Como posso bloquear mensagens externas de [email protegido]?

tag-icon tag-icon postfix spam security
Como posso bloquear mensagens externas de [email protegido]?

Uma empresa de segurança está testando meu servidor de e-mail e afirma que meu daemon Postfix é um retransmissor aberto. A evidência é a seguinte (IP público válido para mail.mydomain.com foi alterado para 10.1.1.1 por segurança):

Relay User: postmaster Relay Domain: 10.1.1.1
Transaction Log: EHLO elk_scan_137 250-mail.mydomain.com 250-PIPELINING
250-SIZE 20480000
250-VRFY
250-ETRN
250-STARTTLS
250-AUTH PLAIN LOGIN 250-AUTH=PLAIN LOGIN 250-ENHANCEDSTATUSCODES 250-8BITMIME
250 DSN
MAIL FROM: postmaster@[10.1.1.1]
250 2.1.0 Ok
RCPT TO: postmaster@[10.1.1.1]
250 2.1.5 Ok

Já bloqueei e-mails para root, mas claramente não devo bloquear o postmaster. Sinto que a capacidade de enviar mensagens de um servidor para si mesmo não cria uma retransmissão aberta.Mas como posso bloquear com segurança uma mensagem falsificada[e-mail protegido]remetente?

[NB: eu me verifiquei usando mxtoolbox.com e eles dizem que é seguro e não um retransmissor aberto]

Responder1

O fato de alguém poder enviar-lhe mensagens endereçadas ao endereço IP do seu próprio servidor de correio não tem absolutamente nenhuma influência sobre se o servidor de correio é um retransmissor aberto.

Relés abertosaceitar mensagens para todo e qualquer sistema fora de seu domínio administrativo e encaminhá-las posteriormente. Isto claramente não é o que é demonstrado aqui.

Peça à empresa de segurança para compartilhar o que quer que eles tenham fumado, já que claramente é uma coisa muito boa.

Responder2

Como ninguém mais mencionou isso ainda, esse é um dos problemas que o SPF foi projetado para corrigir. Se você publicar um registro SPF correto em seu DNS e solicitar que seu servidor verifique os registros SPF, ele saberá que servidores externos não têm permissão para enviar e-mails com "De: *@seudominio.com". Como bônus, isso não apenas resolverá seu problema imediato, mas também bloqueará spam e ajudará o resto de nós a bloquear spam também!

Para obter mais informações sobre SPF e como corrigir problemas de e-mail/SPAM em geral, leia:

Combatendo Spam - O que posso fazer como: Administrador de Email, Proprietário de Domínio ou Usuário?

Como Michael apontou, este não é um problema de “retransmissão aberta”. Você deve considerar seriamente demitir seus auditores se eles acharem que esse é o caso. Essas coisas não são tão difíceis e estão completamente erradas no que diz respeito à terminologia e à gravidade do problema

Responder3

Eu acho que você precisa usar restrições smtpd.

Trecho da minha configuração:

smtpd_helo_restrictions         =
    permit_mynetworks,
    reject_unauth_pipelining,
    permit_sasl_authenticated,
    reject_invalid_helo_hostname,
    reject_non_fqdn_hostname,
    reject_rbl_client zombie.dnsbl.sorbs.net,
    reject_rbl_client zen.spamhaus.org,
    reject_rbl_client bl.spamcop.net
smtpd_recipient_restrictions    =
    permit_mynetworks,
    reject_unauth_pipelining,
    reject_non_fqdn_recipient,
    permit_sasl_authenticated,
    reject_unauth_destination,
    check_policy_service inet:[127.0.0.1]:2501,
    permit
smtpd_sender_restrictions       =
    permit_mynetworks,
    reject_unauth_pipelining,
    reject_non_fqdn_sender,
    reject_unknown_sender_domain,
    permit_sasl_authenticated,
    permit_tls_clientcerts,
    check_sender_access regexp:$config_directory/tag_as_foreign.re,
    permit
smtpd_data_restrictions =
    reject_unauth_pipelining,
    reject_multi_recipient_bounce,
    permit

Há uma ampla variedade de verificações que você pode fazer dependendo da sua configuração. Existe uma restrição definida para cada fase do fluxo de trabalho SMTP. Confira mais emhttp://www.postfix.org/postconf.5.html.

Você deve definir restrições para todas as fases, ou seja smtpd_helo_restrictions, smtpd_data_restrictions, smtpd_sender_restrictions, smtpd_recipient_restrictionse smtpd_client_restrictions. No Postfix 2.10+ há uma nova smtpd_relay_restrictionsopção que pode ser perfeitamente adequada para você.

Observe que se você deseja que seu próprio e-mail seja retransmitido através do servidor SMTP, você precisa ser identificável de alguma forma - por exemplo, estar em $mynetworks, você usa autenticação.

A configuração da minha também usa listas negras, lista cinza e autenticação.

Basicamente, suas restrições de SMTP devem permitir:

  1. suas redes (localhost, intranet etc.; consulte permit_mynetworks),
  2. usuários autenticados (usuários conectados usando login SMTP, você pode retransmitir mensagens para eles para servidores externos; consulte permit_sasl_authenticated),
  3. e-mails que são entregues a você (= você é o “destino final” deles; veja reject_unauth_destination).
  4. opcionalmente, todos os outros domínios de e-mail para os quais você está retransmitindo e-mails; por exemplo, quando o seu servidor não é o destino final de algum domínio, mas é, por exemplo, um proxy front-end, você deve verificar o destinatário em uma lista de permissões e transportá-lo para o destino do próximo salto.

Todos os outros e-mails enviados por usuários não autorizados de qualquer lugar para servidores externos significam retransmissão aberta.

Responder4

Desative VRFY e EXPN, pois esses parâmetros podem ser usados ​​por spammershttp://cr.yp.to/smtp/vrfy.html

informação relacionada