OT: Bezpecnostne techniky - Postfix

Lubomir Majersky lumax at in.acompp.sk
Thu Feb 14 16:40:55 CET 2013


Pozdravujem Vas,

	ospravedlnujem sa za dost obsirny OT, ale tato konfera ma mnohych 
skusenych harcovnikov, a to nielen v oblasti FreeBSD. A priznam sa, ze 
toto by som nezvladol napisat v inom jazyku, aby to bolo spravne pochopene.

	Niekedy nastanu situacie, ked je nazvys trochu casu a mozem sa viac 
venovat testovaniam, vylepseniam...  Pre testovanie smtp relacie hodne 
vyuzivam telnet. Zamyslal som sa nad lepsimi zabezpecovacimi technikami 
lokalnych (virtualnych) uzivatelov mailoveho systemu postfix. Este 
predtym, nez sa dostanem k jadru, nejde mi o bezpecnostne techniky 
nadstavieb (amavid-new, spamassassin, clamav...).

1) Mailovy server cislo 1 s jednou ci nanajvys dvoma (troma) domenami

	domena1.sk, domena2.sk, domena3.sk

	je urceny pre prijem a aj odosielanie elektronickej posty. LEN 
LEGITIMNI a AUTENTIFIKOVANI uzivatelia ho mozu vyuzivat na odosielanie 
posty. Je zaroven bezne, ze mnohi uzivatelia vyuzivaju SMTP servery 
svojich poskytovatelov pripojenia do internetu. Ak tak ucinia, budu za 
urcitych podmienok zamietnuti... viac v bode cislo 2.

	Jednou z osvedcenych technik (vid nizsie), ktoru pouzivam pre taketo 
male mailove systemy je, ze legitimni uzivatelia ho MUSIA pouzivat ako 
SMTP server, MUSIA sa korektne autentifikovat, MUSIA mat korektne 
vyplnene udaje v postovom klientovi... Su to uzivatelia, povedzme ze, 
nemobilni, staticki, posobiaci v malinkom uzemnom teritoriu, bez vplyvu 
inych negativnych faktorov, takze nie je problem, ak vyuzivaju ten SMTP 
server, ktory musia vyuzivat.

[...]
smtpd_sender_restrictions =
     permit_mynetworks,
     permit_sasl_authenticated,
     check_sender_access hash:/etc/postfix/sender_access,
     ...
     ...
[...]

# sender_access
domena1.sk		REJECT
domena2.sk		REJECT
domena3.sk		REJECT

	Myslim, ze tym, ktori pouzivaju postfix, je jasne, co nastane. Pre 
nezasvatenych... ked sa uzivatel neautentifikuje, obdrzi hlasku:

	'Sender address rejected: Access denied...'

	Ini uzivatelia, z inych mailovych systemov, z inych sieti, prejdu sadu 
pravidiel so statusom DUNNO, takze nakoniec je sprava prijata. 
Jednoduche, krasne, ciste, ale uz nie tak pre situaciu opisanu v bode 
cislo 2.


2) Mailovy server cislo 2, s X domenami, s Y schrankami, urceny pre 
prijem a aj odosielanie elektronickej posty. Legitimni uzivatelia 
takehoto systemu su pripojeni do netu cez roznych poskytovatelov a mnohi 
z nich vyuzivaju SMTP servery prave tych poskytovatelov (pretoze 
poniektori musia) a nemozu vyuzivat SMTP server cislo 2.

	Za predpokladu, ze ma legitimny uzivatel servera cislo 2 v postovom 
klientovi nastavenu spravnu, legitimnu e-mailovu adresu a zaroven musi 
mat SMTP server svojho poskytovatela (pripadne aj s jeho 
autentifikacnymi udajmi), tak ked posle e-mail inemu legitimnemu 
uzivatelovi mailoveho servera cislo 2, pripadne sam sebe, SKONCIL s 
vyssie uvedenou hlaskou, ak by som mal teda nasadit techniku uvedenu v 
bode cislo 1.

	Na takomto serveri je priam nemozne robit extremne tvrde obmedzenia na 
akejkolvek urovni SMTP komunikacie (smtpd_client, smtpd_helo, 
smtpd_sender, smtpd_recipient, smtpd_data, header_checks, body_checks). 
Samozrejme, ze bezpecnostne techniky tam su nasadene, ale nie v takej 
sile, ako mam na malych uzavretych mailovych systemoch, ktore su pre 
spamerov takmer nedobytne.
	Najvacsi boj zvadzam s podvrhmi e-mailov, ked spameri falsuju adresy 
odosielatelov pomocou skutocnych e-mailovych adries legitimnych 
uzivatelov mailoveho servera cislo 2. A legitimni uzivatelia potom 
dostavaju oznamenia o chybach pre e-maily, ktore nikdy neodoslali. 
Urcite to poznate. Spomenul som, ze mi nejde o bezpecnostne techniky 
nadstavieb (amavid-new, spamassassin, clamav...), ktore tiez vyuzivam, 
ako aj blacklisty. Ide mi o to, ako co najviac zabranit spamerom 
falsovanie uz na holom systeme samotneho postfixu, pomocou jeho 
parametrov, direktiv.
	Keby vsetci legitimni uzivatelia mailoveho servera cislo 2, ho mohli 
vyuzivat aj ako SMTP server, technika uvedena v bode cislo 1 by bola 
uplne dostacujuca, ale bohuzial nemozu, tak ju nemozem nasadit. Som si 
vedomy, ze idealny stav neexistuje.

	Neviem, mozno som az moc upriameny len na urcitu cast postfixu a 
nevidim ine jeho restriktivne techniky, ktore su v inych sekciach. 
Napada niekoho z Vas aj nieco ine, ako vylepsit situaciu popisanu v bode 
cislo 2?

	Vdaka

Lubo M.
-- 
~~~~~~~~~~~~~~~~~~~~
http://LuMaX.acom.sk
~~~~~~~~~~~~~~~~~~~~


More information about the Users-l mailing list