![Как заблокировать внешнюю почту ОТ [email protected]?](https://rvso.com/image/617898/%D0%9A%D0%B0%D0%BA%20%D0%B7%D0%B0%D0%B1%D0%BB%D0%BE%D0%BA%D0%B8%D1%80%D0%BE%D0%B2%D0%B0%D1%82%D1%8C%20%D0%B2%D0%BD%D0%B5%D1%88%D0%BD%D1%8E%D1%8E%20%D0%BF%D0%BE%D1%87%D1%82%D1%83%20%D0%9E%D0%A2%20%5Bemail%20protected%5D%3F.png)
Фирма по безопасности тестировала мой почтовый сервер и утверждает, что мой демон Postfix — это открытый ретранслятор. Доказательства следующие (допустимый публичный IP для mail.mydomain.com был изменен на 10.1.1.1 в целях безопасности):
Relay User: postmaster Relay Domain: 10.1.1.1
Transaction Log: EHLO elk_scan_137 250-mail.mydomain.com 250-PIPELINING
250-SIZE 20480000
250-VRFY
250-ETRN
250-STARTTLS
250-AUTH PLAIN LOGIN 250-AUTH=PLAIN LOGIN 250-ENHANCEDSTATUSCODES 250-8BITMIME
250 DSN
MAIL FROM: postmaster@[10.1.1.1]
250 2.1.0 Ok
RCPT TO: postmaster@[10.1.1.1]
250 2.1.5 Ok
Я уже заблокировал почту для root, но, очевидно, мне не следует блокировать postmaster. Я чувствую, что возможность отправлять почту с сервера на себя не делает ретранслятор открытым.Но как я могу безопасно заблокировать поддельный[email protected]отправитель?
[Примечание: я сканировал себя с помощью mxtoolbox.com, и они говорят, что это безопасно и не является открытым реле]
решение1
Тот факт, что кто-то может отправлять вам почту, адресованную на IP-адрес вашего почтового сервера, абсолютно не имеет отношения к тому, является ли почтовый сервер открытым ретранслятором.
Открытые релепринимать почту для всех и любых систем за пределами их административного домена и пересылать их дальше. Это явно не то, что здесь демонстрируется.
Попросите охранную фирму поделиться информацией о том, что они курят, поскольку это явно что-то действительно хорошее.
решение2
Поскольку никто еще не упомянул об этом, это одна из проблем, для решения которой был разработан SPF. Если вы опубликуете правильную запись SPF в своем DNS и заставите свой сервер проверять записи SPF, он будет знать, что внешним серверам не разрешено отправлять электронную почту с "From: *@yourdomain.com". В качестве бонуса, это не только решит вашу непосредственную проблему, но и заблокирует спам, и поможет остальным из нас также блокировать спам!
Для получения дополнительной информации о SPF и решении проблем с электронной почтой/спамом в целом прочитайте:
Как указал Майкл, это не проблема "открытого реле". Вам следует серьезно подумать об увольнении ваших аудиторов, если они думают, что это так. Это не так уж и сложно, и они совершенно не правы в отношении терминологии и серьезности проблемы
решение3
Я думаю, вам нужно использовать ограничения smtpd.
Фрагмент моей конфигурации:
smtpd_helo_restrictions =
permit_mynetworks,
reject_unauth_pipelining,
permit_sasl_authenticated,
reject_invalid_helo_hostname,
reject_non_fqdn_hostname,
reject_rbl_client zombie.dnsbl.sorbs.net,
reject_rbl_client zen.spamhaus.org,
reject_rbl_client bl.spamcop.net
smtpd_recipient_restrictions =
permit_mynetworks,
reject_unauth_pipelining,
reject_non_fqdn_recipient,
permit_sasl_authenticated,
reject_unauth_destination,
check_policy_service inet:[127.0.0.1]:2501,
permit
smtpd_sender_restrictions =
permit_mynetworks,
reject_unauth_pipelining,
reject_non_fqdn_sender,
reject_unknown_sender_domain,
permit_sasl_authenticated,
permit_tls_clientcerts,
check_sender_access regexp:$config_directory/tag_as_foreign.re,
permit
smtpd_data_restrictions =
reject_unauth_pipelining,
reject_multi_recipient_bounce,
permit
Существует широкий спектр проверок, которые вы можете выполнить в зависимости от вашей конфигурации. Для каждой фазы рабочего процесса SMTP установлено ограничение. Проверьте больше наhttp://www.postfix.org/postconf.5.html.
Вам следует определить ограничения для всех фаз, то есть smtpd_helo_restrictions, smtpd_data_restrictions, smtpd_sender_restrictions, smtpd_recipient_restrictionsи smtpd_client_restrictions. В Postfix 2.10+ есть новая smtpd_relay_restrictionsопция, которая может вам идеально подойти.
Обратите внимание: если вы хотите, чтобы ваша почта ретранслировалась через ваш SMTP-сервер, вам необходимо каким-то образом быть идентифицированным — например, если вы находитесь в $mynetworks, вы используете аутентификацию.
В моей конфигурации также используются черные списки хостов, серые списки и аутентификация.
По сути, ваши ограничения SMTP должны позволять:
- ваши сети (локальные, интрасети и т. д.; см
permit_mynetworks. ), - аутентифицированные пользователи (пользователи, вошедшие в систему с помощью SMTP-логина, вы можете ретранслировать для них почту на внешние серверы; см.
permit_sasl_authenticated), - электронные письма, которые доставляются вам (= для них вы являетесь «конечным пунктом назначения»; см
reject_unauth_destination. ). - при желании все другие домены электронной почты, на которые вы ретранслируете электронные письма; например, когда ваш сервер не является конечным пунктом назначения для какого-либо домена, а является, например, прокси-сервером переднего плана, вам следует проверить получателя по белому списку и перенаправить его в пункт назначения следующего перехода.
Все остальные электронные письма, отправляемые неавторизованным пользователем откуда угодно на внешние серверы, являются открытым ретранслятором.
решение4
Отключите VRFY и EXPN, так как эти параметры могут использоваться спамерами.http://cr.yp.to/smtp/vrfy.html