web-dev-qa-db-ja.com

[email protected]からの外部メールをブロックするにはどうすればよいですか?

セキュリティ会社が私のメールサーバーをテストしていて、私のPostfixデーモンがオープンリレーであると主張しています。証拠は次のとおりです(mail.mydomain.comの有効なパブリックIPは、セキュリティのために10.1.1.1に変更されています)。

Relay User: postmaster Relay Domain: 10.1.1.1
Transaction Log: EHLO elk_scan_137 250-mail.mydomain.com 250-PIPELINING
250-SIZE 20480000
250-VRFY
250-ETRN
250-STARTTLS
250-AUTH PLAIN LOGIN 250-AUTH=PLAIN LOGIN 250-ENHANCEDSTATUSCODES 250-8BITMIME
250 DSN
MAIL FROM: postmaster@[10.1.1.1]
250 2.1.0 Ok
RCPT TO: postmaster@[10.1.1.1]
250 2.1.5 Ok

ルートへのメールはすでにブロックしていますが、明らかにポストマスターをブロックするべきではありません。サーバーからそれ自体にメールを送信する機能は、オープンリレーにはならないように感じます。 しかし、どうすればスプーフィングされた[email protected]送信者を安全にブロックできますか?

[N.B. mxtoolbox.comを使用して自分自身をスキャンしましたが、安全であり、オープンリレーではないと言われています]

6
sventechie

誰かがあなた自身のメールサーバーのIPアドレス宛てにメールを送信できるという事実は、メールサーバーがオープンリレーであるかどうかにはまったく関係ありません。

オープンリレー 管理ドメイン外のすべてのシステムのメールを受け入れ、転送します。これは明らかにここで示されているものではありません。

明らかにそれは本当に良いものなので、彼らが喫煙しているものは何でも共有するように警備会社に依頼してください。

23
Michael Hampton

まだ誰も言及していないので、これはSPFが修正するように設計された問題の1つです。 DNSで正しいSPFレコードを公開し、サーバーにSPFレコードをチェックさせると、外部サーバーが「From:* @ yourdomain.com」で電子メールを送信することが許可されていないことがわかります。ボーナスとして、これはあなたの差し迫った問題を修正するだけでなく、スパムをブロックし、私たちの他の人たちもスパムをブロックするのに役立ちます!

SPFおよび一般的なEメール/ SPAMの問題の修正の詳細については、以下をお読みください。

スパムとの戦い-メール管理者、ドメイン所有者、またはユーザーとして何ができますか?

Michaelが指摘したように、これは「オープンリレー」の問題ではありません。監査人がこれに該当すると考える場合は、監査人を解雇することを真剣に検討する必要があります。これはそれほど難しいことではなく、問題の用語と重大度に関しては完全に間違っています。

6
Chris S

Smtpd制限を使用する必要があると思います。

私の構成の抜粋:

smtpd_helo_restrictions         =
    permit_mynetworks,
    reject_unauth_pipelining,
    permit_sasl_authenticated,
    reject_invalid_helo_hostname,
    reject_non_fqdn_hostname,
    reject_rbl_client zombie.dnsbl.sorbs.net,
    reject_rbl_client zen.spamhaus.org,
    reject_rbl_client bl.spamcop.net
smtpd_recipient_restrictions    =
    permit_mynetworks,
    reject_unauth_pipelining,
    reject_non_fqdn_recipient,
    permit_sasl_authenticated,
    reject_unauth_destination,
    check_policy_service inet:[127.0.0.1]:2501,
    permit
smtpd_sender_restrictions       =
    permit_mynetworks,
    reject_unauth_pipelining,
    reject_non_fqdn_sender,
    reject_unknown_sender_domain,
    permit_sasl_authenticated,
    permit_tls_clientcerts,
    check_sender_access regexp:$config_directory/tag_as_foreign.re,
    permit
smtpd_data_restrictions =
    reject_unauth_pipelining,
    reject_multi_recipient_bounce,
    permit

構成に応じて実行できるさまざまなチェックがあります。 SMTPワークフローの各フェーズには制限が設定されています。詳細については、 http://www.postfix.org/postconf.5.html をご覧ください。

すべてのフェーズ、つまりsmtpd_helo_restrictionssmtpd_data_restrictionssmtpd_sender_restrictionssmtpd_recipient_restrictions、およびsmtpd_client_restrictionsの制限を定義する必要があります。 Postfix 2.10+には、あなたにぴったりの新しいsmtpd_relay_restrictionsオプションがあります。

自分のメールをSMTPサーバーを介して中継する場合は、何らかの方法で識別可能である必要があることに注意してください。 $mynetworksにいる場合は、認証を使用します。

鉱山の構成では、ブラックホストリスト、グレーリスト、および認証も使用されます。

基本的に、SMTPの制限により次のことが許可されます。

  1. ネットワーク(ローカルホスト、イントラネットなど。permit_mynetworksを参照)、
  2. 認証されたユーザー(SMTPログインを使用してログインしたユーザー。外部サーバーにメールを中継できます。permit_sasl_authenticatedを参照)、
  3. あなたに配信される電子メール(=あなたは彼らの「最終目的地」です。reject_unauth_destinationを参照してください)。
  4. オプションで、電子メールを中継する他のすべての電子メールドメイン。例えばサーバーが一部のドメインの最終的な宛先ではないが、たとえばフロントエンドプロキシの場合、受信者をホワイトリストと照合して、ネクストホップの宛先に転送する必要があります。

許可されていないユーザーがどこからでも外部サーバーに送信する他のすべての電子メールは、オープンリレーを意味します。

3
Aleš Krajník

このパラメータはスパマーが使用できるため、VRFYとEXPNを無効にします http://cr.yp.to/smtp/vrfy.html

1
c4f4t0r