Ravexina's questions

Estou executando um servidor de e-mail Postfix configurado com Amavis para escanear e-mails em busca de vírus. Depois que o Amavis processa o e-mail, ele o envia de volta para o Postfix em um ouvinte dedicado na porta 10025para entrega final. No entanto, essa configuração está fazendo com que o Postfix adicione um Receivedcabeçalho extra que não consigo suprimir. Esse Receivedcabeçalho adicional parece ser gerado pelo ouvinte do Postfix em 127.0.0.1:10025.

Aqui está minha configuração:

Sufixo main.cf:

content_filter = smtp-amavis:[127.0.0.1]:10024
smtpd_proxy_options = speed_adjust

Sufixo master.cf:

smtp-amavis   unix   -   -   n   -   2   smtp
  -o syslog_name=postfix/amavis
  -o smtp_data_done_timeout=1200
  -o smtp_send_xforward_command=yes
  -o disable_dns_lookups=yes
  -o max_use=20
  -o smtp_tls_security_level=none

127.0.0.1:10025   inet   n    -     n     -     -    smtpd
  -o syslog_name=postfix/10025
  -o content_filter=
  -o mynetworks_style=host
  -o mynetworks=127.0.0.0/8
  -o local_recipient_maps=
  -o relay_recipient_maps=
  -o strict_rfc821_envelopes=yes
  -o smtp_tls_security_level=none
  -o smtpd_tls_security_level=none
  -o smtpd_received_header=no
  -o smtpd_restriction_classes=
  -o smtpd_delay_reject=no
  -o smtpd_client_restrictions=permit_mynetworks,reject
  -o smtpd_helo_restrictions=
  -o smtpd_sender_restrictions=
  -o smtpd_recipient_restrictions=permit_mynetworks,reject
  -o smtpd_end_of_data_restrictions=
  -o smtpd_error_sleep_time=0
  -o smtpd_soft_error_limit=1001
  -o smtpd_hard_error_limit=1000
  -o smtpd_client_connection_count_limit=0
  -o smtpd_client_connection_rate_limit=0
  -o smtpd_milters=
  -o receive_override_options=no_header_body_checks,no_unknown_recipient_checks,no_address_mappings

Problema:

Após o processamento do e-mail, o Postfix adiciona este Receivedcabeçalho extra:

Received: from localhost (mx.domain.com [127.0.0.1])
    by mx.domain.com (Postfix) with ESMTP id R69B85E11;
    Fri,  8 Nov 2024 23:00:07 +0400 (+0400)

Consegui remover o Receivedcabeçalho gerado pelo Amavis usando esta configuração em /etc/amavis/conf.d/50-user:

$allowed_added_header_fields{lc('Received')} = 0;

Entretanto, o cabeçalho gerado pelo Postfix no 10025listener persiste e não encontrei uma maneira de impedir que ele seja adicionado.

• Tentei adicionar header_checks e smtpd_header_checks; eles podem remover o cabeçalho Received original, mas não o último adicionado na porta 10025.
• Também tentei adicionar um serviço de limpeza diretamente vinculado ao 10025 em master.cf, mas sem sucesso.

Como posso configurar o Postfix para evitar que esse Receivedcabeçalho extra seja adicionado no 127.0.0.1:10025listener? Há alguma configuração específica que eu tenha esquecido ou há outra maneira de suprimir esse cabeçalho do Postfix?

Habilitei o SSL no meu banco de dados PostgreSQL e o apliquei usando pg_hba.confa seguinte linha:

hostssl all all 0.0.0.0/0 md5

A partir dos logs de conexão do PostgreSQL e do tráfego de rede capturado via tcpdump, parece que conexões SSL estão sendo feitas:

2024-10-20 10:12:16.140 UTC [63] LOG:  connection authenticated: identity="user" method=md5 (/etc/postgresql/pg_hba.conf:136)
2024-10-20 10:12:16.140 UTC [63] LOG:  connection authorized: user=user database=db SSL enabled (protocol=TLSv1.3, cipher=TLS_AES_256_GCM_SHA384, bits=256)

No entanto, como o Dovecot e o PostgreSQL estão sendo executados em máquinas diferentes e o certificado e sua CA não são confiáveis ​​na máquina dovecot, eu esperava que o Dovecot, que se conecta ao PostgreSQL, sinalizasse um problema com o certificado autoassinado, mas não há reclamações. Isso me leva a acreditar que o certificado não está sendo validado corretamente, tornando a conexão vulnerável a ataques como MITM (Man-in-the-Middle).

Há alguma configuração extra ou etapa que estou esquecendo para impor a validação do certificado? Como posso garantir que as conexões sejam seguras e que o certificado esteja sendo validado corretamente?