[Postfix] Blokowanie wysyłania wiadomości z nieistniejących skrzynek email na lokalnym serwerze

Czasami zdarza się tak, że nasz serwer pocztowy może paść ofiarą westchnień różnego rodzaju robali i wirusów które zechcą wykorzystać jego możliwości do masowego propagowania SPAM'u. Nie będę rozpisywał się jak i dlaczego, bo nie taki jest cel tego materiału. Skupmy się na zablokowaniu sytuacji w której na liście kolejki maili do wysyłki widzimy setki o ile nie tysiące wiadomości z naszej własnej domeny dopisanej do lokalnego serwera. Smaczku dodaje fakt, iż wszystkie te wiadomości są wysyłane nie dość że z naszej domeny to również ze skrzynek pocztowych które w systemie nie istnieją i są wręcz całkowicie losowe.

Przykład:

 
Jan 12 06:26:16 s4 postfix/qmgr[2350]: 80E18606143A: from=gerardabh @ mojadomena.pl;, size=1108, nrcpt=1 (queue active)
Jan 12 06:26:16 s4 postfix/qmgr[2350]: 8E2D56061DE7: from=<rod.owen3 @ mojadomena.pl>, size=3054, nrcpt=1 (queue active)
Jan 12 06:26:16 s4 postfix/qmgr[2350]: 8AA3A6060F4E: from=<selinadyer @ mojadomena.pl>, size=1137, nrcpt=1 (queue active)
Jan 12 06:26:16 s4 postfix/qmgr[2350]: 86E47606127D: from=<abihipwell @ mojadomena.pl>, size=2841, nrcpt=1 (queue active)
Jan 12 06:26:16 s4 postfix/qmgr[2350]: 8F25D6061B5E: from=<dkitsos @ mojadomena.pl>, size=1697, nrcpt=1 (queue active)
Jan 12 06:26:16 s4 postfix/qmgr[2350]: 88B9E60613F6: from=<lthomas471 @ mojadomena.pl>, size=1744, nrcpt=1 (queue active)
Jan 12 06:26:16 s4 postfix/qmgr[2350]: 8F2D16061D71: from=<c.brown106 @ mojadomena.pl>, size=5580, nrcpt=1 (queue active)
Jan 12 06:26:16 s4 postfix/qmgr[2350]: 848166061721: from=<robson_melanie @ mojadomena.pl>, size=4460, nrcpt=1 (queue active)
Jan 12 06:26:16 s4 postfix/qmgr[2350]: 80AC1606102B: from=<michael.beardmore @ mojadomena.pl>, size=1546, nrcpt=1 (queue active)
Jan 12 06:26:16 s4 postfix/qmgr[2350]: 8121C6061CCA: from=<stephen.coleman1 @ mojadomena.pl>, size=1725, nrcpt=1 (queue active)
Jan 12 06:26:16 s4 postfix/qmgr[2350]: 89CF460614C3: from=<vanessaschwarz @ mojadomena.pl>, size=1147, nrcpt=1 (queue active)
Jan 12 06:26:16 s4 postfix/qmgr[2350]: 087976061778: from=<julianavida @ mojadomena.pl>, size=4355, nrcpt=1 (queue active)
Jan 12 06:26:16 s4 postfix/qmgr[2350]: 017BE6061AE8: from=<c.j.price01 @ mojadomena.pl>, size=2281, nrcpt=1 (queue active)
Jan 12 06:26:16 s4 postfix/qmgr[2350]: 055C66061243: from=<mariannejohansenlondon @ mojadomena.pl>, size=3204, nrcpt=1 (queue active)
Jan 12 06:26:16 s4 postfix/qmgr[2350]: 0119B6061D64: from=<valerieschmitt @ mojadomena.pl>, size=1939, nrcpt=1 (queue active)
 

 

Domyślna konfiguracja Postfix'a dopuszcza wysyłanie wiadomości przez nadawców którzy nie są zarejestrowani w systemie, gdyż weryfikacja następuje po domenie nadawcy. Adres uważany jest za "znany" jeżeli zawiera się w domenie która jest wpisana do serwera i znajduje się w zmiennych $mydestination$inet_interfaces oraz $proxy_interfaces. 

 

Rozwiązaniem problemu takiego zachowania jak podszywanie się pod nadawcę jest dodanie parametru smtpd_reject_unlisted_sender. 

 

W pliku konfiguracyjnym Postfix'a main.cf dodajemy na końcu linię w postaci:

 
smtpd_reject_unlisted_sender = yes 
 

 

Innym sposobem z tym samym efektem jest umieszczenie reject_unlisted_sender na stosie smtpd_*_restriction

 

Info o parametrze z manuala

 

smtpd_reject_unlisted_sender (default: no)

Żądaj, aby serwer SMTP Postfix odrzucił pocztę od nieznanych adresów nadawców, nawet jeśli nie określono wyraźnego ograniczenia dostępu dla nadawców odrzuconych. Może to spowolnić eksplozję sfałszowanej poczty od robaków lub wirusów.

Adres jest zawsze uważany za „znany”, gdy pasuje do wirtualnego aliasu (5) lub kanonicznego (5) odwzorowania.

  • Domena nadawcy pasuje do $mydestination$inet_interfaces lub $proxy_interfaces, ale nadawca nie jest wymieniony w $local_recipient_maps, i $local_recipient_maps nie ma wartości null.
  • Domena nadawcy pasuje do $virtual_alias_domains ale nadawca nie jest wymieniony w $virtual_alias_maps.
  • Domena nadawcy pasuje do $virtual_mailbox_domains ale nadawca nie jest wymieniony w $virtual_mailbox_maps, and $virtual_mailbox_maps is not null.
  • The sender domain matches $relay_domains but the sender is not listed in $relay_recipient_maps, and $relay_recipient_maps is not null.

This feature is available in Postfix 2.1 and later.

 

 

Jest wysoce prawdopodobne, iż w tej chwili na ekranie wyświetlone zostaną liczne powiadomienia i ostrzeżenia.

 

Postfix 1.x

Tak samo jak dla wersji 2.x otwieramy plik /etc/postfix/main.cf, a następnie doklejamy na końcu poniższe linijki. Wcześniej jednak sprawdzamy, czy wspomniane linie istnieją już w pliku main.cf. Jeżeli tak jest nadpisujemy je właściwą konfiguracją. 

 

 
[...]
smtpd_helo_required = yes
disable_vrfy_command = yes
strict_rfc821_envelopes = yes
invalid_hostname_reject_code = 554
multi_recipient_bounce_reject_code = 554
non_fqdn_reject_code = 554
relay_domains_reject_code = 554
unknown_address_reject_code = 554
unknown_client_reject_code = 554
unknown_hostname_reject_code = 554
unknown_local_recipient_reject_code = 554
unknown_relay_recipient_reject_code = 554
unknown_sender_reject_code = 554
unknown_virtual_alias_reject_code = 554
unknown_virtual_mailbox_reject_code = 554
unverified_recipient_reject_code = 554
unverified_sender_reject_code = 554

maps_rbl_domains =
            all.s5h.net,
            bl.spamcannibal.org,
            blacklist.woody.ch,
            cdl.anti-spam.org.cn,
            dnsbl-1.uceprotect.net,
            dnsbl.anticaptcha.net,
            dnsbl.inps.de,
            drone.abuse.ch,
            dyna.spamrats.com,
            http.dnsbl.sorbs.net,
            korea.services.net,
            orvedb.aupads.org,
            psbl.surriel.com,
            relays.nether.net,
            short.rbl.jp,
            socks.dnsbl.sorbs.net,
            spam.spamrats.com,
            spamsources.fabel.dk,
            virbl.bit.nl,
            wormrbl.imp.ch,
            zombie.dnsbl.sorbs.net,
            b.barracudacentral.org,
            bl.spamcop.net,
            bogons.cymru.com,
            combined.abuse.ch,
            dnsbl-2.uceprotect.net,
            dnsbl.cyberlogic.net,
            dnsbl.sorbs.net,
            duinv.aupads.org,
            dynip.rothen.com,
            ips.backscatterer.org,
            misc.dnsbl.sorbs.net,
            pbl.spamhaus.org,
            rbl.megarbl.net,
            sbl.spamhaus.org,
            singular.ttk.pte.hu,
            spam.abuse.ch,
            spambot.bls.digibase.ca,
            ubl.lashback.com,virus.rbl.jp,
            xbl.spamhaus.org,
            bl.emailbasura.org,
            blackholes.five-ten-sg.com,
            cbl.abuseat.org,
            db.wpbl.info,dnsbl-3.uceprotect.net,
            dnsbl.dronebl.org,
            drone.abuse.ch,
            dul.dnsbl.sorbs.net,
            exitnodes.tor.dnsbl.sectoor.de,
            ix.dnsbl.manitu.net,
            noptr.spamrats.com,
            proxy.bl.gweep.ca,
            relays.bl.gweep.ca,
            service.mailblacklist.com,
            smtp.dnsbl.sorbs.net,
            spam.dnsbl.sorbs.net,
            spamrbl.imp.ch,
            ubl.unsubscore.com,
            web.dnsbl.sorbs.net,
            zen.spamhaus.org

smtpd_recipient_restrictions =
            permit_sasl_authenticated,
            permit_mynetworks,
            reject_invalid_hostname,
            reject_non_fqdn_hostname,
            reject_non_fqdn_sender,
            reject_unknown_sender_domain,
            reject_unknown_recipient_domain,
            reject_maps_rbl,
            check_relay_domains
 

 

Na zakończenie restartujemy Postfix'a

 
/etc/init.d/postfix restart
 

 

Źródła:

Serverfault.com

Dodaj komentarz

Kod antyspamowy
Odśwież



Twój koszyk jest pusty

Odsłony:
351814
Wszelkie prawa zastrzeżone. Copyright © 2009 - 2020 Maciej Kaleta