Postfix позволяет неаутентифицированным пользователям отправлять электронные письма

3954
Kimmax

Привет, я настроил Postfix для использования cyrusимплантации SASL, и я могу войти в систему и отправлять электронные письма, но я все еще могу подключиться к порту 25 и отправлять почту, даже если я не аутентифицирован, что я хочу отказать.

smtp_saslчасть моего main.cf:

smtpd_sasl_path = smtpd smtpd_sasl_type = cyrus smtpd_sasl_auth_enable = yes broken_sasl_auth_clients = yes smtpd_sasl_security_options = noanonymous smtpd_recipient_restrictions = reject_non_fqdn_recipient, reject_non_fqdn_sender, reject_unlisted_recipient, permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination, reject_invalid_hostname, reject_unknown_sender_domain, reject_unknown_recipient_domain, reject_rbl_client, sbl-xbl.spamhaus.org, reject_rbl_client, bl.spamcop.net, reject_rbl_client, list.dsbl.org, reject_rbl_client, rbl.mail-abuse.org, reject_rbl_client, spamsources.fabel.dk

Полная конфигурация здесь

Я что-то забыл?

Telnet Log:

=~=~=~=~=~=~=~=~=~=~=~= PuTTY log 2014.04.20 16:10:32 =~=~=~=~=~=~=~=~=~=~=~= 220 the999ers.eu ESMTP Postfix (Debian/GNU) ehlo kim-nuernberger.eu 250-the999ers.eu 250-PIPELINING 250-SIZE 10240000 250-VRFY 250-ETRN 250-STARTTLS 250-AUTH PLAIN LOGIN 250-AUTH=PLAIN LOGIN 250-ENHANCEDSTATUSCODES 250-8BITMIME 250 DSN MAIL FROM: test@kim-nuernberger.eu 250 2.1.0 Ok RCPT TO: trash@kim-nuernberger.eu DATA 250 2.1.5 Ok 354 End data with <CR><LF>.<CR><LF> Subject: test This is a test mail . 250 2.0.0 Ok: queued as B82481DF1CE quit 221 2.0.0 Bye

это было снято с моего локального компьютера, и я подключился через свой домен kim-nuernberger.eu.

Журнал Postfix (/var/log/mail.log)

Apr 20 16:31:37 The999ers postfix/smtpd[16420]: connect from unknown[2a03:4000:2:206::1] Apr 20 16:31:57 The999ers postfix/smtpd[16420]: 25CED1DF1CE: client=unknown[2a03:4000:2:206::1] Apr 20 16:32:13 The999ers postfix/cleanup[16425]: 25CED1DF1CE: message-id=<20140420143157.25CED1DF1CE@kim-nuernberger.eu> Apr 20 16:32:13 The999ers postfix/qmgr[16407]: 25CED1DF1CE: from=<test@kim-nuernberger.eu>, size=385, nrcpt=1 (queue active) Apr 20 16:32:14 The999ers postfix/smtp[16426]: 25CED1DF1CE: to=<trash.kim.nuernberger@hotmail.de>, orig_to=<trash@kim-nuernberger.eu>, relay=mx4.hotmail.com[65.55.37.104]:25, delay=25, delays=23/0.01/0.47/1.1, dsn=2.0.0, status=sent (250 <20140420143157.25CED1DF1CE@kim-nuernberger.eu> Queued mail for delivery) Apr 20 16:32:14 The999ers postfix/qmgr[16407]: 25CED1DF1CE: removed Apr 20 16:32:14 The999ers postfix/smtpd[16420]: disconnect from unknown[2a03:4000:2:206::1]

Примечание: я обновил журнал после исправления некоторых ненужных проблем.

1
С какого адреса вы «общаетесь» и кому? grawity 10 лет назад 0
@ grawity Я передаю телнет с моего локального адреса в мой домен, или вы имели в виду что-то другое? Kimmax 10 лет назад 0

1 ответ на вопрос

3
clement

Это потому, что вы, возможно, пытались отправить почту с самого сервера (то есть telnet localhost 25), и в вашем случае smtpd_recipient_restrictions permit_mynetworksраньше, permit_sasl_authenticatedи поэтому клиенты, перечисленные в mynetworks( localhostв вашем случае), не должны проходить аутентификацию. Переставьте ограничения, чтобы добиться того, что вы хотите.

Больше информации: postfix docs

Изменить 1:

Спасибо за журналы telnet и postfix. postfix не требует аутентификации для получения почты для доменов, под которыми он обрабатывает mydestination, relay_domains virtual_alias_domainsи virtual_mailbox_domains. Пользователи не смогут подключаться relayк внешним доменам (т. Е. К удаленным доменам, например, gmail.com), если они не аутентифицируются, и это ожидаемое поведение.

Ну, я открываю соединение telnet с моего локального компьютера и подключаюсь через домен (в данном случае kim-nuernberger.eu) к серверу, так что это не должно происходить, верно? Kimmax 10 лет назад 0
Можете ли вы дать IP-адрес или префикс вашего локального компьютера и вашего сервера? clement 10 лет назад 0
Даже удаление `allow_mynetworks` не работает вообще .. Kimmax 10 лет назад 0
Вы можете обновить вопрос с помощью команды `telnet`, которая сработала, и строк журнала постфикса, сгенерированных для того же самого? clement 10 лет назад 0
Хорошо, я добавил свой локальный журнал Telnet и журнал постфикса с сервера. Kimmax 10 лет назад 0
Эй, postfix не будет требовать аутентификации для получения почты для доменов, которые он обрабатывает под `mydestination`,` relay_domains`, virtual_alias_domains` и `virtual_mailbox_domains`. Пользователи не смогут ретранслировать на внешние домены (то есть домены, которые являются удаленными. Например, gmail.com), если они не аутентифицируются, и это ожидаемое поведение. clement 10 лет назад 1
Хорошо, я получил это - я все время отправлял письма на сервер сам и не пробовал другой ретранслятор .. Когда вы напишите новый ответ, я приму его и передам вознаграждение. Спасибо! Kimmax 10 лет назад 0

Похожие вопросы