+ Responder ao Tópico



  1. #1

    Padrão Forçar Autenticação smtp no postfix

    Olá, instalei o postfix com dovecot autenticação smtp clamav tudo em chroot baseado nesse howto: http://www.wains.be/pub/postfix/postfix-debian.txt


    Então, está tudo funcionando corretamente, autenticação smtp com e sem ssl, porém pelo telnet é possível enviar e-mails sem autenticar por smtp, acessei o telnet com ips de fora da rede e da no mesmo.

    no main.cf acredito eu que esteja rejeitando tudo que não for autenticado:
    smtpd_client_restrictions =
    permit_sasl_authenticated
    reject_rbl_client sbl-xbl.spamhaus.org
    reject_rbl_client list.dsbl.org

    smtpd_sender_restrictions =
    reject_non_fqdn_sender
    reject_unknown_sender_domain
    reject_unauth_pipelining

    smtpd_recipient_restrictions =
    permit_sasl_authenticated
    reject_unauth_destination
    Porem mesmo assim é possível enviar e-mail pelo telnet sem autenticar, o que está errado?


    Obrigado.

  2. #2

    Padrão Tenta isso

    Tenta colocando isso no final do main.cf

    smtpd_sasl_auth_enable = yes
    smtpd_sasl_security_options = noanonymous
    broken_sasl_auth_clients = yes
    smtpd_recipient_restrictions = permit_sasl_authenticated, permit_mynetworks, check_relay_domains



    PaTricK

  3. #3

    Padrão

    Citação Postado originalmente por patrickrsl Ver Post
    Tenta colocando isso no final do main.cf

    smtpd_sasl_auth_enable = yes
    smtpd_sasl_security_options = noanonymous
    broken_sasl_auth_clients = yes
    smtpd_recipient_restrictions = permit_sasl_authenticated, permit_mynetworks, check_relay_domains



    PaTricK
    Creio que seja o que está faltando ... lembrando tmb de fechar bem o relay, se não vc terá vário problemas com Spam e Listas de RBL ...

    Flw ...

  4. #4

    Padrão

    Bom, se eu acessar pelo telnet e tentar enviar algum e-mail para um domínio interno ele contínua permitindo sem autenticação (obs.: estou acessando através de um ip externo).

    Por exemplo se tentar fazer isso no yahoo, a conexão já é rejeitada no inicio da transação:

    Trying 209.191.106.160...
    Connected to smtp.mail.yahoo.com.
    Escape character is '^]'.
    220 smtp119.plus.mail.mud.yahoo.com ESMTP
    helo localhost
    250 smtp119.plus.mail.mud.yahoo.com
    mail from:<[email protected]>
    530 authentication required - for help go to I'm getting errors when trying to receive POP mail. What's wrong? - Mail
    Connection closed by foreign host.
    Teria alguma forma de forçar essa autenticação mesmo para domínios internos?

    Valeu!

  5. #5

    Padrão

    Sim, tem, mas nao é bem assim que o yahoo funciona.

    1) Voce pode pedir autentica para tudo, so nao pode pedir para provedores externos que querem enviar e-mail para voce, neste caso é mais negocio usar o SPF.
    2) Se voce notar bem voce ta fazendo claramente um SPAM canalha no seu telnet, porque? voce se apresenta como localhost e tenta enviar um e-mail de [email protected], e ele verifica o IP de origem que deve ser 200.230.32.z da vida, ai ele verifica: BATE com o EHLO ? Não, jah mata por ai.
    3) A partir disto ele sabe que voce NÃO pertence ao dominio do Yahoo (ou seja, não é do mesmo pool de IPs) E, como voce nao autenticou, voce nao vai enviar para NINGUEM como se fosse do Yahoo.

    Deixa eu catar no manual algumas coisas aqui... acredito que esteja faltando voce forcar autenticação no smtpd_sender_restrictions

  6. #6

  7. #7

    Padrão

    Olha, eu consegui bloquear o acesso smtp externo, só que tem um detalhe aí um servidor externo não consegue enviar e-mails para o meu servidor, então concluo que os servidores de destino e origem conversem através do protocolo smtp para enviarem mensagens uns para os outros, portanto não deve ficar totalmente bloqueado.

    O smtp.mail.yahoo.com está totalmente bloqueado se não usar autenticação pois é um servidor somente de envio, o servidor pop já é outro host que provavelmente deve ser o que está fazendo o mx e recebendo os e-mails, este deve estar liberado para acesso sem autenticação smtp para envio interno apenas mas com rígidas políticas de segurança.

    Então eu acho que tem que ficar aberto mesmo sem autenticação para enviar para domínios externos só tem que fazer bloqueio de hosts sem dns reversos e blacklistados e coisa e tal para receber e-mails de domínios externos.

    Não tenho certeza mais acredito que seja isso mesmo, se tiver alguem que entenda bem sobre o funcionamento do trafego de e-mails para confirmar o que eu disse.

    Obrigado.

  8. #8

    Padrão

    A gente pode sim somente bloquear os nao autenticados que tem mail from <[email protected]> e deixar o resto passar, ou seja, os que nao pertencem a voce.

    E sim, em um ISP grande se separa bem os servidores de email, ou seja, varios SMTP's para enviar e varios para receber, assim como servidores de POP/IMAP em servidores distintos.