OT: Bezpecnostne techniky - Postfix
Lubomir Majersky
lumax at in.acompp.sk
Thu Feb 14 16:40:55 CET 2013
Pozdravujem Vas,
ospravedlnujem sa za dost obsirny OT, ale tato konfera ma mnohych
skusenych harcovnikov, a to nielen v oblasti FreeBSD. A priznam sa, ze
toto by som nezvladol napisat v inom jazyku, aby to bolo spravne pochopene.
Niekedy nastanu situacie, ked je nazvys trochu casu a mozem sa viac
venovat testovaniam, vylepseniam... Pre testovanie smtp relacie hodne
vyuzivam telnet. Zamyslal som sa nad lepsimi zabezpecovacimi technikami
lokalnych (virtualnych) uzivatelov mailoveho systemu postfix. Este
predtym, nez sa dostanem k jadru, nejde mi o bezpecnostne techniky
nadstavieb (amavid-new, spamassassin, clamav...).
1) Mailovy server cislo 1 s jednou ci nanajvys dvoma (troma) domenami
domena1.sk, domena2.sk, domena3.sk
je urceny pre prijem a aj odosielanie elektronickej posty. LEN
LEGITIMNI a AUTENTIFIKOVANI uzivatelia ho mozu vyuzivat na odosielanie
posty. Je zaroven bezne, ze mnohi uzivatelia vyuzivaju SMTP servery
svojich poskytovatelov pripojenia do internetu. Ak tak ucinia, budu za
urcitych podmienok zamietnuti... viac v bode cislo 2.
Jednou z osvedcenych technik (vid nizsie), ktoru pouzivam pre taketo
male mailove systemy je, ze legitimni uzivatelia ho MUSIA pouzivat ako
SMTP server, MUSIA sa korektne autentifikovat, MUSIA mat korektne
vyplnene udaje v postovom klientovi... Su to uzivatelia, povedzme ze,
nemobilni, staticki, posobiaci v malinkom uzemnom teritoriu, bez vplyvu
inych negativnych faktorov, takze nie je problem, ak vyuzivaju ten SMTP
server, ktory musia vyuzivat.
[...]
smtpd_sender_restrictions =
permit_mynetworks,
permit_sasl_authenticated,
check_sender_access hash:/etc/postfix/sender_access,
...
...
[...]
# sender_access
domena1.sk REJECT
domena2.sk REJECT
domena3.sk REJECT
Myslim, ze tym, ktori pouzivaju postfix, je jasne, co nastane. Pre
nezasvatenych... ked sa uzivatel neautentifikuje, obdrzi hlasku:
'Sender address rejected: Access denied...'
Ini uzivatelia, z inych mailovych systemov, z inych sieti, prejdu sadu
pravidiel so statusom DUNNO, takze nakoniec je sprava prijata.
Jednoduche, krasne, ciste, ale uz nie tak pre situaciu opisanu v bode
cislo 2.
2) Mailovy server cislo 2, s X domenami, s Y schrankami, urceny pre
prijem a aj odosielanie elektronickej posty. Legitimni uzivatelia
takehoto systemu su pripojeni do netu cez roznych poskytovatelov a mnohi
z nich vyuzivaju SMTP servery prave tych poskytovatelov (pretoze
poniektori musia) a nemozu vyuzivat SMTP server cislo 2.
Za predpokladu, ze ma legitimny uzivatel servera cislo 2 v postovom
klientovi nastavenu spravnu, legitimnu e-mailovu adresu a zaroven musi
mat SMTP server svojho poskytovatela (pripadne aj s jeho
autentifikacnymi udajmi), tak ked posle e-mail inemu legitimnemu
uzivatelovi mailoveho servera cislo 2, pripadne sam sebe, SKONCIL s
vyssie uvedenou hlaskou, ak by som mal teda nasadit techniku uvedenu v
bode cislo 1.
Na takomto serveri je priam nemozne robit extremne tvrde obmedzenia na
akejkolvek urovni SMTP komunikacie (smtpd_client, smtpd_helo,
smtpd_sender, smtpd_recipient, smtpd_data, header_checks, body_checks).
Samozrejme, ze bezpecnostne techniky tam su nasadene, ale nie v takej
sile, ako mam na malych uzavretych mailovych systemoch, ktore su pre
spamerov takmer nedobytne.
Najvacsi boj zvadzam s podvrhmi e-mailov, ked spameri falsuju adresy
odosielatelov pomocou skutocnych e-mailovych adries legitimnych
uzivatelov mailoveho servera cislo 2. A legitimni uzivatelia potom
dostavaju oznamenia o chybach pre e-maily, ktore nikdy neodoslali.
Urcite to poznate. Spomenul som, ze mi nejde o bezpecnostne techniky
nadstavieb (amavid-new, spamassassin, clamav...), ktore tiez vyuzivam,
ako aj blacklisty. Ide mi o to, ako co najviac zabranit spamerom
falsovanie uz na holom systeme samotneho postfixu, pomocou jeho
parametrov, direktiv.
Keby vsetci legitimni uzivatelia mailoveho servera cislo 2, ho mohli
vyuzivat aj ako SMTP server, technika uvedena v bode cislo 1 by bola
uplne dostacujuca, ale bohuzial nemozu, tak ju nemozem nasadit. Som si
vedomy, ze idealny stav neexistuje.
Neviem, mozno som az moc upriameny len na urcitu cast postfixu a
nevidim ine jeho restriktivne techniky, ktore su v inych sekciach.
Napada niekoho z Vas aj nieco ine, ako vylepsit situaciu popisanu v bode
cislo 2?
Vdaka
Lubo M.
--
~~~~~~~~~~~~~~~~~~~~
http://LuMaX.acom.sk
~~~~~~~~~~~~~~~~~~~~
More information about the Users-l
mailing list