Tham gia Đăng nhập
Điểm:0
avatar Server

Xác thực thanh Postfix từ internet

lá cờ gf
Waslap

Tôi có một máy chủ e-mail Postfix cho phép người dùng nội bộ gửi và nhận thư qua nó.

Các việc gửi chỉ xảy ra khi người dùng thành công trong kết nối VPN cung cấp cho họ địa chỉ IP không thể định tuyến trên mạng LAN của tôi. Gửi từ internet không được phép.

Hiện tại, tôi đang phải đối mặt với tình huống những kẻ tấn công cố gắng xác thực từ internet nhằm giành quyền truy cập vào tài khoản thư mà có lẽ sẽ cho phép chúng gửi thư bất chính từ tài khoản bị tấn công. Điều xảy ra bây giờ là khi họ đoán tài khoản của người dùng tồn tại, họ sẽ cố gắng cưỡng bức tài khoản đó. Quá trình xác thực của tôi trong Postfix được gia công cho dovecot, tổ chức này sẽ liên hệ với IPA. Điều xảy ra bây giờ là IPA tạm thời khóa người dùng đã nói sau mỗi lần rất nhiều cuộc tấn công vũ phu thất bại khiến người dùng thực sự bị từ chối dịch vụ với tên đó.

Lý tưởng nhất Tôi muốn Postfix thậm chí không phản hồi chuỗi lệnh SMTP đang cố xác thực người dùng từ internet nhưng ngay lập tức trả lời trong phủ định. Nó chỉ nên cho phép gửi thư cho chúng tôi từ internet. Có cách nào để cấu hình cái này không?

35
0 + 0
anx avatar
lá cờ fr
anx
Vì câu hỏi của bạn không chứa các chi tiết cụ thể về thiết lập VPN của bạn và liệu có những tin nhắn được gửi từ bên trong VPN của bạn nhưng không có xác thực hay không, nên câu trả lời của tôi có thể phù hợp hoặc không. Vui lòng [chỉnh sửa] câu hỏi của bạn để thêm các dòng nhật ký ví dụ nhằm làm rõ hậu tố nào ghi lại khi thư được gửi bởi một trong những người dùng hợp pháp của bạn.
0
Hồi đáp
anx avatar
lá cờ fr
anx
Đừng quên rằng các bot cũng có thể dùng thử Dovecot IMAP, vì vậy hãy kiểm tra xem Postfix có phải là nơi duy nhất mà bạn muốn từ chối dịch vụ cho người bên ngoài hay không.
0
Hồi đáp
Điểm:2
anx avatar Server
lá cờ fr
anx

Nếu không cần tính năng xác thực bị lạm dụng, bạn có thể định cấu hình Postfix để không hiển thị tính năng đó trên internet rộng hơn. Điều này thường được thực hiện bằng cách chỉnh sửa tệp main.cf và master.cf của bạn.

Đầu tiên, hãy đọc nhật ký của bạn. Tôi nghĩ việc gửi thư hợp pháp của bạn có thể phân biệt được với việc nhận thư trên internet qua số ba các phương thức, vì vậy bạn có thể giới hạn dịch vụ của mình ở mức đó. Xác minh rằng:

  1. Họ luôn xác thực,
  2. họ luôn sử dụng các cổng cụ thể dành riêng cho việc gửi thư,
  3. và chúng luôn kết nối qua VPN chứ không phải qua địa chỉ internet.

Nếu điều đó đúng, bạn có thể dễ dàng đảm bảo rằng xác thực chỉ khả dụng cho tập hợp con giới hạn các kết nối đó:

Bước 1: Trong master.cf, bạn sẽ tìm thấy các dịch vụ mà bạn muốn gửi thư được xác thực và chỉ dành cho những người bật xác thực.

Thông thường, bạn chỉ có một hoặc hai dịch vụ như vậy, có thể dễ dàng xác định từ cột đầu tiên: smtp, có thể bổ sung nộp hồ sơ.

Tùy chọn liên kết nó với địa chỉ không được định tuyến công khai mà máy khách của bạn trong VPN xem máy chủ của bạn tại (Tôi đã sử dụng fd00:1337::1:5 trong ví dụ của tôi), nếu chúng không thể truy cập được từ internet.

# dòng bên dưới là nơi bạn thêm địa chỉ mạng vào trước
fd00:1337::1:5:smtps inet n - n - - smtpd
 -o example_other=tùy chọn
 -o more_options=ví dụ
 -o smtpd_sasl_auth_enable=có
# dòng trên là tùy chọn bạn thêm vào. lưu ý không gian hàng đầu
# dòng bên dưới là nơi bạn thêm địa chỉ mạng vào trước
fd00:1337::1:5:submission inet n - n - - smtpd
 -o example_other=tùy chọn
 -o more_options=ví dụ
 -o smtpd_sasl_auth_enable=có
# dòng trên là tùy chọn bạn thêm vào. lưu ý không gian hàng đầu

Vì điều này có nghĩa là hậu tố hậu tố không thể liên kết đúng các cổng nếu nó được bắt đầu trước khi thiết lập VPN của bạn đã thiết lập IP nội bộ, điều này có thể có nghĩa là bạn cần thêm một phần phụ thuộc dịch vụ (có thể là một lớp lót, tùy thuộc vào hệ thống/bản phân phối của bạn). Bạn chưa hoàn thành cho đến khi xác minh rằng cấu hình mới của mình hoạt động sau khi khởi động lại.

Bước 2: Trong chính.cf, bạn lượt xác thực cho tất cả các phiên bản smtpd
# nó chuyển sang tắt
smtpd_sasl_auth_enable = không

Bây giờ, ngoại trừ các dịch vụ cụ thể được bật rõ ràng ở trên, postfix sẽ không thông báo xác thực hỗ trợ. Những khách hàng vẫn thử sẽ bị từ chối dịch vụ bởi postfix, khiến phần phụ trợ xác thực của bạn không bị ảnh hưởng.

0 + 0
lá cờ gf
Waslap
Cảm ơn, tôi không quen với địa chỉ fd00:1337::1:5. Bạn có thể xây dựng?
0
Hồi đáp
anx avatar
lá cờ fr
anx
@Waslap Đó là một trình giữ chỗ. Điều tôi *nghi ngờ* thiết lập của bạn có thể là máy chủ thư của bạn có một tên hoặc địa chỉ cố định trong mạng riêng của bạn. Tên/địa chỉ đó có thể giống như `mailserver.internal.example.org`, `fd:*`, `192.168.*` hoặc `10.*`. Nếu đúng, bạn có thể yêu cầu postfix liên kết các dịch vụ đó với tên/địa chỉ đó, làm cho khả năng truy cập độc quyền của nó trở nên đơn giản và rõ ràng (đối với các quản trị viên trong tương lai).
0
Hồi đáp
anx avatar
lá cờ fr
anx
@Waslap Nếu bạn không chắc chắn về hậu quả chính xác của những người tham gia VPN, hãy ghi lại IP mà máy khách nhìn thấy máy chủ tại (giải quyết bất kỳ tên nào được định cấu hình trong ứng dụng thư của họ) và IP mà máy chủ nhìn thấy máy khách tại (nhật ký) .
0
Hồi đáp
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.