OT: Bezpecnostne techniky - Postfix
Lubomir Majersky
lumax at in.acompp.sk
Fri Feb 15 08:44:19 CET 2013
Dňa 14. 2. 2013 17:52, Čiernik Tomáš wrote / napísal(a):
> Dňa 14.2.2013 16:40 Lubomir Majersky wrote / napísal(a):
>> 2) Mailovy server cislo 2, s X domenami, s Y schrankami, urceny pre
>> prijem a aj odosielanie elektronickej posty. Legitimni uzivatelia
>> takehoto systemu su pripojeni do netu cez roznych poskytovatelov a mnohi
>> z nich vyuzivaju SMTP servery prave tych poskytovatelov (pretoze
>> poniektori musia) a nemozu vyuzivat SMTP server cislo 2.
>
> Nebolo by riesenie pouzit smtps (port 465) alebo submission (port 587)?
> Pokial viem, tieto porty su obycajne neblokovane. V master.cf je
> predvyplnena konfiguracia, vyborna na inspiraciu.
>
Aj to pouzivam, lebo niektori poskytovatelia internetu uz blokuju
25-ku, ale i tak to neriesi problem zmieneneho mailoveho servera. Server
je v nete. Prijima e-maily odkialkolvek, pretoze je cielovou stanicou
pre X legitimnych uzivatelov, prijima e-maily od autentifikovanych
uzivatelov a zaroven ich odosiela ako smtp klient dalsim smtp serverom.
Je to jeden stroj, obe role (MSA a MTA) ho zdielaju. Takze aj keby som
chcel, 25-ku odstavit/odfiltrovat nemozem. Jednoducho pre tolkych
legitimnych uzivatelov, ktori su roztruseni kdekade, pripojeni cez
mnohych poskytovatelov s dynamicky pridelovanymi adresami, to ani nejde.
Alebo to neviem urobit, resp. neviem si dost dobre predstavit, ako
zakazat legitimnym uzivatelom posielat postu, zo svojich MUA, cez port
25, ked ten server tak ci onak pocuva na porte 25.
Pre prehladnejsiu a lahsiu identifikaciu v logoch mam aj sluzby v
master.cf premenovane,
smtp..........smtpd-25
submission..........smtpd-587
smtps..........smtpd-465
samozrejme, aj so symbolickymi odkazmi pre 'smtpd'.
Iste, idealne by bolo mat viacero strojov a oddelit to (pekny vseobecny
popis je napriklad aj tu
http://en.wikipedia.org/wiki/Mail_submission_agent ), ale za vsetkym su
peniaze.
V konecnom dosledku mi vsak nejde o legitimnych uzivatelov ako takych,
ti zacinaju byt disciplinovanejsi, pozornejsi... a nemaju zaujem skodit,
ale ide mi o "skodnu" v podobe spamerov. Dnes su v internete tak krasne
vypracovane navody aj s obrazkami, ze ma to doslova drazdi, ako
napriklad tento:
http://martin.vancl.eu/odeslani-e-mailu-z-cizi-adresy-bez-znalosti-hesla
a preto sa mi nizsie uvedena technika paci,
[...]
smtpd_sender_restrictions =
permit_mynetworks,
permit_sasl_authenticated,
reject_...
reject_...
check_sender_access hash:/etc/postfix/sender_access,
[...]
pretoze zabrani zneuzitiu, legitimnych lokalnych (virtualnych)
e-mailovych adries daneho systemu cez telnet. Bohuzial toto nemozem
nasadit na tento server z dovodu, ktory som opisal v predchadzajucom
prispevku.
Zaujal ma parameter 'reject_unverified_sender', ale ma svoje muchy...
Dalej parameter 'reject_sender_login_mismatch' v spojeni
'smtpd_sender_login_maps = mysql:/...', ktory som chcel aplikovat pred
parameter 'permit_sasl_authenticated', aby som zabranil posielat e-maily
uz aj autentifikovanym uzivatelom, ak maju v MUA, v polozke e-mailova
adresa, nastavene nieco ine, nez maju mat, ale v zapati som to zavrhol,
pretoze i ja sam pouzivam pre komunikaciu v e-mailovej adrese skrateny
aliasovy tvar. Schranky mam v tvare 'mpriezvisko na acompp.sk' a na ne mam
definovane aliasy v tvare 'meno na acom.sk'. Su vsak uzivatelia, ktori maju
v MUA nastavenu emailovu adresu taku, aky je nazov schranky. Este sa s
tym skusim popasovat, pretoze citim, ze nemam koser zapis v subore. S
mysql vsak nemam az take skusenosti, tak ak by mi vedel niekto poradit
so zapisom 'query =......', bol by som povdacny, lebo inak je parameter
'reject_sender_login_mismatch' vcelku silny...
...a tych parametrov je tolko, ze uz mam v hlave "galimatiáš"...
...a dalsie nadstavby, ako napriklad Greylist, som musel zavrhnut, z
dovodu neustalej aktualizacie whitelistu a nemalo to konca. Vzdy mal
niekto z legitimnych uzivatelov nejaky problem s mensim oneskorenim, ci
neskorsim dorucenim, alebo az nedorucenim e-mailov, pretoze u posledne
menovanych sa casto stavalo to, ze niektore smtp servery jednoducho
neopakuju prenos...
Lubo M.
--
~~~~~~~~~~~~~~~~~~~~
http://LuMaX.acom.sk
~~~~~~~~~~~~~~~~~~~~
More information about the Users-l
mailing list