Meu postfix está me deixando enviar e-mails através dele sem uma senha de nome de usuário - como desabilitar?

1

Meu postfix está me permitindo enviar e-mails sem autenticação. Ele foi configurado para permitir a autenticação, mas também permite o envio não autenticado que gostaria de interromper.

Quais configurações de configuração são relevantes nesta situação?

Aqui está uma saída de postconf -n para ajudar a depurar:

alias_database = hash:/etc/aliases
alias_maps = hash:/etc/aliases
command_directory = /usr/sbin
config_directory = /etc/postfix
daemon_directory = /usr/libexec/postfix
data_directory = /var/lib/postfix
debug_peer_level = 2
html_directory = no
inet_interfaces = all
inet_protocols = all
mail_owner = postfix
mailq_path = /usr/bin/mailq.postfix
manpage_directory = /usr/share/man
mydestination = $myhostname, localhost.$mydomain, localhost, $mydomain,
mydomain = hiddenforprivacy.org
myhostname = mail.hiddenforprivacy.org
myorigin = $myhostname
newaliases_path = /usr/bin/newaliases.postfix
queue_directory = /var/spool/postfix
readme_directory = /usr/share/doc/postfix-2.6.6/README_FILES
sample_directory = /usr/share/doc/postfix-2.6.6/samples
sendmail_path = /usr/sbin/sendmail.postfix
setgid_group = postdrop
smtpd_client_restrictions = permit_mynetworks, permit_sasl_authenticated
smtpd_recipient_restrictions = permit_sasl_authenticated, reject_unauth_destination
smtpd_sasl_auth_enable = yes
smtpd_sasl_path = private/auth
smtpd_sasl_type = dovecot
soft_bounce = no
unknown_local_recipient_reject_code = 550
virtual_alias_domains = 
virtual_alias_maps = hash:/etc/postfix/virtual
    
por willdanceforfun 21.09.2013 / 19:49

1 resposta

2

Você deve remover a diretiva permit_mynetworks de smtpd_client_restrictions. Então, se você estiver usando a versão 2.10 ou posterior, adicione:

 smtpd_relay_restrictions = permit_sasl_authenticated, reject_unauth_destination

Se você ainda não chegou lá, lembre-se disso e, quando atualizar, adicione essa diretiva.

O que isso fará é desabilitar qualquer acesso não autenticado ao seu servidor de e-mail, inclusive de suas próprias redes em $ mynetworks. A única exceção é que os hosts remotos ainda poderão enviar e-mails destinados a um dos seus endereços (para que você ainda possa receber e-mails, pois MTAs remotos que enviam mensagens para você não são autenticados); essa é a diferença entre reject_unauth_destination e reject . Ele também atualizará o controle de acesso do relé para a especificação 2.10.

Se você não quiser nem mesmo aceitar e-mails (por exemplo, de outros servidores de e-mail) para hosts em seu domínio sem autenticação, substitua reject_unauth_destination por reject . Se você fizer isso, você não receberá nenhum email de entrada através deste servidor.

    
por 21.09.2013 / 21:01