Início / server / Perguntas / 1048500
Accepted
TommyPeanuts
Asked: 2021-01-05 05:04:25 +0800 CST

Postfix: Como malware e spam verificam usuários de autenticação SASL SMTP de saída?

  • 772

Embora eu tenha encontrado duas respostas para isso, não consigo descobrir como realmente implementá-las, e pelo menos uma delas não responde à pergunta. Então, se alguém tiver alguma experiência para compartilhar eu ficaria muito grato.

Eu tenho um servidor (Ubuntu 18.04) executando o Postfix. Eu já estou limitando a taxa de remetentes SASL usando postfwd, e usando e outras coisas para escanear e-mails de saída da máquina/rede local (por exemplo, de servidores web) usando o Amavis. Está tudo bem, e se parece com isso em main.cf:

smtpd_sender_restrictions =
    check_client_access cidr:/etc/postfix/internal_clients_filter,
    permit_mynetworks, 
    reject_unknown_sender_domain

e em master.cf

senderCheck  unix  -       n       n       -       15       spawn
  user=nobody argv=/opt/policyd/src/policyd.pl  max_idle=30 max_use=50 daemon_timeout=50

127.0.0.1:10025 inet    n    -    n    -    -    smtpd
    -o smtpd_recipient_restrictions=permit_mynetworks,reject
    -o smtpd_restriction_classes=
    -o smtpd_delay_reject=no
    -o smtpd_client_restrictions=
    -o smtpd_helo_restrictions=
    -o smtpd_sender_restrictions=
    -o mynetworks=127.0.0.0/8
    -o smtpd_data_restrictions=
    -o smtpd_end_of_data_restrictions=
    -o local_header_rewrite_clients=
    -o smtpd_error_sleep_time=0
    -o smtpd_soft_error_limit=1001
    -o smtpd_hard_error_limit=1000
    -o smtpd_client_connection_count_limit=0
    -o smtpd_client_connection_rate_limit=0
    -o smtpd_milters=
    -o local_recipient_maps=
    -o relay_recipient_maps=
    -o receive_override_options=no_header_body_checks,no_unknown_recipient_checks,no_address_mappings

Como faço para colocar remetentes SASL (que, por definição, não estão na minha rede) por meio de uma verificação de spam e malware da mesma forma que estou fazendo para remetentes locais?

spam postfix spamassassin sasl amavis

1 respostas

  1. Best Answer

    A resposta para isso, um tanto embaraçoso, foi que os usuários SASL-auth estavam sendo filtrados. No entanto, eu não havia especificado a syslog_namepara o ouvinte smtpd no master.cf, então não estava vendo evidências de que isso funcionasse em todo o ruído (os remetentes de autenticação SASL talvez sejam 1% de todo o tráfego no log).

    Então, como penitência, a seguir está uma descrição completa da minha configuração agora ligeiramente alterada, que passa tanto e-mails de saída (por exemplo, aplicativos da web na rede local) quanto contas autenticadas por SASL enviando e-mails de redes externas arbitrárias por meio de nosso servidor de e-mail.

    Usando o Ubuntu 18.04 com pacotes de ações, salvo indicação em contrário:

    Primeiramente, precisei adicionar o usuário clamav ao mesmo grupo do amavis:

    $ id clamav
uid=115(clamav) gid=115(clamav) groups=115(clamav),126(amavis)

    Alterações nos /etc/amavis/conf.darquivos:

    05-domain_id

    @local_domains_acl = ( ".$mydomain" );

# I've got multiple IP addresses on my machine and only want one to be used for mail:
@inet_acl = qw(127.0.0.1 [::1] 185.73.x.x [2001:ba8:0:x::x]);

    15-content_filter_mode : habilita a verificação de spam e antivírus

    20-debian_defaults : Defina e crie o diretório de quarentena (de propriedade de amavis user+group) e defina final_spam_destinycomoD_DISCARD

    40-policy_banks :

    $interface_policy{'10024'} = 'INTERNAL'; 
$policy_bank{'INTERNAL'} = {  # mail originating from clients in cidr:/etc/postfix/internal_clients_filter
  bypass_spam_checks_maps   => [0],  # spam-check outgoing mail 
  bypass_banned_checks_maps => [0],  # banned-check outgoing mail 
  bypass_header_checks_maps => [0],  # header-check outgoing mail  
  forward_method => 'smtp:[127.0.0.1]:10025', # relay to Postfix listener on port 10025
};

    Em Postfix main.cf :

    smtpd_sender_restrictions =
    check_client_access cidr:/etc/postfix/internal_clients_filter,
    permit_mynetworks, 
    reject_unknown_sender_domain

    /etc/postfix/internal_clients_filter :

    0.0.0.0/0 FILTER smtp:127.0.0.1:10024
::/0 FILTER smtp:[::1]:10024

    Em master.cf

    127.0.0.1:10025 inet    n    -    n    -    -    smtpd
    -o syslog_name=amavis-reentry
    -o smtpd_recipient_restrictions=permit_mynetworks,reject
    -o smtpd_restriction_classes=
    -o smtpd_delay_reject=no
    -o smtpd_client_restrictions=
    -o smtpd_helo_restrictions=
    -o smtpd_sender_restrictions=
    -o mynetworks=127.0.0.0/8
    -o smtpd_data_restrictions=
    -o smtpd_end_of_data_restrictions=
    -o local_header_rewrite_clients=
    -o smtpd_error_sleep_time=0
    -o smtpd_soft_error_limit=1001
    -o smtpd_hard_error_limit=1000
    -o smtpd_client_connection_count_limit=0
    -o smtpd_client_connection_rate_limit=0
    -o smtpd_milters=
    -o local_recipient_maps=
    -o relay_recipient_maps=
    -o receive_override_options=no_header_body_checks,no_unknown_recipient_checks,no_address_mappings

    Recarregue amavis e postfix para obter novas configurações. Procure por "amavis-reentry" em seus logs e você deverá ver os resultados da filtragem.

    • 0

relate perguntas