Transferência de solicitação de autenticação SMTP para outro SMTP

Navegue suas respostas
3

Estou com um problema acima do meu nível de competência. Como estamos trabalhando para melhorar as medidas de segurança que estão em vigor em nossa rede, encontramos (entre outros) uma falha que não temos ideia de como corrigir.

Nós temos nosso próprio servidor SMTP localmente baseado em um MDaemon e contratamos um serviço de hospedagem profissional que nos conecta à WAN e eles também têm seu próprio redirecionamento SMTP, publicamente acessível. Então, quando o e-mail passa, ele vem do SMTP deles para o nosso, para os nossos dispositivos. Mas descobrimos que a porta tcp 587 não pedia a autenticação, o que significa que poderíamos falsificar qualquer endereço cujo nome de domínio eles manipulassem, enviando qualquer e-mail de, por exemplo, [email protected] para [email protected], facilitando para um invasor em potencial fazer golpes de phishing. Mas nosso provedor de serviços não pode simplesmente fechar essa porta porque temos usuários nômades enviando e-mails por meio de seus celulares. Aqui estão as opções que pensei, não tendo certeza de como são possíveis:

  • Sincronize seu banco de dados de usuários SMTP com o nosso (ou faça deles apenas o deles) para que eles tenham o login / senhas para impor e verificar a autenticação quando alguém é apenas netcat no MSA na porta 587,
  • Não use o MSA e coloque o nosso público diretamente, tendo o mesmo efeito prático de reduzi-lo a apenas um MSA publicamente acessível que tenha o banco de dados do usuário para verificar a autenticação,
  • Encontre alguma forma de retransmitir a solicitação de autenticação do seu MSA para o nosso, fazendo a verificação e retornando um token "aceitar" ou "recusar" ao MSA. Provavelmente seria a opção ideal, mas não tenho ideia de como poderíamos fazer isso. Sei que a solicitação de autenticação de retransmissão é usada para situações LDAP / LDAP encadeadas ou do Active Directory / LDAP, mas não tenho ideia de como ela pode ser usada na prática ou se ela funciona com SMTP-AUTH,
  • Encontre algum software antifalsificação para colocar em nossos servidores (mas como verificaria? O email sempre será proveniente de um MSA confiável com um endereço potencialmente existente)

Se tiver alguma opinião sobre o nosso problema, agradecemos antecipadamente.

    
por Tom 28.06.2016 / 19:28

1 resposta

0

Em primeiro lugar, suponho que a porta 587 do seu provedor está protegida de alguma outra forma que não seja login / senha? Uma delas é por IP de origem, de modo que seja acessível somente por clientes conectados a esse ISP, mas isso restringiria a conexão dos usuários de celular através desse ISP. Outra maneira é o POP-before-SMTP, mas isso só funciona se o ISP também manipular o armazenamento de email e, assim, puder autenticar os usuários de qualquer maneira. Eu não recomendo nenhuma dessas duas maneiras, mas a única outra solução que vejo é uma retransmissão aberta, que é definitivamente algo que você quer evitar, e cuja existência refletiria mal sobre a competência do seu ISP. / p>

Dependendo do MSA do seu provedor e dos seus próprios serviços de autenticação, pode ser possível a autenticação do proxy. Eu não recomendaria isso, pois parece ser difícil de configurar e manter sem vantagem que eu possa ver.

Eu recomendaria sua solução segundo : você já tem seu armazenamento de e-mail exposto à Internet via IMAP (suponho!), você já tem seu servidor de e-mail, você já tem o MSA configurado expor o MSA à Internet não é uma tremenda mudança na exposição. Desta forma, tudo é muito padrão, muito simples de explicar, você depende menos do seu ISP, você não transmite informações confidenciais de login / senha desnecessariamente ao seu ISP. Há questões de segurança, é claro, como ataques de dicionário, mas, se estiver correto, são problemas que você já se expõe ao permitir que os usuários de celular verifiquem seus e-mails.

Coisas que poderiam me fazer mudar minha opinião seriam

  • número de usuários (suponho que não estamos falando de 10000 +)
  • largura de banda ridiculamente baixa ou cara para o seu site (mas você já executa seu servidor de e-mail)
  • se os usuários de celular só enviarem e-mails, nunca verificarem os e-mails da Internet
por 28.06.2016 / 20:01

Tags

Como visualizar os registros do Parse Server no Parse Dashboard? Por que meus logs do apache de repente possuem novas linhas aleatórias neles?