Extremne zatizeny postfix

Pavol Luptak Pavol.Luptak na i.cz
Středa Leden 16 16:18:48 CET 2002 

uhlar na fantomas.sk wrote:

> Pavel Kankovsky <peak na argo.troja.mff.cuni.cz> wrote:
> -> Nejaci zk... spammeri se rozhodli, ze budou sve sr... rozesilat s cizimi
> -> adresami. Nam to take chodi, nastesti jen dve nebo tri adresy, ktere jsem
> -> snadno zablokoval, a v relativne snesitelnem mnozstvi. Bohuzel veskere me
> -> pokusy smerujici k tomu, aby byl pachatel dopaden a po zasluze potrestan,
> -> se setkaly na mistech, kde jsem si stezoval, s nulovou reakci. Jednou
> -> z velkych chyb TCP/IP je absence mechanismu, ktery by umoznil automaticky
> -> pacifikovat ty uzivatele, kteri delaji bordel.
> 
> Mne zase chyba v SMTP protokole vyzadovanie autentizacie pouzivatela, aj
> samotna jeho autentizacia. Myslim to v tom zmysle, aby si nemohol hocikto
> nastavit lubovolnu (existujucu) domenu na to aby mu vacsina SMTP serverov
> postu prijala. Podla mna by kazdy smtp server mal mat nastavene, z ktorych
> domen moze pozielat postu. To znamena ak moj smtp server prijima postu pre


S tym nemas problem, postfix s podporou TLS 
(http://www.aet.tu-cottbus.de/personen/jaenicke/pfixtls/).
Kde mozes nastavit akceptovat, relayovanie takych klientov, ktori maju 
jednoznacny vygenerovany certifikat od doveryhodnej CA.
Problem je, ze na divom internete je to stale problem nasadit, pokym 
vsetky MTA nebudu podporovat TLS, certifikaty apod..
Na lokalnej sieti to moze byt ale celkom prakticke.

> domeny X a Y, aby nikto ani zvnutra nemohol poslat mail s From: adresou inou

 > ako z tychto dvoch domen.

Jasne, ze nemoze, pokym mas klienta vo vnutri sieti, kde mas bloknute 
smtp von (resp. transparentne smtp), tak mejly s odlisnou From: adresou 
mozes filtrovat na urovni hlavneho smtp servera:

smtpd_restriction_classes = check_mail_from
check_from_strahov_domain = check_sender_access 
hash:/etc/postfix/sender_access, reject
smtpd_recipient_restrictions =
              permit_mynetworks,
              check_client_access hash:/etc/postfix/client_access,

V klient access budu povoleni klienti, v sender_access povolene 'mail 
from: adresy. Pricom mozes vytvorit zretazene pravidlo (client_access:

domena.sk check_mail_from

Co znamena, ze okrem toho, ze reverzna adresa pristupujuceho klienta 
musi byt domena.sk, sucasne moze pouzit len 'mail from:' adresy zo 
sender_access.

> 
> A tiez, posielanie posty cez pop3/imap, az po autentizacii. Tiez s tym ze
> povolene by mali byt len adresy ktore naozaj patria dotycnemu pouzivatelovi.


Posielanie cez pop3/imap? Skor citanie nie?
Na secure imap/pop3 sa da aplikovat podobny sposob autentizacie ako 
secure smtp.


Pavol
-- 
_____________________________________________________________________
[Pavol Luptak, ICZ a.s.] [Pavol.Luptak na i.cz] [mobil: +420 724 429787]

Další informace o konferenci Linux