Como posso bloquear emails externos FROM [email protected]?

6

Uma empresa de segurança tem testado meu servidor de e-mail e afirma que meu daemon Postfix é uma retransmissão aberta. A evidência é a seguinte (IP público válido para mail.mydomain.com foi alterado para 10.1.1.1 para segurança):

Relay User: postmaster Relay Domain: 10.1.1.1
Transaction Log: EHLO elk_scan_137 250-mail.mydomain.com 250-PIPELINING
250-SIZE 20480000
250-VRFY
250-ETRN
250-STARTTLS
250-AUTH PLAIN LOGIN 250-AUTH=PLAIN LOGIN 250-ENHANCEDSTATUSCODES 250-8BITMIME
250 DSN
MAIL FROM: postmaster@[10.1.1.1]
250 2.1.0 Ok
RCPT TO: postmaster@[10.1.1.1]
250 2.1.5 Ok

Já bloqueei o email para o root, mas claramente não devo bloquear o postmaster. Eu sinto que a capacidade de enviar e-mail de um servidor para si não faz um retransmissor aberto. Mas como posso bloquear com segurança um remetente [email protected] falso?

[N.B. Eu escaneei-me usando mxtoolbox.com e eles dizem que é seguro e não um retransmissor aberto]

    
por sventechie 13.09.2013 / 16:20

4 respostas

23

O fato de alguém poder enviar um e-mail endereçado para o endereço IP do seu servidor de e-mail não tem absolutamente nenhum efeito sobre se o servidor de e-mail é um retransmissor aberto.

Abrir retransmissões aceitam e-mails para todo e qualquer sistema fora de seu domínio administrativo e os encaminham para a frente. Isso claramente não é o que é demonstrado aqui.

Peça à firma de segurança para compartilhar o que é que eles estiveram fumando, já que claramente é algo realmente bom.

    
por 13.09.2013 / 17:21
6

Como ninguém mais mencionou ainda, este é um dos problemas que o SPF foi projetado para corrigir. Se você publicar um registro SPF correto em seu DNS e fizer com que seu servidor verifique os registros SPF, ele saberá que os servidores externos não têm permissão para enviar emails com "From: *@seudominio.com.br". Como bônus, isso não apenas corrige seu problema imediato, mas também bloqueia spam e ajuda o resto de nós a bloquear spam também!

Para obter mais informações sobre o SPF e corrigir problemas de E-Mail / SPAM em geral, leia:

Luta Spam - O que posso fazer como administrador de e-mail, proprietário de domínio ou usuário?

Como Michael apontou, isso não é um problema de "retransmissão aberta". Você deve considerar seriamente demitir seus auditores se eles acham que este é o caso. Esse material não é tão difícil, e eles estão completamente errados em relação à terminologia e gravidade do problema

    
por 16.09.2013 / 17:10
3

Eu acho que você precisa usar restrições smtpd.

Snippet da minha configuração:

smtpd_helo_restrictions         =
    permit_mynetworks,
    reject_unauth_pipelining,
    permit_sasl_authenticated,
    reject_invalid_helo_hostname,
    reject_non_fqdn_hostname,
    reject_rbl_client zombie.dnsbl.sorbs.net,
    reject_rbl_client zen.spamhaus.org,
    reject_rbl_client bl.spamcop.net
smtpd_recipient_restrictions    =
    permit_mynetworks,
    reject_unauth_pipelining,
    reject_non_fqdn_recipient,
    permit_sasl_authenticated,
    reject_unauth_destination,
    check_policy_service inet:[127.0.0.1]:2501,
    permit
smtpd_sender_restrictions       =
    permit_mynetworks,
    reject_unauth_pipelining,
    reject_non_fqdn_sender,
    reject_unknown_sender_domain,
    permit_sasl_authenticated,
    permit_tls_clientcerts,
    check_sender_access regexp:$config_directory/tag_as_foreign.re,
    permit
smtpd_data_restrictions =
    reject_unauth_pipelining,
    reject_multi_recipient_bounce,
    permit

Existe uma grande variedade de verificações que você pode fazer dependendo da sua configuração. Existe um conjunto de restrições para cada fase do fluxo de trabalho SMTP. Verifique mais em link .

Você deve definir restrições para todas as fases, que são smtpd_helo_restrictions , smtpd_data_restrictions , smtpd_sender_restrictions , smtpd_recipient_restrictions e smtpd_client_restrictions . No Postfix 2.10+ existe uma nova opção smtpd_relay_restrictions que pode ser perfeitamente adequada para você.

Observe que, se você quiser que seu próprio e-mail seja retransmitido por meio de seu servidor SMTP, será necessário identificá-lo de alguma forma. estar em $mynetworks , você usa autenticação.

A configuração da mina também usa listas de blackhost, greylisting e autenticação.

Basicamente, suas restrições de SMTP devem permitir:

  1. suas redes (localhost, intranet etc .; consulte permit_mynetworks ),
  2. usuários autenticados (usuários conectados usando login SMTP, você pode retransmitir mensagens para eles para servidores externos; consulte permit_sasl_authenticated ),
  3. e-mails entregues a você (= você é o "destino final" para eles; consulte reject_unauth_destination ).
  4. opcionalmente todos os outros domínios de e-mail para os quais você está enviando e-mails; por exemplo. quando o seu servidor não é o destino final de algum domínio, mas é, por exemplo, proxy de front-end, você deve verificar o destinatário em uma lista de desbloqueio e transportá-lo para o próximo destino.

Todos os outros e-mails, enviados por usuários não autorizados de qualquer lugar para servidores externos, significam relé aberto.

    
por 18.09.2013 / 21:24
1

Desative o VRFY e o EXPN, porque esses parâmetros podem ser usados por link

    
por 20.09.2013 / 00:13