înregistrare Logare
Puncte:0
avatar Server

Autentificare bară Postfix de pe internet

drapel gf
Waslap

Am un server de e-mail Postfix care ar trebui să permită utilizatorilor interni să trimită și să primească e-mailuri prin intermediul acestuia.

The trimiterea ar trebui să aibă loc numai atunci când un utilizator reușește o conexiune VPN care îi oferă o adresă IP nerutabilă pe LAN-ul meu. Trimiterea de pe internet nu ar trebui să fie permisă.

În acest moment, mă confrunt cu o situație în care atacatorii încearcă să se autentifice de pe internet în încercarea de a obține acces la un cont de e-mail care probabil le-ar permite să trimită e-mailuri nefaste dintr-un cont hi-jacked. Ceea ce se întâmplă acum este că atunci când ghicesc contul unui utilizator care există, încearcă să-l forțeze. Autentificarea mea în Postfix este externalizată pentru a porumbel, care la rândul său contactează IPA. Ceea ce se întâmplă acum este că IPA blochează temporar utilizatorul menționat după fiecare atât de multe atacuri de forță brută eșuate care provoacă utilizatorului real cu numele respectiv refuzul serviciului.

Ideal Aș vrea ca Postfix să nu răspundă nici măcar la secvența de comandă SMTP încercând să autentifice un utilizator de pe internet dar răspunde imediat negativ. Ar trebui să permită livrarea corespondenței către noi doar de pe internet. Există vreo modalitate de a configura asta?

35
0 + 0
anx avatar
drapel fr
anx
Deoarece întrebarea dvs. nu conține detaliile configurării VPN și dacă există și mesaje trimise din interiorul VPN-ului dvs., dar fără autentificare, răspunsul meu poate fi sau nu adecvat. Simțiți-vă liber să [editați] întrebarea dvs. pentru a adăuga exemple de linii de jurnal pentru a clarifica ce postfix se înregistrează atunci când un mesaj este trimis de unul dintre utilizatorii dvs. legitimi.
0
Răspunde
anx avatar
drapel fr
anx
Nu uitați că boții ar putea încerca și Dovecot IMAP, așa că verificați dacă Postfix nu este singurul loc în care doriți să refuzați serviciul celor din afară.
0
Răspunde
Puncte:2
anx avatar Server
drapel fr
anx

Dacă funcția de autentificare abuzată nu este necesară altfel, puteți configura Postfix pentru a nu expune acea caracteristică la internetul mai larg. Acest lucru se face de obicei prin editarea fișierelor main.cf și master.cf.

Mai întâi, citiți-vă jurnalele. eu gândi trimiterile dvs. de e-mail legitime se disting de primirea e-mailurilor prin internet Trei metode, astfel încât să vă puteți limita serviciul doar la asta. Verificați că:

  1. Ei se autentifică întotdeauna,
  2. folosesc întotdeauna porturi specifice dedicate trimiterii e-mailurilor,
  3. și se conectează întotdeauna prin VPN, nu prin adresa de internet.

Dacă este adevărat, vă puteți asigura cu ușurință că autentificarea este disponibilă numai pentru acel subset limitat de conexiuni:

Pasul 1: În maestru.cf, găsești serviciile unde dorești așadar trimiterea e-mailului autentificat și numai pentru cei care activează autentificarea.

De obicei, aveți doar unul sau două astfel de servicii, ușor de identificat din prima coloană: smtps, eventual în plus supunere.

Opțional, legați-l la adresa care nu este rutată public clienții dvs. în VPN văd serverul dvs. la (am folosit fd00:1337::1:5 în exemplul meu), dacă nu ar trebui să fie accesibile de pe internet.

# rândul de mai jos este locul în care adăugați adresa de rețea
fd00:1337::1:5:smtps inet n - n - - smtpd
 -o example_other=opțiune
 -o more_options=exemplu
 -o smtpd_sasl_auth_enable=da
# rând de mai sus este opțiunea pe care o adăugați. notați spațiul de conducere
# rândul de mai jos este locul în care adăugați adresa de rețea
fd00:1337::1:5:submission inet n - n - - smtpd
 -o example_other=opțiune
 -o more_options=exemplu
 -o smtpd_sasl_auth_enable=da
# rând de mai sus este opțiunea pe care o adăugați. notați spațiul de conducere

Deoarece acest lucru înseamnă că postfix nu poate lega corect porturile dacă este pornit înainte ca configurarea VPN să fi configurat IP-urile interne, aceasta poate însemna că trebuie să adăugați o dependență de serviciu (ar putea fi o singură linie, depinde de sistemul/distribuția dvs.). Nu ați terminat până nu ați verificat că noua configurație funcționează după o repornire.

Pasul 2: În principal.cf, tu autentificarea pentru toate instanțele smtpd
# defaltează
smtpd_sasl_auth_enable = nr

Acum, cu excepția serviciilor specifice pentru care este activat în mod explicit mai sus, postfix nu va anunța autentificarea compatibilă. Clienții care încearcă oricum vor fi refuzați serviciul prin postfix, lăsând backend-ul de autentificare nederanjat.

0 + 0
drapel gf
Waslap
Mulțumesc, nu sunt familiarizat cu adresa fd00:1337::1:5. Ai putea detalia?
0
Răspunde
anx avatar
drapel fr
anx
@Waslap Este un substituent. Ceea ce *bănuiesc* că configurația dvs. poate fi este că serverul dvs. de e-mail are un nume sau o adresă fixă ​​în rețeaua dvs. privată. Acest nume/adresă ar arăta probabil ca „mailserver.internal.example.org”, „fd:*”, „192.168.*” sau „10.*”. Dacă este adevărat, ai putea spune postfix să leagă acele servicii la un astfel de nume/adresă, făcând accesibilitatea exclusivă simplă și (pentru viitorii administratori) evidentă.
0
Răspunde
anx avatar
drapel fr
anx
@Waslap Dacă nu sunteți sigur de consecințele exacte ale persoanelor care se alătură la VPN, notați IP-ul la care văd clienții serverul (rezolvați orice nume este configurat în clientul lor de e-mail) și IP-ul la care serverul vede clienții (jurnal) .
0
Răspunde
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.