Postfix — как включить аутентификацию SMTP при локальной доставке

Postfix — как включить аутентификацию SMTP при локальной доставке

У меня есть почтовый сервер, на котором работает Postfix. Все работает отлично, однако недавно некоторые внутренние почтовые ящики получили письма с их собственных адресов с фишинговым контентом. Узнав об этом, я узнал, что Postfix может отправлять внутренние письма, используя порт telnet 25, отправка их внутри моего домена не требует аутентификации. У меня возникла идея включить аутентификацию с почтой локального домена, я искал, но не получил ответа. Я ценю помощь Извините, мой английский не очень хорош, поэтому мне приходится использовать Google Translate

решение1

Это оповещение о том, что кто-то с локального хоста может отправлять фишинговые письма: это означает, что кто-то уже находится внутри системы или есть, например, веб-приложение, которое позволяет эти соединения. Вы не должны принимать это, но тщательно исследуйте, откуда это приходит, и пресекайте это.

Тем не менее, отвечая на ваш вопрос, нет ничего особенного в локальной доставке относительно SMTP на порту 25. Удаление этого разрешения может быть сделано (в main.cf) просто либо

  • удаление permit_mynetworksиз smtpd_recipient_restrictionsили
  • удаление 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128из mynetworks.

Однако при этом ваши локальные пользователи должны использоватьподчинениепорт(ы) для доставки почты. Аутентифицированные пользователи могут по умолчанию использовать любой адрес в качестве отправителя конверта. Чтобы ограничить это, службы submissionи/или должны иметь:smtpsmaster.cf

  -o smtpd_sender_login_maps=hash:/etc/postfix/virtual
  -o smtpd_sender_restrictions=reject_sender_login_mismatch

Здесь то hash:/etc/postfix/virtualже самое, что используется для virtual_alias_maps, поскольку он уже имеет требуемый [email protected] usernameформат с правильными адресами для сопоставлений пользователей.

решение2

Один из способов сделать это — открыть main.cf, найти все экземпляры permit_mynetworks и закомментировать их, а затем выполнить postfix reload.

Связанный контент