The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"Postfix & Helo.. как запретить?"
Вариант для распечатки Архивированная нить - только для чтения! 
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [Проследить за развитием треда]

"Postfix & Helo.. как запретить?"
Сообщение от EHoT emailИскать по авторуВ закладки on 05-Ноя-03, 21:20  (MSK)
система cvs-up нутая 4.7 FreeBsd (iso) до 5.0
Postfix 2.0.13
cyrus+mysql+sasl..
растроена авторизация по sasl
telnet domain.com 25
ehlo user@domain.name
--- skiped ---
Все ок

но! как только левый клиент коннектитцца
telnet domain.com 25
helo (some bred)
имеем
250 domain.name - все разрещено..

он очень легко может отправить "левое" письмо от несуществующего юзвера либо от существующего..

копал вдоль и поперек, убрал всех из mynetworks кроме 127.0.0.0/8
не помогло..
нашел
smtpd_helo_restrictions = permit_mynetworks, reject_invalid_hostname
тоже пустота..

кто может советом поделитцца?

конфиг main.cf
myhostname = domain.name
mynetworks = 127.0.0.0/8
maps_rbl_reject_code = 554
smtpd_recipient_restrictions =  permit_sasl_authenticated, permit_mynetworks, reject_unauth_destination, reject_rbl_client list.dsbl.org, reject_rbl_client relays.ordb.org, reject_rbl_client dynablock.wirehub.net, reject_rbl_client blackholes.wirehub.net, reject_rbl_client dnsbl.njabl.org
transport_maps = mysql:/usr/local/etc/postfix/sql/transport.cf
virtual_mailbox_base = /var/mail/virtual
virtual_mailbox_maps = mysql:/usr/local/etc/postfix/sql/users.cf
virtual_alias_maps = mysql:/usr/local/etc/postfix/sql/aliases.cf
virtual_uid_maps = mysql:/usr/local/etc/postfix/sql/uids.cf
virtual_gid_maps = mysql:/usr/local/etc/postfix/sql/gids.cf
relay_domains = $transport_maps
local_recipient_maps = $virtual_mailbox_maps $virtual_maps $transport_maps
#### spam changed
smtpd_client_restrictions = permit_sasl_authenticated
smtpd_helo_restrictions = permit_mynetworks, reject_invalid_hostname
#### spam finished
smtpd_sender_restrictions = permit_sasl_authenticated
smtpd_sasl_auth_enable = yes
smtp_sasl_security_options = noanonymous
smtpd_sasl_local_domain = $myhostname
broken_sasl_auth_clients = yes

  Рекомендовать в FAQ | Cообщить модератору | Наверх

 Оглавление

Индекс форумов | Темы | Пред. тема | След. тема
Сообщения по теме

1. "Postfix & Helo.. как запретить?"
Сообщение от crash Искать по авторуВ закладки on 06-Ноя-03, 03:24  (MSK)
а так попробовать:
smtpd_helo_required = yes
strict_rfc821_envelope = yes
smtpd_helo_restrictions =  permit_mynetworks,reject_unknown_hostname,reject_invalid_hostname,reject_non_fqdn_hostname
  Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "Postfix & Helo.. как запретить?"
Сообщение от EHoT emailИскать по авторуВ закладки on 07-Ноя-03, 20:21  (MSK)
>а так попробовать:
>smtpd_helo_required = yes
>strict_rfc821_envelope = yes
>smtpd_helo_restrictions =  permit_mynetworks,reject_unknown_hostname,reject_invalid_hostname,reject_non_fqdn_hostname


не помогло.. все так же пропускает 8(


  Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "Postfix & Helo.. как запретить?"
Сообщение от crash Искать по авторуВ закладки on 07-Ноя-03, 20:44  (MSK)
>>а так попробовать:
>>smtpd_helo_required = yes
>>strict_rfc821_envelope = yes
>>smtpd_helo_restrictions =  permit_mynetworks,reject_unknown_hostname,reject_invalid_hostname,reject_non_fqdn_hostname
>
>
>не помогло.. все так же пропускает 8(
тогда делай smtp аутентификацию или может эт опоможет:
# The smtpd_sender_restrictions parameter specifies optional restrictions
# on sender addresses that SMTP clients can send in MAIL FROM commands.
#
# The default is to permit any sender address.  The following
# restrictions are available:
#
#   permit_mynetworks: permit if the client address matches $mynetworks.
#   reject_unknown_client: reject the request if the client hostname is unknown.
#   reject_maps_rbl: reject if the client is listed under $maps_rbl_domains.
#   reject_invalid_hostname: reject HELO hostname with bad syntax.
#   reject_unknown_hostname: reject HELO hostname without DNS A or MX record.
#   reject_unknown_sender_domain: reject sender domain without A or MX record.
#   check_sender_access maptype:mapname
#   maptype:mapname: look up sender address, parent domain, or localpart@.
#       Reject if result is REJECT or "[45]xx text"
#       Permit otherwise.
#   check_client_access maptype:mapname: see smtpd_client_restrictions.
#   check_helo_access maptype:mapname: see smtpd_helo_restrictions.
#   reject_non_fqdn_hostname: reject HELO hostname that is not in FQDN form
#   reject_non_fqdn_sender: reject sender address that is not in FQDN form
#   reject: reject the request. Place this at the end of a restriction.
#   permit: permit the request. Place this at the end of a restriction.
#
# Restrictions are applied in the order as specified; the first
# restriction that matches wins.
#
# Specify a list of restrictions, separated by commas and/or whitespace.
# Continue long lines by starting the next line with whitespace.


  Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "Postfix & Helo.. как запретить?"
Сообщение от crash Искать по авторуВ закладки on 07-Ноя-03, 21:24  (MSK)
mynetworks=
я бы указал еще свою сеть всетаки..
  Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "Postfix & Helo.. как запретить?"
Сообщение от EHoT emailИскать по авторуВ закладки on 09-Ноя-03, 02:22  (MSK)
>mynetworks=
>я бы указал еще свою сеть всетаки..

Да я все убрал на период тестирования, конечно ж все вернул назад
Громадное спасибо, вылечилось так:
smtpd_sender_restrictions = permit_sasl_authenticated, permit_mynetworks, reject


  Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "Postfix & Helo.. как запретить?"
Сообщение от EHoT emailИскать по авторуВ закладки on 12-Ноя-03, 20:08  (MSK)
>smtpd_sender_restrictions = permit_sasl_authenticated, permit_mynetworks, reject

Рано бил в фанфары - письма теперь вообще режектятся от всех сетей кроме описанных..

может еще кто дельное знает? как у народа на sendmail, qmail, exim'e пашет нечто подобное?

  Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "Postfix & Helo.. как запретить?"
Сообщение от pLYM0rph emailИскать по авторуВ закладки on 13-Ноя-03, 12:04  (MSK)
>>smtpd_sender_restrictions = permit_sasl_authenticated, permit_mynetworks, reject
>
>Рано бил в фанфары - письма теперь вообще режектятся от всех сетей
>кроме описанных..
>
>может еще кто дельное знает? как у народа на sendmail, qmail, exim'e
>пашет нечто подобное?

SecuritySage example:
http://www.securitysage.com/files/main.cf

  Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "Postfix & Helo.. как запретить?"
Сообщение от Mikhail Искать по авторуВ закладки on 13-Ноя-03, 12:05  (MSK)
# The smtpd_sender_restrictions parameter specifies optional restrictions
# on sender addresses that SMTP clients can send in MAIL FROM commands.  
#   reject_invalid_hostname: reject HELO hostname with bad syntax.            
#   reject_unknown_hostname: reject HELO hostname without DNS A or MX record.
#   reject_unknown_sender_domain: reject sender domain without A or MX record.
#   check_client_access maptype:mapname: see smtpd_client_restrictions.
#   check_helo_access maptype:mapname: see smtpd_helo_restrictions.    
#   reject_non_fqdn_hostname: reject HELO hostname that is not in FQDN form
#   reject_non_fqdn_sender: reject sender address that is not in FQDN form

ну, и так далее, в зависимости от задачи. А что конкретно не устраивает?

  Рекомендовать в FAQ | Cообщить модератору | Наверх


Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру