient,
    permit_sasl_authenticated,
    reject_unauth_destination,
    check_policy_service inet:[127.0.0.1]:2501,
    permit
smtpd_sender_restrictions       =
    permit_mynetworks,
    reject_unauth_pipelining,
    reject_non_fqdn_sender,
    reject_unknown_sender_domain,
    permit_sasl_authenticated,
    permit_tls_clientcerts,
    check_sender_access regexp:$config_directory/tag_as_foreign.re,
    permit
smtpd_data_restrictions =
    reject_unauth_pipelining,
    reject_multi_recipient_bounce,
    permit

Existe una amplia gama de comprobaciones que puede realizar según su configuración. Existe una restricción establecida para cada fase del flujo de trabajo SMTP. Consulta más enhttp://www.postfix.org/postconf.5.html.

Debe definir restricciones para todas las fases, es decir smtpd_helo_restrictions, smtpd_data_restrictions, smtpd_sender_restrictionsy . En Postfix 2.10+ hay una nueva opción que puede ser perfecta para usted.smtpd_recipient_restrictionssmtpd_client_restrictionssmtpd_relay_restrictions

Tenga en cuenta que si desea que su propio correo se transmita a través de su servidor SMTP, debe ser identificable de alguna manera; por ejemplo, estar en $mynetworks, utiliza autenticación.

La configuración de la mina también utiliza listas de hosts negros, listas grises y autenticación.

Básicamente, sus restricciones SMTP deberían permitir:

  1. sus redes (localhost, intranet, etc.; ver permit_mynetworks),
  2. usuarios autenticados (usuarios que iniciaron sesión mediante el inicio de sesión SMTP, puede retransmitirles el correo a servidores externos; consulte permit_sasl_authenticated),
  3. correos electrónicos que se le entregan (= usted es el "destino final" de ellos; consulte reject_unauth_destination).
  4. opcionalmente, todos los demás dominios de correo electrónico para los que esté retransmitiendo correos electrónicos; por ejemplo, cuando su servidor no es el destino final de algún dominio sino que es, por ejemplo, un proxy de front-end, debe comparar el destinatario con una lista blanca y transportarlo al destino de nexthop.

Todos los demás correos electrónicos enviados por usuarios no autorizados desde cualquier lugar a servidores externos significan retransmisión abierta.

Respuesta4

Desactive VRFY y EXPN, ya que estos parámetros pueden ser utilizados por spammershttp://cr.yp.to/smtp/vrfy.html

información relacionada