Fórum Root.cz
Hlavní témata => Server => Téma založeno: Jozef 20. 03. 2018, 13:21:52
-
Ahojte,
poradi mi niekto, prosim, techniku ako rozumne povedat mojmu Postfixu, aby rejectoval spravy _z vonka_, ktore maju MAIL FROM: <pouzivatel@domena.sk>, RCPT TO: <pouzivatel@domena.sk>?
Vsetko ostatne mi celkom funguje, ale tento typ SPAMu mi pije krv.
SPF aj DKIM mam, mozno by sa to dalo pouzit?
Dakujem.
Jozef
-
Já ti nevím, ale každý normální mailserver vyžaduje v tomhle případě přihlašování uživatele, takže "filtrovanie spoofnutých adries" není vůbec potřeba řešit.
-
Toto prihlasovanie minimalne v postfix-e neriesi ale musis mat nakonfigurovane check_sender_access
-
Toto prihlasovanie minimalne v postfix-e neriesi ale musis mat nakonfigurovane check_sender_access
Tohle reseni by me taky zajimalo, predpokladam, ze pro interni mailove systemy je pak bud zapotrebi povolit je pres ip rozsahy, nebo jim taktez nadefinovat mail ucet, pres ktery muzou opravnene posilat emaily.
Jinak co se tyce SPF, tak staci SPF (DMARC) nastavit tak, aby bylo mozne maily pod danou domenou odesilat pouze z daneho serveru a tuto politiku aplikovat bud pri prijimani zpravy na postfixu (jde to?) nebo pripadne na spamfiltru.
-
Já ti nevím, ale každý normální mailserver vyžaduje v tomhle případě přihlašování uživatele, takže "filtrovanie spoofnutých adries" není vůbec potřeba řešit.
Ano aj nie. Funguje to vtedy, ak sa jedna o pouzivatela (vola sa to spravne MUA - Mail User Agent?). Ale nie v pripade ineho SMTP servera. Ak ma niekto niekde Open Relay, nic nebrani komukolvek posielat postu z vymyslenych (aj spoofnutych) adries.
-
Toto prihlasovanie minimalne v postfix-e neriesi ale musis mat nakonfigurovane check_sender_access
Tohle reseni by me taky zajimalo, predpokladam, ze pro interni mailove systemy je pak bud zapotrebi povolit je pres ip rozsahy, nebo jim taktez nadefinovat mail ucet, pres ktery muzou opravnene posilat emaily.
Jinak co se tyce SPF, tak staci SPF (DMARC) nastavit tak, aby bylo mozne maily pod danou domenou odesilat pouze z daneho serveru a tuto politiku aplikovat bud pri prijimani zpravy na postfixu (jde to?) nebo pripadne na spamfiltru.
Skusil som pozriet na check_sender_access, a teoreticky by to mohlo fungovat. Bude to vsak asi potrebovat kaskadu pravidiel s DEFER_IF_PERMIT / DEFER_IF_REJECT. Za predpokladu, ze som Vietseho manual cital spravne. :-P
V kazdom pripade mi to nepride ako priamociare riesenie. Ja som popravde hladal nieco ako "check_DKIM/check_SPF" pravidlo v smtpd_sender_restrictions.
Ako to riesite vy?
Aby som bol presnejsi: SpamAssasin mi vsetky tie maily chyti a pekne uprace. Mam ale problem s par mailboxami, kde sa to cez virtual_mailbox_maps a virtual_alias_maps posiela dalej na Gmail. SpamAssasin tie spravy posiela dalej ako prilohu a Gmail (uplne regulerne a spravne) tie emaily chyti a ulozi do SPAMu. Vysledok je vsak to, ze Gmail sa naucil, ze dostava SPAM z tych spoofnutych adries a po case VSETKO z tej adresy ide do SPAMu, ci je to od SpamAssasina, alebo nie.
Mozem nejako upravit SpamAssasina, ale radsej by som to zabil este skor, ako sa to dostane k nemu. Preto Postfix.
Mate teda niekto SPF/DKIM kontrolu zapnutu v Postfixe, prosim? Ak ano, ako?
-
SPF kontroluju pomocí jednoduchého skriptu v Perlu https://launchpad.net/postfix-policyd-spf-perl/
A pro DKIM používám OpenDKIM ;)
-
Ak ma niekto niekde Open Relay...
... tak musí mať riadne v hlave nasraté.
-
...
Moznosti mas vic ...
a) pravidlo
header_checks = regexp:/etc/postfix/header_checks
#/^(From|Return-Path):.*(@domena\.cz)\>/
# reject forged sender address in $1: header: $2
b) spf - nastavis si do domeny SPF zaznam. Na postfixu nastavis kontrolu spf. Jelikoz SPF v pripade spoofnutych adres nebude sedet (protistrana neni opravnena za domenu odesilat) tak to tvuj mta hodi do kose.