我想设置 Postfix(在 ubuntu 14.04 上)以使用提交端口,但我担心它可能会变成开放中继。我想知道每个限制列表的最佳限制是什么(默认情况下具有 $mua_ 变量,这意味着基本上没有任何限制?)
这是 Ubuntu 中的默认 master.cf 配置:
submission inet n - - - - smtpd
-o syslog_name=postfix/submission
-o smtpd_tls_security_level=encrypt
-o smtpd_sasl_auth_enable=yes
-o smtpd_reject_unlisted_recipient=no
-o smtpd_client_restrictions=$mua_client_restrictions
-o smtpd_helo_restrictions=$mua_helo_restrictions
-o smtpd_sender_restrictions=$mua_sender_restrictions
-o smtpd_recipient_restrictions=
-o smtpd_relay_restrictions=permit_sasl_authenticated,reject
-o milter_macro_daemon_name=ORIGINATING
以下是postconf -Mx(将扩展 $mua_ 变量)的内容:
submission inet n - - - - smtpd
-o syslog_name=postfix/submission
-o smtpd_tls_security_level=encrypt
-o smtpd_sasl_auth_enable=yes
-o smtpd_reject_unlisted_recipient=no
-o smtpd_client_restrictions=
-o smtpd_helo_restrictions=
-o smtpd_sender_restrictions=
-o smtpd_recipient_restrictions=
-o smtpd_relay_restrictions=permit_sasl_authenticated,reject
-o milter_macro_daemon_name=ORIGINATING
因此,我在这里猜测,只要用户是经过 SASL 身份验证的用户,他或她就能够使用任何帐户向任何目的地发送电子邮件,不受直升机或客户端限制(我猜这是因为 MUA(如 outlook)而不是服务器将连接到此端口,所以你不要太挑剔)
尽管如此,我认为一些限制还是不错的,例如:
reject_non_fqdn_sender以及reject_unlisted_sendersmtpd_sender_restrictionsreject_non_fqdn_recipient为了smtpd_recipient_restrictions
这些限制清单上还有哪些其他可取的限制?
答案1
如果您符合以下条件,它将永远不会成为开放中继:需要身份验证。
如果您担心用户不使用好的密码,您可以使用 postfix、iptables 或外部防火墙将网络限制在特定的 IP 范围内。
另一个好的想法是添加 fail2ban 作为暴力破解保护机制。
与任何电子邮件系统一样,您应始终监控滥用行为,确保拥有有效的邮政局长邮箱以及滥用行为。此外,监控 RBL 并设置反馈回路也是很好的做法。