[email protected]에서 보낸 외부 메일을 어떻게 차단할 수 있나요?

tag-icon tag-icon postfix spam security
[email protected]에서 보낸 외부 메일을 어떻게 차단할 수 있나요?

한 보안 회사에서 내 메일 서버를 테스트했으며 내 Postfix 데몬이 오픈 릴레이라고 주장했습니다. 그 증거는 다음과 같습니다. (mail.mydomain.com의 유효한 공인 IP는 보안을 위해 10.1.1.1로 변경되었습니다.)

Relay User: postmaster Relay Domain: 10.1.1.1
Transaction Log: EHLO elk_scan_137 250-mail.mydomain.com 250-PIPELINING
250-SIZE 20480000
250-VRFY
250-ETRN
250-STARTTLS
250-AUTH PLAIN LOGIN 250-AUTH=PLAIN LOGIN 250-ENHANCEDSTATUSCODES 250-8BITMIME
250 DSN
MAIL FROM: postmaster@[10.1.1.1]
250 2.1.0 Ok
RCPT TO: postmaster@[10.1.1.1]
250 2.1.5 Ok

나는 이미 메일을 루트로 차단했지만 분명히 포스트마스터를 차단해서는 안 됩니다. 서버에서 자신에게 메일을 보내는 기능은 오픈 릴레이를 만들지 않는다고 생각합니다.하지만 스푸핑된 콘텐츠를 어떻게 안전하게 차단할 수 있나요?[이메일 보호됨]보내는 사람?

[주의: mxtoolbox.com을 사용하여 직접 스캔한 결과 안전하며 오픈 릴레이가 아니라고 합니다.]

답변1

누군가가 자신의 메일 서버의 IP 주소로 주소가 지정된 메일을 보낼 수 있다는 사실은 메일 서버가 오픈 릴레이인지 여부와 전혀 관련이 없습니다.

오픈 릴레이관리 도메인 외부의 모든 시스템에 대한 메일을 수락하고 앞으로 전달합니다. 이것은 분명히 여기서 설명된 내용이 아닙니다.

보안 회사에 담배를 피우는 것이 무엇인지 공유해달라고 요청하십시오. 분명히 그것은 정말 좋은 것이기 때문입니다.

답변2

아직 아무도 이를 언급하지 않았기 때문에 이는 SPF가 해결하도록 설계된 문제 중 하나입니다. DNS에 올바른 SPF 레코드를 게시하고 서버가 SPF 레코드를 확인하도록 하면 외부 서버가 "보낸 사람: *@yourdomain.com"으로 이메일을 보낼 수 없다는 것을 알게 됩니다. 보너스로, 이는 즉각적인 문제를 해결할 뿐만 아니라 스팸을 차단하고 나머지 사람들도 스팸을 차단하는 데 도움이 됩니다!

SPF 및 일반적인 이메일/스팸 문제 해결에 대한 자세한 내용은 다음을 읽어 보십시오.

스팸 퇴치 - 이메일 관리자, 도메인 소유자 또는 사용자로서 무엇을 할 수 있습니까?

Michael이 지적했듯이 이는 "오픈 릴레이" 문제가 아닙니다. 감사관이 이 사실에 해당한다고 생각한다면 해고를 심각하게 고려해야 합니다. 이 내용은 그다지 어렵지 않으며 문제의 용어 및 심각도와 관련하여 완전히 잘못되었습니다.

답변3

smtpd 제한을 사용해야한다고 생각합니다.

내 구성의 일부:

smtpd_helo_restrictions         =
    permit_mynetworks,
    reject_unauth_pipelining,
    permit_sasl_authenticated,
    reject_invalid_helo_hostname,
    reject_non_fqdn_hostname,
    reject_rbl_client zombie.dnsbl.sorbs.net,
    reject_rbl_client zen.spamhaus.org,
    reject_rbl_client bl.spamcop.net
smtpd_recipient_restrictions    =
    permit_mynetworks,
    reject_unauth_pipelining,
    reject_non_fqdn_recipient,
    permit_sasl_authenticated,
    reject_unauth_destination,
    check_policy_service inet:[127.0.0.1]:2501,
    permit
smtpd_sender_restrictions       =
    permit_mynetworks,
    reject_unauth_pipelining,
    reject_non_fqdn_sender,
    reject_unknown_sender_domain,
    permit_sasl_authenticated,
    permit_tls_clientcerts,
    check_sender_access regexp:$config_directory/tag_as_foreign.re,
    permit
smtpd_data_restrictions =
    reject_unauth_pipelining,
    reject_multi_recipient_bounce,
    permit

구성에 따라 다양한 검사를 수행할 수 있습니다. SMTP 워크플로의 각 단계마다 제한 사항이 설정되어 있습니다. 자세한 내용은 다음에서 확인하세요.http://www.postfix.org/postconf.5.html.

모든 단계, 즉 , , 및 에 대한 제한 smtpd_helo_restrictionssmtpd_data_restrictions정의 해야 smtpd_sender_restrictions합니다 . Postfix 2.10+에는 귀하에게 딱 맞는 새로운 옵션이 있습니다 .smtpd_recipient_restrictionssmtpd_client_restrictionssmtpd_relay_restrictions

자신의 메일이 SMTP 서버를 통해 릴레이되도록 하려면 어떻게든 식별할 수 있어야 합니다. 예를 들어 에 있으면 $mynetworks인증을 사용합니다.

광산 구성에서는 블랙호스트 목록, 그레이리스팅 및 인증도 사용합니다.

기본적으로 SMTP 제한은 다음을 허용해야 합니다.

  1. 네트워크(로컬호스트, 인트라넷 등. 참조 permit_mynetworks)
  2. 인증된 사용자(SMTP 로그인을 사용하여 로그인한 사용자, 외부 서버로 메일을 릴레이할 수 있습니다. 참조 permit_sasl_authenticated),
  3. 귀하에게 전달된 이메일(= 귀하는 해당 이메일의 "최종 목적지"입니다. 참조 reject_unauth_destination)
  4. 선택적으로 이메일을 중계하는 다른 모든 이메일 도메인; 예를 들어 서버가 일부 도메인의 최종 대상이 아니지만 프런트 엔드 프록시인 경우 화이트리스트와 비교하여 수신자를 확인하고 다음 홉 대상으로 전송해야 합니다.

승인되지 않은 사용자가 어디에서든 외부 서버로 전송하는 기타 모든 이메일은 오픈 릴레이를 의미합니다.

답변4

VRFY 및 EXPN을 비활성화합니다. 이 매개변수는 스패머가 사용할 수 있기 때문입니다.http://cr.yp.to/smtp/vrfy.html

관련 정보