OT: Bezpecnostne techniky - Postfix

Lubomir Majersky lumax at in.acompp.sk
Fri Feb 15 08:44:19 CET 2013


Dňa 14. 2. 2013 17:52, Čiernik Tomáš  wrote / napísal(a):
> Dňa 14.2.2013 16:40 Lubomir Majersky wrote / napísal(a):
>> 2) Mailovy server cislo 2, s X domenami, s Y schrankami, urceny pre
>> prijem a aj odosielanie elektronickej posty. Legitimni uzivatelia
>> takehoto systemu su pripojeni do netu cez roznych poskytovatelov a mnohi
>> z nich vyuzivaju SMTP servery prave tych poskytovatelov (pretoze
>> poniektori musia) a nemozu vyuzivat SMTP server cislo 2.
>
> Nebolo by riesenie pouzit smtps (port 465) alebo submission (port 587)?
> Pokial viem, tieto porty su obycajne neblokovane. V master.cf je
> predvyplnena konfiguracia, vyborna na inspiraciu.
>
	Aj to pouzivam, lebo niektori poskytovatelia internetu uz blokuju 
25-ku, ale i tak to neriesi problem zmieneneho mailoveho servera. Server 
je v nete. Prijima e-maily odkialkolvek, pretoze je cielovou stanicou 
pre X legitimnych uzivatelov, prijima e-maily od autentifikovanych 
uzivatelov a zaroven ich odosiela ako smtp klient dalsim smtp serverom. 
Je to jeden stroj, obe role (MSA a MTA) ho zdielaju. Takze aj keby som 
chcel, 25-ku odstavit/odfiltrovat nemozem. Jednoducho pre tolkych 
legitimnych uzivatelov, ktori su roztruseni kdekade, pripojeni cez 
mnohych poskytovatelov s dynamicky pridelovanymi adresami, to ani nejde. 
Alebo to neviem urobit, resp. neviem si dost dobre predstavit, ako 
zakazat legitimnym uzivatelom posielat postu, zo svojich MUA, cez port 
25, ked ten server tak ci onak pocuva na porte 25.

	Pre prehladnejsiu a lahsiu identifikaciu v logoch mam aj sluzby v 
master.cf premenovane,
				smtp..........smtpd-25
				submission..........smtpd-587
				smtps..........smtpd-465

	samozrejme, aj so symbolickymi odkazmi pre 'smtpd'.

	Iste, idealne by bolo mat viacero strojov a oddelit to (pekny vseobecny 
popis je napriklad aj tu 
http://en.wikipedia.org/wiki/Mail_submission_agent ), ale za vsetkym su 
peniaze.

	V konecnom dosledku mi vsak nejde o legitimnych uzivatelov ako takych, 
ti zacinaju byt disciplinovanejsi, pozornejsi... a nemaju zaujem skodit, 
ale ide mi o "skodnu" v podobe spamerov. Dnes su v internete tak krasne 
vypracovane navody aj s obrazkami, ze ma to doslova drazdi, ako 
napriklad tento:

	http://martin.vancl.eu/odeslani-e-mailu-z-cizi-adresy-bez-znalosti-hesla

a preto sa mi nizsie uvedena technika paci,

[...]
smtpd_sender_restrictions =
     permit_mynetworks,
     permit_sasl_authenticated,
     reject_...
     reject_...
     check_sender_access hash:/etc/postfix/sender_access,
[...]

pretoze zabrani zneuzitiu, legitimnych lokalnych (virtualnych) 
e-mailovych adries daneho systemu cez telnet. Bohuzial toto nemozem 
nasadit na tento server z dovodu, ktory som opisal v predchadzajucom 
prispevku.

	Zaujal ma parameter 'reject_unverified_sender', ale ma svoje muchy...

	Dalej parameter 'reject_sender_login_mismatch' v spojeni 
'smtpd_sender_login_maps = mysql:/...', ktory som chcel aplikovat pred 
parameter 'permit_sasl_authenticated', aby som zabranil posielat e-maily 
uz aj autentifikovanym uzivatelom, ak maju v MUA, v polozke e-mailova 
adresa, nastavene nieco ine, nez maju mat, ale v zapati som to zavrhol, 
pretoze i ja sam pouzivam pre komunikaciu v e-mailovej adrese skrateny 
aliasovy tvar. Schranky mam v tvare  'mpriezvisko na acompp.sk' a na ne mam 
definovane aliasy v tvare 'meno na acom.sk'. Su vsak uzivatelia, ktori maju 
v MUA nastavenu emailovu adresu taku, aky je nazov schranky. Este sa s 
tym skusim popasovat, pretoze citim, ze nemam koser zapis v subore. S 
mysql vsak nemam az take skusenosti, tak ak by mi vedel niekto poradit 
so zapisom 'query =......', bol by som povdacny, lebo inak je parameter 
'reject_sender_login_mismatch' vcelku silny...

	...a tych parametrov je tolko, ze uz mam v hlave "galimatiáš"...

	...a dalsie nadstavby, ako napriklad Greylist, som musel zavrhnut, z 
dovodu neustalej aktualizacie whitelistu a nemalo to konca. Vzdy mal 
niekto z legitimnych uzivatelov nejaky problem s mensim oneskorenim, ci 
neskorsim dorucenim, alebo az nedorucenim e-mailov, pretoze u posledne 
menovanych sa casto stavalo to, ze niektore smtp servery jednoducho 
neopakuju prenos...


Lubo M.
-- 
~~~~~~~~~~~~~~~~~~~~
http://LuMaX.acom.sk
~~~~~~~~~~~~~~~~~~~~


More information about the Users-l mailing list