Я хотел бы настроить Postfix (на Ubuntu 14.04) для использования порта отправки, но я беспокоюсь, что он может стать открытым релеем. Я хотел бы знать, какие ограничения лучше всего подходят для каждого из списков ограничений (которые по умолчанию имеют переменные $mua_, то есть, по сути, никаких ограничений вообще?)
Вот конфигурация master.cf по умолчанию в Ubuntu:
submission inet n - - - - smtpd
-o syslog_name=postfix/submission
-o smtpd_tls_security_level=encrypt
-o smtpd_sasl_auth_enable=yes
-o smtpd_reject_unlisted_recipient=no
-o smtpd_client_restrictions=$mua_client_restrictions
-o smtpd_helo_restrictions=$mua_helo_restrictions
-o smtpd_sender_restrictions=$mua_sender_restrictions
-o smtpd_recipient_restrictions=
-o smtpd_relay_restrictions=permit_sasl_authenticated,reject
-o milter_macro_daemon_name=ORIGINATING
И вот что postconf -Mx(раскроем переменные $mua_) говорит:
submission inet n - - - - smtpd
-o syslog_name=postfix/submission
-o smtpd_tls_security_level=encrypt
-o smtpd_sasl_auth_enable=yes
-o smtpd_reject_unlisted_recipient=no
-o smtpd_client_restrictions=
-o smtpd_helo_restrictions=
-o smtpd_sender_restrictions=
-o smtpd_recipient_restrictions=
-o smtpd_relay_restrictions=permit_sasl_authenticated,reject
-o milter_macro_daemon_name=ORIGINATING
Итак, я предполагаю, что пока пользователь является пользователем, прошедшим аутентификацию SASL, он или она сможет отправлять электронные письма, используя любую учетную запись и в любое место назначения, без ограничений Helo или клиента (я предполагаю, что это связано с тем, что к этому порту будут подключаться MUA, такие как Outlook, а не серверы, поэтому вам не стоит быть слишком придирчивым).
Несмотря на этот факт, я думаю, было бы неплохо ввести следующие ограничения:
reject_non_fqdn_senderиreject_unlisted_senderдляsmtpd_sender_restrictionsreject_non_fqdn_recipientдляsmtpd_recipient_restrictions
Какие еще ограничения желательны в этих списках ограничений?
решение1
Он никогда не станет открытым реле, если вытребующий аутентификации.
Если вы беспокоитесь, что ваши пользователи не используют надежные пароли, вы можете ограничить сети определенными диапазонами IP-адресов с помощью postfix, iptables или внешних брандмауэров.
Еще одной хорошей идеей было бы добавить fail2ban в качестве механизма защиты от атак методом подбора.
Как и в случае с любой системой электронной почты, вы всегда должны отслеживать злоупотребления, убедитесь, что у вас есть действительный почтовый ящик почтмейстера, а также злоупотребления. Также хорошей практикой является мониторинг RBL и настройка циклов обратной связи.