У меня возникли проблемы с защитой моего MX (Exim).
На данный момент любой, кто подключается к моему почтовому серверу через порт 25, может просто отправить электронное письмо. Я пытаюсь выяснить, как разрешить исходящий трафик только от пользователей, прошедших проверку подлинности.
dc_eximconfig_configtype='Интернет'
dc_other_hostnames='<здесь список доменов>'
dc_local_interfaces='[127.0.0.1]:25; [127.0.0.1]:587; [<ip>]:25; [<ip>]:587'
dc_readhost=''
dc_relay_domains=''
dc_minimaldns = 'истина'
dc_relay_nets='<список разрешенных IP-адресов>'
dc_smarthost=''
CFILEMODE='644'
dc_use_split_config = 'истина'
dc_hide_mailname = 'истина'
dc_mailname_in_oh = 'истина'
dc_localdelivery = 'maildir_home'
По телнету
220 <domain.com> ESMTP Exim 4.94.2 Пт, 21 января 2022 г. 22:03:10 +0000
привет аааа
250-<domain.com> Привет, аааа [ip]
250-РАЗМЕР 52428800
250-8БИТИМИМ
250-ТРУБОПРОВОД
250-PIPE_CONNECT
250-AUTH PLAIN NTLM ВХОД
250-РАЗБИВКА
250-STARTTLS
250-ПРДР
250 ПОМОЩЬ
Оттуда я могу просто использовать любые поддельные данные, чтобы отправить электронное письмо.Я пробовал играть с ACL в соответствии с различными потоками SO, но что бы я ни делал, он либо отключает все исходящие письма, либо пользователи, не прошедшие проверку подлинности, не затрагиваются.
PS Я должен добавить, что я «пытаюсь» использовать механизм аутентификации dovecot.
dovecot_plain:
водитель = голубятня
public_name = ОБЫЧНЫЙ
server_socket = /var/run/dovecot/auth-client
server_set_id = $ авторизация1
dovecot_ntlm:
водитель = голубятня
общественное_имя = NTLM
server_socket = /var/run/dovecot/auth-client
server_set_id = $ авторизация1
dovecot_логин:
водитель = голубятня
public_name = ВХОД
server_socket = /var/run/dovecot/auth-client
server_set_id = $ авторизация1
И у меня есть соответствующий конфиг в dovecot
авторизация службы {
группа = почта
unix_listener авторизация-клиент {
группа = Debian-exim
режим = 0660
пользователь = Debian-exim
}
unix_listener авторизация-мастер {
группа = почта
режим = 0664
пользователь = почта
}
}
