Sendmail 8.14.4 no problema do CentOS 6.8 tcpwrappers

0

Estou executando um servidor sendmail no CentOS 6.8. Para conexões MTA na porta 25, quero usar tcpwrappers para rejeitar o host sem registro DNS PTR.

então meu hosts.allow se parece com: sendmail: TODOS EXCETO DESCONHECIDO

Meu problema é que a porta de envio de mensagens no 587 parece compartilhar essa configuração. O resultado é que os usuários em roaming (principalmente no US Cellular) que não têm um registro PTR para o endereço IP atual são rejeitados antes de poderem se autenticar.

Eu posso consertar isso configurando sendmail: ALL nos hosts permitir, mas isso triplica o número de conexões de lixo de spammers na porta 25.

Alguém sabe uma maneira de fazer o sendmail chamar libwrap para conexões de porta 25 mas não para conexões de porta 587 que serão autenticadas?

Obrigado!

    
por Chris Patch 27.01.2017 / 01:06

1 resposta

0

tcp_wrappers (última versão estável: 1997) data de uma fase difícil da Internet, quando o sistema operacional e os aplicativos geralmente não tinham proteções adequadas; desde então, o SO agora é fornecido com firewalls por padrão e os aplicativos têm todos os tipos de lógica de negócios disponíveis (recursos e milters no caso do sendmail) para manter os spammers em um ronco sem graça. tcp_wrappers é problemático aqui, já que é uma biblioteca única, então precisaria de duas versões distintas do sendmail e provavelmente algum patch do sendmail para usar a biblioteca via sendmail e a outra sendmailmsp .

Nesse caso, o sendmail possui recursos adequados que rejeitam conexões sem rdns, mas permitem retransmissão para conexões autenticadas através do seguinte sendmail.mc define (consulte cf/README sob a origem para obter detalhes sobre isso e como reconstruir sendmail.cf ) :

FEATURE('delay_checks')dnl
FEATURE('require_rdns')dnl

(Na falta de tal, a próxima opção seria executar a lógica de negócios necessária por meio de um milter.) Observe que a próxima movimentação esperada dos spammers seria dividir uma conta autenticada e um spam por meio disso. o estrangulamento, e assim por diante, pode precisar estar no local para limitar e detectar tais problemas.

    
por 27.01.2017 / 16:40