제출 포트를 사용하기 위해 Postfix(Ubuntu 14.04)를 설정하고 싶지만 오픈 릴레이가 될 수 있을지 걱정됩니다. 각 제한 목록에 가장 적합한 제한이 무엇인지 알고 싶습니다. (기본적으로 $mua_ 변수가 있습니다. 기본적으로 전혀 제한이 없다는 뜻인가요?)
Ubuntu의 기본 master.cf 구성은 다음과 같습니다.
submission inet n - - - - smtpd
-o syslog_name=postfix/submission
-o smtpd_tls_security_level=encrypt
-o smtpd_sasl_auth_enable=yes
-o smtpd_reject_unlisted_recipient=no
-o smtpd_client_restrictions=$mua_client_restrictions
-o smtpd_helo_restrictions=$mua_helo_restrictions
-o smtpd_sender_restrictions=$mua_sender_restrictions
-o smtpd_recipient_restrictions=
-o smtpd_relay_restrictions=permit_sasl_authenticated,reject
-o milter_macro_daemon_name=ORIGINATING
그리고 postconf -Mx($mua_ 변수를 확장할 것입니다) 내용은 다음과 같습니다.
submission inet n - - - - smtpd
-o syslog_name=postfix/submission
-o smtpd_tls_security_level=encrypt
-o smtpd_sasl_auth_enable=yes
-o smtpd_reject_unlisted_recipient=no
-o smtpd_client_restrictions=
-o smtpd_helo_restrictions=
-o smtpd_sender_restrictions=
-o smtpd_recipient_restrictions=
-o smtpd_relay_restrictions=permit_sasl_authenticated,reject
-o milter_macro_daemon_name=ORIGINATING
따라서 여기서는 사용자가 SASL 인증 사용자인 한 어떤 계정을 사용하든 어떤 목적지로든 이메일을 보낼 수 있을 것이라고 추측합니다. Helo 또는 클라이언트 제한은 없습니다(이것은 MUA 때문이라고 추측합니다). -Outlook과 유사- 서버가 아닌 서버가 이 포트에 연결되므로 너무 까다롭게 굴지 마십시오)
그 사실에도 불구하고 내가 생각하는 몇 가지 제한 사항은 다음과 같습니다.
reject_non_fqdn_sender그리고reject_unlisted_sendersmtpd_sender_restrictionsreject_non_fqdn_recipient~을 위한smtpd_recipient_restrictions
이러한 제한 목록에 바람직한 다른 제한 사항은 무엇입니까?
답변1
다음과 같은 경우에는 절대로 오픈 릴레이가 되지 않습니다.인증이 필요함.
사용자가 좋은 비밀번호를 사용하지 않는 것이 걱정된다면 postfix, iptables 또는 외부 방화벽을 사용하여 네트워크를 특정 IP 범위로 제한할 수 있습니다.
또 다른 좋은 생각은 무차별 보호 메커니즘으로 Fail2ban을 추가하는 것입니다.
모든 이메일 시스템과 마찬가지로 남용 여부를 항상 모니터링해야 하며, 남용뿐만 아니라 유효한 포스트마스터 사서함을 보유하고 있는지 확인해야 합니다. 또한 RBL을 모니터링하고 피드백 루프를 설정하는 것도 좋은 습관입니다.