Qual é a melhor maneira de endurecer um cliente nulo de postfix em um servidor php explorado?

Question

Qual é a melhor maneira de endurecer um cliente nulo de postfix em um servidor php explorado?

#1 resposta do (1 votos)

1

Usamos o postfix como um cliente nulo para enviar e-mails de um servidor php via sendmail. Hospedamos nossos servidores de correio de entrada em outro lugar e usamos um registro SPF para autorizar o servidor a enviar e-mails de nosso domínio. Isso tudo funciona.

Agora eu gostaria de endurecer o postfix, especificamente contra scripts PHP explorados que estão enviando spam de e-mail. Mas o problema é que desejo permitir o envio de e-mails para qualquer endereço válido, pois tenho formulários da web do cliente que precisam receber e-mails de confirmação. Eu percebo que isso é uma limitação de danos e há muito o que é possível.

O que as pessoas sugerem para detectar / impedir isso? ou devo concentrar meus esforços em outro lugar?

As coisas em que pensei, mas ainda não tentei, são:

Para impedir que qualquer email seja enviado como FROM: domínios dos quais não estou autorizado a enviar. Eu encontrei como configurar isso usando smtpd_recipient_restrictions = check_sender_access Isso funcionará com localhost sendmail? Vale a pena se o atacante sabe que os e-mails só são enviados com o endereço DE correto?
Para detectar que uma enxurrada de e-mails está sendo enviada pelo localhost e desligá-lo e alertar-me por e-mail. Não faço ideia de como fazer isso ou se é possível.

postfix sendmail spf flooding

por Phil 28.06.2015 / 03:31

1 resposta

Tags postfix sendmail spf flooding

Login sem senha: cartão inteligente virtual sem pin? [fechadas] 502 erros em páginas aleatórias (nem todas)

score 1 · Answer 1

Sugiro que você mova o servidor de e-mail para uma máquina diferente e evite que o servidor da Web real se comunique na porta 25 com algo diferente do servidor de e-mail. Isso significa que até mesmo um spambot personalizado (que não depende de nenhuma função de email e usa soquetes simples) não funcionará.

No seu servidor de e-mail, crie contas de usuário (virtuais) para cada um de seus clientes de hospedagem para que você possa identificá-las de forma exclusiva, aplicar limites de taxa e bloqueá-las se bloquearem sem bloquear outros usuários no mesmo servidor.

Por fim, instale PolicyD e aplique os limites de taxa por cliente e a verificação de spam do email de saída, para retardar o possível spammer e alertá-lo se o email de saída parecer com spam.

Nada é perfeito, claro, mas essa configuração o alertará, no mínimo, se o email de saída se parece com spam e manterá o spam relativamente lento devido aos limites de taxa até que você investigue e (espere) use toda a conta de hospedagem.