înregistrare Logare
Puncte:0
Kantan avatar Server

Utilizatorul nu poate trimite e-mail în funcție de ISP, eroare utilizator necunoscută

drapel hm
Kantan

Server Ubuntu 18.04.6 LTS, cu server de corespondență postfix/dovecot funcțional. Când își folosește telefonul pentru a trimite e-mailuri, utilizatorul Joe primește următoarele eroare :

A apărut o eroare la trimiterea e-mailului. Serverul de mail a raspuns:
4.7.25 Gazdă client respinsă: nu vă puteți găsi numele de gazdă, [178.197.200.200].
Vă rugăm să verificați destinatarul mesajului „[email protected]” și să încercați din nou.

cu următoarele în /var/log/mail.log

Oct 24 08:49:23 vps postfix/submission/smtpd[25163]: conectați de la necunoscut[178.197.200.200]
Oct 24 08:49:23 vps postfix/submission/smtpd[25163]: NOQUEUE: reject: RCPT from unknown[178.197.200.200]: 450 4.7.25 Client host rejected: nu poate găsi numele dvs. de gazdă, [178.197.200.200]; de la=<[email protected]> to=<[email protected]> proto=ESMTP helo=<[192.168.184.19]>

Când ajunge acasă și folosește un alt ISP, e-mailul este trimis fără eroare. /var/log/mail.log se citește după cum urmează:

Oct 24 08:59:21 vps postfix/submission/smtpd[25331]: conectați-vă de la 84-75-202-59.dclient.hispeed.ch[84.75.202.59]
Oct 24 08:59:22 vps postfix/submission/smtpd[25331]: 386394150E: client=84-75-202-59.dclient.hispeed.ch[84.75.202.59], sasl_method=PLAINname, sasl_method=PLAIN_name. cap
Oct 24 08:59:22 vps postfix/cleanup[25335]: 386394150E: message-id=<[email protected]>
Oct 24 08:59:22 vps postfix/qmgr[6203]: 386394150E: from=<[email protected]>, size=1105, nrcpt=1 (coada activă)

La început am crezut că portul de trimitere ar putea fi blocat de ISP, dar nu înțeleg de ce serverul de mail ar fi chiar accesibil în acest caz.

În /etc/postfix/main.cf am stabilit următoarele restricții:

smtpd_client_restrictions =
    permis_rețelele mele
    reject_unknown_client_hostname
    check_client_access hash:/etc/postfix/access_client

 smtpd_helo_restrictions =
    permis_rețelele mele
    reject_non_fqdn_helo_hostname 
    reject_invalid_helo_hostname
    check_helo_access hash:/etc/postfix/access_helo

 smtpd_sender_restrictions =
    permis_rețelele mele
    reject_unknown_sender_domain
    reject_non_fqdn_sender
    check_sender_access hash:/etc/postfix/access_sender

 smtpd_relay_restrictions =
    permis_rețelele mele
    permis_sasl_authenticated
    reject_unauth_destination

aș putea permite nume_gazdă_client_necunoscut, dar nu este dăunător securității să lași frigiderul cuiva să se conecteze aici? Este ok să eliminați restricțiile pentru reject_non_fqdn_helo_hostname și reject_invalid_helo_hostname pentru a lăsa utilizatorul să se autentifice? Aceasta înseamnă să dai șansa unui bot să încerce acreditările.

Există o modalitate de a permite utilizatorului să trimită e-mail fără a sacrifica securitatea în acest caz?

52
0 + 0
drapel in
NiKiZe
Vedeți înregistrarea PTR lipsă pentru IP, dar când cineva trimite e-mail de la client, ar trebui să folosească o conectare la serverul SMTP, iar apoi IP-ul sau PTR-ul nu trebuie verificat.
1
Răspunde
Paul avatar
drapel cn
Paul
Una dintre provocările cu Postfix este că există atât de multe configurații posibile pentru atât de multe cazuri de utilizare, îmi este dificil să îmi dau seama cum să răspund la aceste întrebări fără să știu care este cazul tău de utilizare plus rezultatul lui `postconf -n`. Chiar și atunci, poate fi necesar să așteptați ca cineva să vină și să vă ajute cu problema dvs.
0
Răspunde
djdomi avatar
drapel za
djdomi
@kantan întrebarea este de ce restricționați prin ip? un postfix public ar trebui să fie securizat cu fail2ban pentru a preveni forțarea brută, dar restricții prin ip care nu sunt sigure, deoarece pot fi falsificate
0
Răspunde
Kantan avatar
drapel hm
Kantan
@NiKiZe: Deci există o schimbare evidentă în configurația mea pe care trebuie să o fac? Este relevantă ordinea verificărilor? Sau din cauza restricțiilor helo care vin înainte de verificările de autentificare?
0
Răspunde
Kantan avatar
drapel hm
Kantan
@djdomi: Fail2ban este configurat. Cu toate acestea, este nevoie de câteva eșecuri pentru a identifica încercările nedorite. Din înțelegerea mea (pot să greșesc), este și mai bine să evit acele câteva încercări. Cu toate acestea, a nu putea trimite e-mail pare un preț prea mare de plătit în acest caz.
0
Răspunde
djdomi avatar
drapel za
djdomi
@Kantan Nu, bine ai venit pe internet cu plini de roboți și alte surprize. Îmi conduc serverul din aproximativ 2000 și niciunul dintre serverul meu de e-mail nu a fost vreodată „pirat” din cauza faptului că folosesc parole puternice.
0
Răspunde
drapel in
NiKiZe
Utilizați mai întâi autentificarea ca metodă alternativă de autentificare. Nu vă așteptați niciodată ca un client de e-mail adevărat să trimită HELO valid.
1
Răspunde
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.