Skocz do zawartości


 

Zdjęcie

Zasada działania SMTP oraz restrykcje dla postfixa

Zasada działania SMTP oraz restrykcje dla postfixa

  • Proszę się zalogować aby odpowiedzieć
5 odpowiedzi na ten temat

Zasada działania SMTP oraz restrykcje dla postfixa

#1 Fizyda

Fizyda

    Stały użytkownik

  • WHT Pro
  • PipPipPipPipPip
  • 495 postów

Napisany 08 lipiec 2016 - 19:18

Dziś próbowałem zabezpieczyć postfixa nakładając odpowiednie restrykcje, ale chyba przeceniłem swoje umiejętności bo coś nie działało to tak jak chciałem. Nie wiem czy ja czegoś nie rozumiem i działa wszystko jak powinno, czy może coś popsułem.

 

Dlatego też postanowiłem zastanowić się jak działa SMTP, no i doszedłem do wniosku który świetnie jest zobrazowany przez następujący obrazek:

 

04300ae9aafc3996be36a6e7e45cd8dc_fb.jpg

 

Dlaczego za pomocą swojego serwera (po autoryzacji sasl) mogę wysłać maile jako dowolna osoba z dowolnej domeny :D

i dlaczego takie maile dochodzą do mnie.

 

W Thunderbirdzie tworzę konto o nazwie andrzej@kaboom.pl i gdy tworzę wiadomość podając jako nadawce marysia@google.com, oraz odbiorce tomek@kaboom.pl to tomek dostaje maila z google ;d

 

kaboom.pl - domena obsługiwana przez serwer

andrzej i tomek - nazwy istniejących kont w domenie na serwerze

 

Wydaje mi się że nie powinno dochodzić do takich sytuacji, że mój serwer rozsyła maile z innych domen dla nieistniejących kont pocztowych, a tym bardziej, że takie maile docierają do niego. Chyba musi być jakaś weryfikacja bo inaczej nie wiedziałbym czy mail z mojego banku wysłał faktycznie bank czy może mój sąsiad.

 

Restrykcje jakie posiadam w tej chwili na serwerze:

# HELO restrictions:
smtpd_delay_reject = yes
smtpd_helo_required = yes
smtpd_helo_restrictions =
    permit_mynetworks,
    reject_non_fqdn_helo_hostname,
    reject_invalid_helo_hostname,
    permit

# Sender restrictions:
smtpd_sender_restrictions =
    reject_non_fqdn_sender,
    reject_unknown_sender_domain,
    permit

# Recipient restrictions:
smtpd_recipient_restrictions =
   reject_unauth_pipelining,
   reject_non_fqdn_recipient,
   reject_unknown_recipient_domain,
   permit_mynetworks,
   reject_unauth_destination,
   #check_sender_access
   #      hash:/etc/postfix/sender_access,
   reject_rbl_client zen.spamhaus.org,
   reject_rbl_client bl.spamcop.net,
   permit

-----------------------------

 

W tym momencie chyba widzę co zrąbałem, ale zostawiam temat bo jak znam życie i tak się dowiem czegoś mądrego i tak.

 

Jak mam strzelać to chodzi o za komentowane reguły w recipient które za komentowałem bo nie mogłem wysyłać maili ponieważ nie miałem pliku /etc/postfix/sender_access

 

Tak jak mówiłem zostawiam, może ktoś coś podpowie, nakieruje.


  • 0

#2 Vasthi

Vasthi

    Weteran WHT

  • WHT Pro
  • PipPipPipPipPipPipPipPip
  • 649 postów

Napisany 08 lipiec 2016 - 20:17

Da się zrobić ograniczenie że możesz wysyłać tylko z polem nadawcy zgodnym z nazwą konta. Teraz jestem na telefonie ale potem mogę Ci podesłać linijkę.
  • 1

#3 Fizyda

Fizyda

    Stały użytkownik

  • WHT Pro
  • PipPipPipPipPip
  • 495 postów

Napisany 08 lipiec 2016 - 20:46

Będę wdzięczny.


  • 0

#4 Vasthi

Vasthi

    Weteran WHT

  • WHT Pro
  • PipPipPipPipPipPipPipPip
  • 649 postów

Napisany 09 lipiec 2016 - 16:56

 

 

reject_sender_login_mismatch

Będzie skutkować:

 

 

553 5.7.1 Sender address rejected: not owned by user

 


  • 1

#5 Syndrom

Syndrom

    Stały użytkownik

  • WHT Pro
  • PipPipPipPipPip
  • 330 postów

Napisany 09 lipiec 2016 - 18:39

Jeśli użytkownicy są inni niż adresy email to użyj mapy:

 

smtpd_sender_login_maps = hash:/etc/postfix/sender_login_maps


  • 1

#6 Fizyda

Fizyda

    Stały użytkownik

  • WHT Pro
  • PipPipPipPipPip
  • 495 postów

Napisany 09 lipiec 2016 - 21:26

Dzięki za pomoc tam myślałem że nic innego nie da się wymyślić. Dokładną konfigurację chyba trzeba będzie ogarnąć metodą prób i błędów już na normalnym serwerze.


  • 0





0 użytkowników czyta ten temat

0 użytkowników, 0 gości, 0 anonimowych użytkowników