Eu gostaria de configurar o Postfix (no Ubuntu 14.04) para usar a porta de envio, mas estou preocupado que possa se tornar um retransmissor aberto. Gostaria de saber quais são as melhores restrições para cada uma das listas de restrições (que por padrão possuem as variáveis $mua_, o que significa basicamente nenhuma restrição?)
Aqui está a configuração padrão do master.cf no Ubuntu:
submission inet n - - - - smtpd
-o syslog_name=postfix/submission
-o smtpd_tls_security_level=encrypt
-o smtpd_sasl_auth_enable=yes
-o smtpd_reject_unlisted_recipient=no
-o smtpd_client_restrictions=$mua_client_restrictions
-o smtpd_helo_restrictions=$mua_helo_restrictions
-o smtpd_sender_restrictions=$mua_sender_restrictions
-o smtpd_recipient_restrictions=
-o smtpd_relay_restrictions=permit_sasl_authenticated,reject
-o milter_macro_daemon_name=ORIGINATING
E aqui está o que postconf -Mx(expandirá as variáveis $mua_) diz:
submission inet n - - - - smtpd
-o syslog_name=postfix/submission
-o smtpd_tls_security_level=encrypt
-o smtpd_sasl_auth_enable=yes
-o smtpd_reject_unlisted_recipient=no
-o smtpd_client_restrictions=
-o smtpd_helo_restrictions=
-o smtpd_sender_restrictions=
-o smtpd_recipient_restrictions=
-o smtpd_relay_restrictions=permit_sasl_authenticated,reject
-o milter_macro_daemon_name=ORIGINATING
Então, aqui estou supondo que, desde que o usuário seja um usuário autenticado por SASL, ele poderá enviar e-mails usando qualquer conta e para qualquer destino, sem restrições de helicóptero ou cliente (suponho que isso seja porque MUAs -como o Outlook- e não os servidores estarão conectados a esta porta, então você não quer ser muito exigente)
Algumas restrições que acho que seriam boas, apesar desse fato, seriam:
reject_non_fqdn_senderereject_unlisted_senderparasmtpd_sender_restrictionsreject_non_fqdn_recipientparasmtpd_recipient_restrictions
Quais são outras restrições desejáveis nestas listas de restrições?
Responder1
Nunca se tornará um relé aberto se você estiverexigindo autenticação.
Se você está preocupado com o fato de seus usuários não usarem senhas boas, você pode restringir as redes a intervalos de IP específicos, seja com postfix, iptables ou firewalls externos.
Outra boa ideia seria adicionar o fail2ban como um mecanismo de proteção contra força bruta.
Como acontece com qualquer sistema de e-mail, você deve sempre monitorar abusos, certificar-se de ter uma caixa de correio postmaster válida e também abusos. Também é uma boa prática monitorizar os RBL e estabelecer ciclos de feedback.