主页 / server / 问题 / 688758
Accepted
Zulakis
Asked: 2015-05-06 06:14:26 +0800 CST

拒绝使用您自己的域作为发件人的传入电子邮件

  • 772

拒绝使用我的虚拟域之一作为发件人地址而不是我的合法用户的传入电子邮件会很好。

我知道我可以拒绝使用现有别名/帐户名的传入电子邮件,smtpd_sender_restrictions=reject_sender_login_mismatch但这仍然允许攻击者将不存在的电子邮件地址与我的一个虚拟域一起使用。(这在垃圾邮件检测方面受到青睐)。

拒绝使用我的虚拟域之一且未经身份验证的传入邮件的最佳方法是什么?

由于邮件列表和转发存在问题,SPF 和 DKIM 已设置但配置为 SoftFail。我不是在寻找 SPF 或 DKIM,而是针对作为上述域的 MX 的后缀服务器的解决方案。

email

4 个回答

  1. Best Answer

    我找到了两种可能的方法,但也许有更好的方法。

    第一种方法:

    smtpd_sender_restrictions =
    reject_sender_login_mismatch,
    permit_sasl_authenticated,
    permit

    现在我修改了 mysmtpd_sender_login_maps以返回域表中admin是否存在域的条目。这样会返回一条记录,即使电子邮件地址不作为 maibox/alias 存在,但当外部域是发件人地址时则不会。

    table = domain
query = SELECT username AS allowedUser FROM mailbox WHERE username="%s" AND deleted_at IS NULL \
UNION SELECT goto FROM alias WHERE address="%s" AND active = 1 \
UNION select 'admin' from domain where domain = '%d'

    方法二:

    check_sender_access如果域是虚拟域而用户不是,则此方法使用返回拒绝操作的查找sasl_authenticated

    smtpd_sender_restrictions =
    reject_sender_login_mismatch,
    permit_sasl_authenticated,
    check_sender_access proxy:mysql:$config_directory/mysql_reject_virtual_domains.cf,
    permit

    mysql_reject_virtual_domains.cf

    table = domain
query = select 'Reject 530 SMTP authentication is required' from domain where domain = '%d'

    第三种方法(感谢masegaloeh):

    smtpd_sender_restrictions =
    reject_sender_login_mismatch,
    permit_sasl_authenticated
    reject_unlisted_sender,
    permit

    我不知道有多少 cpu-load/SQL-queries reject_unlisted_sender生成,因为它检查了很多东西:

    请求 Postfix SMTP 服务器拒绝来自未知发件人地址的邮件,即使没有reject_unlisted_sender指定明确的访问限制。这可以减缓蠕虫或病毒伪造邮件的爆炸式增长。

    当一个地址匹配一个虚拟(5)别名或一个规范(5)映射时,它总是被认为是“已知的”。

    • 发件人域匹配 $mydestination、$inet_interfaces 或 $proxy_interfaces,但发件人未列在 $local_recipient_maps 中,并且 $local_recipient_maps 不为空。
    • 发件人域与 $virtual_alias_domains 匹配,但发件人未在 $virtual_alias_maps 中列出。
    • 发件人域与 $virtual_mailbox_domains 匹配,但发件人未在 $virtual_mailbox_maps 中列出,并且 $virtual_mailbox_maps 不为空。
    • 发件人域匹配 $relay_domains 但发件人未列在 $relay_recipient_maps 中,并且 $relay_recipient_maps 不为空。
    • 10

  2. 正确的方法是为您的域设置 SPF 并在 MTA 中启用 SPF。然后,您不仅可以为自己的域伪造获得保护,还可以为所有其他启用了 SPF 的域获得保护。

    • 1

  3. 您应该尝试至少实现以下一项(两者都更好):

    • 1

  4. 另一个没有联合的单独查询的第一种方法:

    virtual_sender_mailbox_maps.cf

query = SELECT '%s' AS email FROM domains WHERE name='%d' AND active=TRUE

main.cf

smtpd_sender_login_maps = ${proxysql}virtual_sender_mailbox_maps.cf
smtpd_sender_restrictions =
    reject_sender_login_mismatch,
    permit_sasl_authenticated,
    permit
    • 1

相关问题