[Postfix-br] Dúvida com pop-before-smtp

Valley valleytheman em yahoo.com.br
Terça Julho 10 11:07:24 BRT 2012 

Bom dia ,

Estou instalando o pop-before-smtp aqui para evitar que alguém use nosso 
servidor como relay indevidamente. Entretanto estou com alguns 
problemas, algum atacante consegue enviar e-mails do usuário para ele 
mesmo. Vou explicar mais abaixo.

Fiz a instalação e  pelos logs me parece que ele está armazenando os IPs 
corretamente. Seguindo a recomendação no site do desenvolvedor coloquei 
as seguintes regras no meu main.cf

smtpd_recipient_restrictions =
	permit_mynetworks,
	reject_non_fqdn_recipient,
	check_client_access hash:/etc/postfix/pop-before-smtp,
	reject_unauth_destination


Entretanto, ainda ocorrem coisas como o seguinte (trecho extraído dos logs):

/Jul  9 04:39:08 andromeda postfix/smtpd[24420]: connect from 
unknown[190.238.84.16]
Jul  9 04:39:10 andromeda postfix/smtpd[24420]: B876481427E: 
client=unknown[190.238.84.16]
Jul  9 04:39:12 andromeda postfix/smtpd[24420]: disconnect from 
unknown[190.238.84.16]
Jul  9 04:39:16 andromeda amavis[24447]: (24447-03) Passed CLEAN, 
[190.238.84.16] [190.238.84.16] <nome.usuario at meudominio.com.br> -> 
<nome.usuario at meudominio.com.br>, Message-ID: 
<20120709073910.B876481427E at meudominio.com.br>, mail_id: HDOYfM9wtPDX, 
Hits: -78.795, size: 1986, queued_as: F3E88814270, 285 ms/

A pessoa que veio do ip 190.238.84.16 não se autenticou como 
nome.usuario previamente e posso confirmar pelos logs do pop-before-smtp 
que este ip não está liberado.
Dando uma olhada no manual do manual do postfix, vi o seguinte sobre a 
regra reject_unauth_destination:

(...)
Reject the request unless one of the following is true:
(...)
Postfix is the final destination: the resolved RCPT TO domain matches 
$mydestination <http://www.postfix.org/postconf.5.html#mydestination>, 
$inet_interfaces 
<http://www.postfix.org/postconf.5.html#inet_interfaces>, 
$proxy_interfaces 
<http://www.postfix.org/postconf.5.html#proxy_interfaces>, 
$virtual_alias_domains 
<http://www.postfix.org/postconf.5.html#virtual_alias_domains>, or 
$virtual_mailbox_domains 
<http://www.postfix.org/postconf.5.html#virtual_mailbox_domains>, and 
contains no sender-specified routing (user at elsewhere@domain).
(...)


Me parece que, como o atacante enviou o e-mail para alguém dentro de 
$mydestination <http://www.postfix.org/postconf.5.html#mydestination>a 
regra reject_unauth_destination não foi aplicada. Alguém sabe dizer se 
existe alguma outra restrição que posso colocar para evitar esse tipo de 
coisa?

Abçs!
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://listas.softwarelivre.org/pipermail/postfix-br/attachments/20120710/e6f35f1f/attachment.html>

More information about the Postfix-br mailing list