[MEGOLDVA] POSTFIX + CLAMAV + AMAVIS + SPAMASASIN

Linux-haladó

Sziasztok!

Egy olyan kérdésem lenne, hog tudnám megoldani postfix oldalon, hogy ne tudjanak kamu feladóval küldeni emailt a szervererünkről.
Ha valaki be telnet-tel az smtp (postfix smtp) szerverre, és felparaméterezi az emailt, akkor simán be lehet adni neki kamu faladót :(

köszönöm szépen.

  • 2283 megtekintés

( hokuszpk | 2017. 01. 12., cs – 17:57 )

reject_authenticated_sender_login_mismatch

Már elnézést, de ez egy átvett rendszer 0 mail / linux / smtp tudással? Vagy csak egy hobbi projekt?

Remélem az utóbbi ..... (bár akkor is eléggé necces....)

hogy kicsit konstruktív is legyek, ennyiből semmit nem fog tudni senki segíteni.

Kezdjük egy postfix main.cf posztolással (lehetőleg pastebin -re!!! ne ide a hupra..)
Persze a megfelelő dolgokat "HÚZD KI" benne, pl hosztnév ilyesmi, hogy legalább a domain ne derüljön ki :)

btw, mxtoolbox.com <- egész ügyes ""ötleteket"" adhat.

agyaltam rajt, hogy mit neztem be, mert a kollegak nagyresze erosen masfele tapogatozik.

de ez a kitetel :
"ne tudjanak kamu feladóval küldeni emailt a szervererünkről."

az en logikam szerint most is az jon ki, a feladat, hogy a te szervereden ne tudjanak kifele kuldozgetni kamu cimmel. erre jo az emlitett reject_authenticated_sender_login_mismatch

ha azt akarod ellenorizni amit itt rajtamkivul mindenki, hogy egyaltalan ne tudjanak _feléd_ kamu felados emailt kuldeni, ahhoz tenyleg az spf/dkim/dmarc reject_unverified_sender es hasonloknak kell utananezni.

pedig nagyon benezted, mert ez nem akadalyozza meg, hogy From: aaa@aaa.fu feladot tegyek egy levelbe.

ha azt akarod ellenorizni amit itt rajtamkivul mindenki, hogy egyaltalan ne tudjanak _feléd_ kamu felados emailt kuldeni, ahhoz tenyleg az spf/dkim/dmarc reject_unverified_sender es hasonloknak kell utananezni.

FYI: ez sem igaz ebben a formaban.

( Szenti v | 2017. 01. 12., cs – 23:41 )

Ne haragudj, de ez nem problémaleírás. Nem adtál elegendő információt a problémáról ahhoz, hogy segíthessünk.

Pár kérdés:
A hitelesítő adatok MySQL-ben vannak?
Milyen IP-ről telnetelsz a 25-ös portra? Ez az IP benne van a mynetworks-ben?
Ha telnetelsz, bármilyen feladót elfogad, vagy akármi1@tedomained.hu/akármi2@tedomained.hu-t is?

Addig is: http://www.catb.org/~esr/faqs/smart-questions.html

Valamit akkor nagyon benéztem :)

Egy egyszerű security dolgot szeretnék beállítani a levelező szerveren. Minden megy rendesen, csak ezt a kis hibát szeretném javítani a postfixen, hogy ne tudjanak megcímezni kamu domain-ről. Security teszt van, és azt tapasztaltuk, hogyha valaki be telnet-el a szerveremre, akkor kamu domain feladóval tud nekünk emailt küldeni.

Szerinted tényleg az a megoldás, hogy egyik ismeretlen rendszert
egy másik ismeretlen rendszerre cserélsz,
miközben a felhasználói adatokat (évek emailjei) gyalulod?

Szerintem egy (nem/alig) működő rendszer migrálása nagy körültekintést igényel.

---
Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....

Nem tudni, hogy mennyire elo rendszerrol van szo vagy hogy eppen tesztelget. Sajnos ez is ismeretlen raadasul nagyon beteges is vagyis ez nem csak ismeretlen hanem szar is.

Masik ilyen szalban javasoltat tudom elismetelni. A szuerest a levelezesrol le kell vbalasztani vagy elofizetni egy felhoszolgaltatohoz ha nem tul sok a user.

Ki beszel gyalurol?

( khiraly | 2017. 01. 13., p – 11:29 )

(ma konstruktiv napot tartok)

Két féle probléma lehet, ami nem egyértelmű a kérdésedből.
Tegyük fel, hogy a domained heroes83.hu, és két felhasználódemailcímed van:
1. bela @heroes83.hu
2. penzugy @heroes83.hu

a) Most vajon az a kérdés, hogy neked nyilvánvalóan helytelen emailcímről is tudnak levelet küldeni?


nadella @microsoft.com -> bela @heroes83.hu
nadella @23-45-67-20.adsl.arg.com -> bela @heroes83.hu

b) Vagy az a kérdés, hogy rengeteg levelet kapsz, nem létező helyi emailcímre?


bob @valami.com -> adam @heroes83.hu
nadella @microsoft.com -> aron @heroes83.hu

Ugye, ez egy elég káros tevékenység, mert ezzel szokták felmérni,
hogy milyen létező emailcím van egy szervezeten belül,
hogy utána arra tudjanak spamet küldeni.

A mostani példádban te vagy a fogadó fél, a küldő meg random internetes szerver (akár otthoni malware-es gép).
Ha mindenki levelét elfogadod, akkor nagyot nem hibázhatsz,
csak napi 10-20 spam/user lesz, vagy ha felfut a folyamat, akkor 100+.

Erre szokták alkalmazni a hello check-et.
Azaz a küldő gép amikor smtp kapcsolatot létesít a szervereddel,
akkor a saját domainjét ehlo-za be, és amit küld email az is onnan jön.

Itt egy jó kis leírás:
https://haraka.github.io/manual/plugins/helo.checks.html

A másik módszer, hogy spf, dkim-et ellenőrzöd.
Az spf, hogy mely levelező szerverek küldhetnek levelet adott domainnel.
(mx.microsoft.com küld, a *@microsoft.com -ról. Mondjuk pont a microsoft rossz példa...)

A dkim, hogy a levél fejlécét alá is írja a küldő szerver.

A gmail ellenőrzi, és ha az spf nem stimmel, akkor a spam-be is landol a leveled.
De fordítva (hogy te ellenőrzöd az internet népét), nemigen működik
(nem várhatod el mindenkitől, hogy legyen spf, dkim beállítva).

Itt egy tök jó leírás janoszentől:
https://hup.hu/node/144198

c) A te szervereden keresztül küldenek levelet internetszerte random feladóval.

Ez az open relay. Itt a söröskorsó kiesik a kezedből, és azonnal cselekedsz.
http://mxtoolbox.com -mal ellenőrizheted.

Továbbá lehet még csak tls-en küldött levélfogadást enforce-olni (gmail se teszi, de
egy nyitott/zárt lakattal jelzi, hogyha valaki nem titkosítva küldte a levelet neki).

Viszont fordított irányba mind a gmail mind az outlook.com (microsoft) enforce-olja,
azaz, ha a levelezőszervered nem képes titkosítva levelet fogadni,
akkor nem kapsz meg tőlük levelet (eg. exchange 2003).

Alapvetően levélküldés oldalról a gmailre érdemes küldeni levelet, egy csomó használható infót kiír.

Spamszűrés témakörben szerintem az spf, dkim, ehlo check ellenőrzése a spamszűrés 90%-át elvégzi.

---
Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....

( hnsz2002 v | 2017. 01. 13., p – 15:36 )

csak autentikációval lehet levelet küldeni + feladó és hitelesített user összevetése (nem feltétlen kell ugyanannak lenni, meg lehet adni, hogy ki mivel küldhet)

Ha befele jövőkre akarsz, az más kérdés. Restrictionök, szűrések....
--
"Sose a gép a hülye."

( Proci85 v | 2019. 05. 06., h – 22:17 )

"[MEGOLDVA]"

Az a szokás, hogy megírják, hogy az adott probléma felvetésre mi volt a megoldás. Különben mi értelme a [MEGOLDVA] flagnek?
Mert ugye ez az egész arra hivatott, hogy ha valaki keres, előnyben részesíti a [MEGOLDVA] flaggel ellátott topikokat.