Como posso evitar que um usuário envie um e-mail como outro usuário no Postfix?

2

Estou executando um servidor de correio no CentOS 7. Todos os programas e o sistema estão atualizados. Meu Agente de Transferência de Mensagens é o Postfix, e usa o Dovecot SASL para autenticar os usuários.

Na configuração do Postfix, minha rede confiável é apenas localhost. Assim, todos os hosts devem ser autenticados no Dovecot SASL para enviar mensagens.

O PROBLEMA

Se um usuário mal-intencionado tem acesso a uma conta, por exemplo. Ele pode enviar mensagens como se ele fosse Ana, Bob e assim por diante. Como posso evitar isso?

O OBJETIVO

Em outras palavras, desejo que a mensagem seja enviada se e somente se o usuário autenticado for o mesmo no cabeçalho do remetente. Existe alguma ferramenta para isso?

    
por cl4rk 09.02.2016 / 05:13

1 resposta

2

Você provavelmente deseja usar o parâmetro reject_sender_login_mismatch na sua configuração de smtpd_sender_restrictions , então você teria algo assim:

smtpd_sender_restrictions =
    permit_mynetworks,
    reject_sender_login_mismatch,
    permit_sasl_authenticated,
    ...

Isso permitirá que mynetworks envie e-mails, mas antes de permitir clientes autenticados pelo SASL, ele verificará se o login do remetente é incompatível.

De acordo com a documentação do Postfix :

reject_sender_login_mismatch: Reject the request when $smtpd_sender_login_maps specifies an owner for the MAIL FROM address, but the client is not (SASL) logged in as that MAIL FROM address owner; or when the client is (SASL) logged in, but the client login name doesn't own the MAIL FROM address according to $smtpd_sender_login_maps.

Isso implica criar um novo mapa para os usuários que podem usar cada endereço de e-mail, incluindo eles próprios . Então, se você tem um endereço chamado [email protected] você precisa adicionar o mapa:

[email protected]      [email protected]

para permitir que [email protected] envie e-mails dessa conta, uma vez autenticado.

Isso também permite a criação de identidades. Assim, uma conta pode ter mais de um remetente permitido:

[email protected]      [email protected]

Isso permitiria que qualquer pessoa identificada como [email protected] envie mensagens com a identidade [email protected] também.

    
por 09.02.2016 / 08:24