Evitando rejeições desnecessárias com o OpenSMTPD no OpenBSD

2

Estou executando o OpenSMTPD no OpenBSD junto com o spamd, o spampd e o spamassassin, o DKIMproxy e o dovecot. Minha configuração é manipular os emails locais no servidor e os emails (externos) do meu domínio. Minha configuração parece estar funcionando (ainda em fase de testes). Fico feliz em poder realizar minha configuração com um arquivo opensmtpd.conf de 17 linhas excluindo comentários e espaços. No entanto, existem algumas coisas com as quais não estou feliz. Espero que alguém possa sugerir como abordar isso:

Enquanto construí a configuração, eu inicialmente não tinha nenhum spampd / spamassessin. Naquela configuração, havia exatamente um comando 'aceitar' pegando o e-mail e entregando para o dovecot. O servidor OpenSMTPD verifica a existência do endereço do destinatário e, se não existente, retorna o erro 550 e não permite o envio do e-mail. Isso é bom.

Depois de incorporar spampd e spamassass no comando 'accept', recebo o e-mail de entrada para spampd (que executa o spamassassin). Após o processamento spampd / spamassasin, a mensagem é captada por outro comando accept do OpenSMTP que é enviado para o dovecot. Embora isso funcione, existem alguns efeitos colaterais indesejados que, se não forem corrigidos, levariam a vulnerabilidades:

1) spampd / spamassassin processará todas as mensagens recebidas para o meu domínio, também aquelas para destinatários nesse domínio que não existem. Spampd / spamassassion não são exatamente tarefas "leves". Juntos, isso aumenta as oportunidades de um ataque do DOS.

2) Todas as mensagens recebidas para o meu domínio são aceitas primeiro. No caso de destinatários desconhecidos, isso só será detectado após o processamento spampd / spamassassin. Depois que o destinatário desconhecido for detectado, um e-mail de status de entrega será enviado pelo remetente do remetente informando que o destinatário é desconhecido. Isso permite que um invasor use meu servidor para enviar e-mails semelhantes a spam para qualquer destinatário válido enviando um e-mail para meu servidor com como remetente qualquer endereço de e-mail válido e como destinatário qualquer destinatário inválido no meu domínio.

Perguntas:

  • Existe alguma maneira de configurar o OpenSMTPD de tal forma que ele rejeite os destinatários desconhecidos imediatamente (ou seja, como parte do envio inicial ao OpenSMTPD), mesmo quando o spampd / spamassassin for incorporado?
  • Existe alguma maneira de fazer o servidor NÃO enviar mensagens rejeitadas para destinatários inexistentes

Atenciosamente,

    
por pvswie01 15.07.2017 / 00:49

0 respostas