[Postfix-br] Dúvida com pop-before-smtp
Valley
valleytheman em yahoo.com.br
Terça Julho 10 11:07:24 BRT 2012
Bom dia ,
Estou instalando o pop-before-smtp aqui para evitar que alguém use nosso
servidor como relay indevidamente. Entretanto estou com alguns
problemas, algum atacante consegue enviar e-mails do usuário para ele
mesmo. Vou explicar mais abaixo.
Fiz a instalação e pelos logs me parece que ele está armazenando os IPs
corretamente. Seguindo a recomendação no site do desenvolvedor coloquei
as seguintes regras no meu main.cf
smtpd_recipient_restrictions =
permit_mynetworks,
reject_non_fqdn_recipient,
check_client_access hash:/etc/postfix/pop-before-smtp,
reject_unauth_destination
Entretanto, ainda ocorrem coisas como o seguinte (trecho extraído dos logs):
/Jul 9 04:39:08 andromeda postfix/smtpd[24420]: connect from
unknown[190.238.84.16]
Jul 9 04:39:10 andromeda postfix/smtpd[24420]: B876481427E:
client=unknown[190.238.84.16]
Jul 9 04:39:12 andromeda postfix/smtpd[24420]: disconnect from
unknown[190.238.84.16]
Jul 9 04:39:16 andromeda amavis[24447]: (24447-03) Passed CLEAN,
[190.238.84.16] [190.238.84.16] <nome.usuario at meudominio.com.br> ->
<nome.usuario at meudominio.com.br>, Message-ID:
<20120709073910.B876481427E at meudominio.com.br>, mail_id: HDOYfM9wtPDX,
Hits: -78.795, size: 1986, queued_as: F3E88814270, 285 ms/
A pessoa que veio do ip 190.238.84.16 não se autenticou como
nome.usuario previamente e posso confirmar pelos logs do pop-before-smtp
que este ip não está liberado.
Dando uma olhada no manual do manual do postfix, vi o seguinte sobre a
regra reject_unauth_destination:
(...)
Reject the request unless one of the following is true:
(...)
Postfix is the final destination: the resolved RCPT TO domain matches
$mydestination <http://www.postfix.org/postconf.5.html#mydestination>,
$inet_interfaces
<http://www.postfix.org/postconf.5.html#inet_interfaces>,
$proxy_interfaces
<http://www.postfix.org/postconf.5.html#proxy_interfaces>,
$virtual_alias_domains
<http://www.postfix.org/postconf.5.html#virtual_alias_domains>, or
$virtual_mailbox_domains
<http://www.postfix.org/postconf.5.html#virtual_mailbox_domains>, and
contains no sender-specified routing (user at elsewhere@domain).
(...)
Me parece que, como o atacante enviou o e-mail para alguém dentro de
$mydestination <http://www.postfix.org/postconf.5.html#mydestination>a
regra reject_unauth_destination não foi aplicada. Alguém sabe dizer se
existe alguma outra restrição que posso colocar para evitar esse tipo de
coisa?
Abçs!
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://listas.softwarelivre.org/pipermail/postfix-br/attachments/20120710/e6f35f1f/attachment.html>
More information about the Postfix-br
mailing list