Início / server / Perguntas / 1147045
Accepted
HippoMan
Asked: 2023-11-02 09:53:15 +0800 CST

DKIM *parece* ser usado como um relé aberto. Isso é possível?

  • 772

Estou executando o postfix com opendkim. Meu opendkim milter está rodando na porta 10029. CORREÇÃO : Meu opendkim milter está rodando em um soquete unix e há um filtro de conteúdo DKIM configurado na porta 10029.

Ainda hoje comecei a ver mensagens como esta aparecendo no meu log do postfix...

2023.11.01 21:29:40 hippo postfix/smtp[29756]: EBBA428F83B: to=<[email protected]>, relay=127.0.0.1[127.0.0.1]:10029, delay=0.94, delays=0.78/0.01/0.04/0.11, dsn=2.0.0, status=sent (250 2.0.0 Ok: queued as B71ED28F83C)

Parece que algumas pessoas descobriram como usar meu opendkim milter como um relé aberto. Ou estou de alguma forma interpretando mal esta mensagem de log?

Meu servidor postfix em si não é um retransmissor aberto e o smtp só pode ser iniciado por meio de autenticação.

Se estou correto ao adivinhar que o opendkim está sendo usado como um relé aberto, isso é um problema conhecido? Ou se estou entendendo mal o que está acontecendo, alguém pode me ajudar a entender o que realmente está acontecendo com essas mensagens aparentemente retransmitidas?

Muito obrigado.

ATUALIZAÇÃO : Será que alguém descobriu que 10029 é uma porta aberta e que é possível usar indevidamente a porta de escuta do DKIM para retransmitir e-mails?

Em caso afirmativo, preciso simplesmente fazer o seguinte para ativar apenas o acesso à porta 10029 do host local? ...

iptables -I INPUT -p tcp --dport 10029 -j DROP
iptables -I INPUT -s 127.0.0.1 -p tcp --dport 10029 -j ACCEPT
postfix

1 respostas

  1. Best Answer

    Acontece que a correção do iptables realmente corrigiu meu problema, embora eu tenha postado originalmente os comandos na ordem errada. Deveria ser assim...

    iptables -I INPUT -s 127.0.0.1 -p tcp --dport 10029 -j ACCEPT
iptables -I INPUT -p tcp --dport 10029 -j DROP

    Mas o problema mais básico que eu precisava resolver era o seguinte:

    Há muito tempo mudei de DKIMproxypara opendkim.

    Minha configuração do milter já está usando corretamente um soquete unix para opendkimconectividade, mas havia algum código antigo que sobrou nessas master.cfreferências DKIMproxyque esqueci de excluir, como segue:

    smtp.name-of-my-host.net:submission inet n       -       y       -       MAXPROC       smtpd
  -o smtpd_sasl_auth_enable=yes
  -o smtpd_client_restrictions=permit_sasl_authenticated,reject
  -o smtpd_etrn_restrictions=reject
  -o receive_override_options=no_address_mappings
  -o smtpd_client_connection_count_limit=CONNLIMIT
  -o syslog_name=postfix/submission
  -o smtpd_recipient_restrictions=
  -o smtpd_reject_unlisted_recipient=no
  -o smtpd_relay_restrictions=permit_sasl_authenticated,reject
######## Code to delete starts here ########
  -o content_filter=dksign:[127.0.0.1]:10029
# dkim (listening on 10029, sends to 10030)
dksign    unix  -       -       n       -       5       smtp
  -o smtp_send_xforward_command=yes
  -o smtp_discard_ehlo_keywords=8bitmime,starttls
127.0.0.1:10030 inet  n  -      y       -       10      smtpd
  -o content_filter=
  -o receive_override_options=no_unknown_recipient_checks,no_header_body_checks
  -o smtpd_helo_restrictions=
  -o smtpd_client_restrictions=
  -o smtpd_sender_restrictions=
  -o smtpd_recipient_restrictions=permit_mynetworks,reject
  -o mynetworks=127.0.0.0/8
  -o smtpd_authorized_xforward_hosts=127.0.0.0/8
######## End of code to delete ########

    Tudo o que precisei fazer foi excluir tudo, desde a -o content_filter=dksign:[127.0.0.1]:10029linha até o final do bloco de código listado, e o problema desapareceu.

    E, claro, depois disso, não preciso iptablesmais dos comandos.

    A razão pela qual nunca vi esse problema até agora é provavelmente porque alguém deve ter descoberto recentemente a porta 10029 aberta que estava disponível há muito tempo.

    • 0

relate perguntas