主页 / server / 问题 / 1147045
Accepted
HippoMan
Asked: 2023-11-02 09:53:15 +0800 CST

DKIM *似乎*被用作开放中继。这可能吗?

  • 772

我正在使用 opendkim 运行 postfix。我的 opendkim milter 在端口 10029 上运行。 更正:我的 opendkim milter 在 unix 套接字上运行,并且在端口 10029 上设置了 DKIM 内容过滤器。

就在今天,我开始在我的 postfix 日志中看到这样的消息......

2023.11.01 21:29:40 hippo postfix/smtp[29756]: EBBA428F83B: to=<[email protected]>, relay=127.0.0.1[127.0.0.1]:10029, delay=0.94, delays=0.78/0.01/0.04/0.11, dsn=2.0.0, status=sent (250 2.0.0 Ok: queued as B71ED28F83C)

看来有些人已经弄清楚如何使用我的 opendkim milter 作为开放中继。或者我是否以某种方式误解了此日志消息?

我的postfix服务器本身不是开放中继,smtp只能通过身份验证发起。

如果我正确地猜测 opendkim 被用作开放中继,那么这是一个已知问题吗?或者,如果我完全误解了发生的事情,任何人都可以帮助我理解这些看似转发的消息实际上发生了什么吗?

非常感谢。

更新:是否有人发现 10029 是一个开放端口,并且有可能滥用 DKIM 的侦听端口来转发电子邮件?

如果是这样,我是否只需要执行以下操作才能仅启用从本地主机访问端口 10029?...

iptables -I INPUT -p tcp --dport 10029 -j DROP
iptables -I INPUT -s 127.0.0.1 -p tcp --dport 10029 -j ACCEPT
postfix

1 个回答

  1. Best Answer

    事实证明 iptables 修复确实纠正了我的问题,尽管我最初以错误的顺序发布了命令。应该是这样的...

    iptables -I INPUT -s 127.0.0.1 -p tcp --dport 10029 -j ACCEPT
iptables -I INPUT -p tcp --dport 10029 -j DROP

    但我需要解决的更基本的问题如下:

    很久以前我从 切换DKIMproxyopendkim.

    我的 milter 设置已经正确使用 unix 套接字进行连接,但是我忘记删除引用opendkim中的一些旧的遗留代码,如下所示:master.cfDKIMproxy

    smtp.name-of-my-host.net:submission inet n       -       y       -       MAXPROC       smtpd
  -o smtpd_sasl_auth_enable=yes
  -o smtpd_client_restrictions=permit_sasl_authenticated,reject
  -o smtpd_etrn_restrictions=reject
  -o receive_override_options=no_address_mappings
  -o smtpd_client_connection_count_limit=CONNLIMIT
  -o syslog_name=postfix/submission
  -o smtpd_recipient_restrictions=
  -o smtpd_reject_unlisted_recipient=no
  -o smtpd_relay_restrictions=permit_sasl_authenticated,reject
######## Code to delete starts here ########
  -o content_filter=dksign:[127.0.0.1]:10029
# dkim (listening on 10029, sends to 10030)
dksign    unix  -       -       n       -       5       smtp
  -o smtp_send_xforward_command=yes
  -o smtp_discard_ehlo_keywords=8bitmime,starttls
127.0.0.1:10030 inet  n  -      y       -       10      smtpd
  -o content_filter=
  -o receive_override_options=no_unknown_recipient_checks,no_header_body_checks
  -o smtpd_helo_restrictions=
  -o smtpd_client_restrictions=
  -o smtpd_sender_restrictions=
  -o smtpd_recipient_restrictions=permit_mynetworks,reject
  -o mynetworks=127.0.0.0/8
  -o smtpd_authorized_xforward_hosts=127.0.0.0/8
######## End of code to delete ########

    我所需要做的就是删除从该行-o content_filter=dksign:[127.0.0.1]:10029到列出的代码块末尾的所有内容,问题就消失了。

    当然,在那之后,我不再需要这些iptables命令了。

    我直到现在才发现这个问题的原因可能是最近有人发现了很久以前就存在的开放的 10029 端口。

    • 0

相关问题