Rejeitar e-mails recebidos que usam seu próprio domínio como remetente

Eu encontrei dois métodos possíveis, mas talvez haja uma maneira melhor.

1º método:

smtpd_sender_restrictions =
    reject_sender_login_mismatch,
    permit_sasl_authenticated,
    permit

Agora eu modifiquei meu smtpd_sender_login_mapspara retornar uma entrada de adminse o domínio existe na tabela de domínios. Desta forma, um registro é retornado, mesmo quando o endereço de e-mail não existe como maibox/alias, mas não quando um domínio estrangeiro é o endereço de origem.

table = domain
query = SELECT username AS allowedUser FROM mailbox WHERE username="%s" AND deleted_at IS NULL \
UNION SELECT goto FROM alias WHERE address="%s" AND active = 1 \
UNION select 'admin' from domain where domain = '%d'

2º método:

Essa abordagem usa uma check_sender_accesspesquisa que retorna uma ação de rejeição se o domínio for virtual e o usuário não sasl_authenticated.

smtpd_sender_restrictions =
    reject_sender_login_mismatch,
    permit_sasl_authenticated,
    check_sender_access proxy:mysql:$config_directory/mysql_reject_virtual_domains.cf,
    permit

mysql_reject_virtual_domains.cf:

table = domain
query = select 'Reject 530 SMTP authentication is required' from domain where domain = '%d'

3º método (graças a masegaloeh ):

smtpd_sender_restrictions =
    reject_sender_login_mismatch,
    permit_sasl_authenticated
    reject_unlisted_sender,
    permit

Não sei quantas cpu-load/SQL-queries rejeite_unlisted_sender gera, pois verifica muitas coisas:

Solicite que o servidor Postfix SMTP rejeite e-mails de endereços de remetentes desconhecidos, mesmo quando nenhuma reject_unlisted_senderrestrição de acesso explícita for especificada. Isso pode retardar uma explosão de e-mails forjados de worms ou vírus.

Um endereço é sempre considerado "conhecido" quando corresponde a um alias virtual(5) ou a um mapeamento canônico(5).

• O domínio do remetente corresponde a $mydestination, $inet_interfaces ou $proxy_interfaces, mas o remetente não está listado em $local_recipient_maps e $local_recipient_maps não é nulo.
• O domínio do remetente corresponde a $virtual_alias_domains, mas o remetente não está listado em $virtual_alias_maps.
• O domínio do remetente corresponde a $virtual_mailbox_domains, mas o remetente não está listado em $virtual_mailbox_maps e $virtual_mailbox_maps não é nulo.
• O domínio do remetente corresponde a $relay_domains, mas o remetente não está listado em $relay_recipient_maps e $relay_recipient_maps não é nulo.

A maneira certa é configurar o SPF para o seu domínio e habilitar o SPF no MTA. Assim, você obterá proteção não apenas para a falsificação de seu próprio domínio, mas também para todos os outros domínios com SPF ativado.

Você deve tentar implementar pelo menos um dos seguintes (ambos são melhores):

• SPF: visão geral do projeto
• Correio identificado por DomainKeys (DKIM)

Ainda outro 1º método com consulta separada sem uniões:

virtual_sender_mailbox_maps.cf

query = SELECT '%s' AS email FROM domains WHERE name='%d' AND active=TRUE

main.cf

smtpd_sender_login_maps = ${proxysql}virtual_sender_mailbox_maps.cf
smtpd_sender_restrictions =
    reject_sender_login_mismatch,
    permit_sasl_authenticated,
    permit