Рейтинг:0

Аутентификация Postfix bar из интернета

флаг gf

У меня есть сервер электронной почты Postfix, который должен позволять внутренним пользователям отправлять и получать почту через него.

отправка должна происходить только тогда, когда пользователю удается установить VPN-соединение, которое предоставляет ему/ей немаршрутизируемый IP-адрес в моей локальной сети.. Отправка из Интернета не должна быть разрешена.

На данный момент я столкнулся с ситуацией, когда злоумышленники пытаются пройти аутентификацию из Интернета, пытаясь получить доступ к учетной записи электронной почты, которая, предположительно, позволит им отправлять гнусную почту с взломанной учетной записи. Что происходит сейчас, так это то, что когда они угадывают учетную запись пользователя, которая существует, они пытаются взломать ее. Моя аутентификация в Postfix передана на аутсорсинг dovecot, который, в свою очередь, связывается с IPA. Что происходит сейчас, так это то, что IPA временно блокирует указанного пользователя после каждых стольких неудачных атак грубой силы, вызывающих отказ в обслуживании реального пользователя с этим именем.

в идеале Я бы хотел, чтобы Postfix даже не отвечал на последовательность команд SMTP, пытающуюся аутентифицировать пользователя из Интернета. но сразу отвечаю отрицательно. Он должен разрешать доставку почты нам только из Интернета. Есть ли способ настроить это?

anx avatar
флаг fr
anx
Поскольку ваш вопрос не содержит специфики вашей настройки VPN и того, есть ли сообщения, отправленные из вашей VPN, но без аутентификации, мой ответ может быть или не быть подходящим. Не стесняйтесь [редактировать] свой вопрос, чтобы добавить примеры строк журнала, чтобы уточнить, что постфикс регистрирует, когда сообщение отправляется одним из ваших законных пользователей.
anx avatar
флаг fr
anx
Не забывайте, что боты также могут попробовать IMAP Dovecot, поэтому проверьте, не является ли Postfix единственным местом, где вы хотите отказать в обслуживании посторонним.
Рейтинг:2
флаг fr
anx

Если в противном случае злоупотребляющая функция аутентификации не нужна, вы можете настроить Postfix так, чтобы эта функция не была доступна в Интернете. Обычно это делается путем редактирования файлов main.cf и master.cf.

Во-первых, прочитайте свои журналы. я считать ваши законные почтовые отправления отличимы от получения электронной почты через Интернет через три методы, так что вы можете ограничить свой сервис только этим. Подтвердите это:

  1. Они всегда подтверждают подлинность,
  2. они всегда используют определенные порты, предназначенные для отправки почты,
  3. и они всегда подключаются через VPN, а не через интернет-адрес.

Если это так, вы можете легко убедиться, что аутентификация доступна только для этого ограниченного подмножества соединений:

Шаг 1: В master.cf, вы найдете службы, где вам так нужна аутентифицированная отправка почты и только для тех, кто включает аутентификацию.

Как правило, у вас есть только один или два таких сервиса, которые легко идентифицировать из первого столбца: smtps, возможно дополнительно подчинение.

При желании привяжите его к непублично маршрутизируемому адресу, на котором ваши клиенты в VPN видят ваш сервер (я использовал фд00:1337::1:5 в моем примере), если они не должны быть доступны из Интернета.

# строка ниже - это место, где вы добавляете сетевой адрес
fd00:1337::1:5:smtps инет n - n - - smtpd
 -o example_other=опция
 -o more_options=пример
 -o smtpd_sasl_auth_enable=да
# строка выше — это опция, которую вы добавляете. обратите внимание на начальный пробел
# строка ниже - это место, где вы добавляете сетевой адрес
fd00:1337::1:5:отправка inet n - n - - smtpd
 -o example_other=опция
 -o more_options=пример
 -o smtpd_sasl_auth_enable=да
# строка выше — это опция, которую вы добавляете. обратите внимание на начальный пробел

Поскольку это означает, что постфикс не может правильно связать порты, если он запущен до того, как ваша настройка VPN настроила внутренние IP-адреса, это может означать, что вам нужно добавить зависимость службы (может быть однострочной, зависит от вашей системы/дистрибутива). Вы не закончите, пока не убедитесь, что ваша новая конфигурация работает после перезагрузки.

Шаг 2: В main.cf, ты включить аутентификацию для всех экземпляров smtpd
# по умолчанию отключено
smtpd_sasl_auth_enable = нет

Теперь, за исключением конкретных служб, для которых он явно включен выше, postfix не будет объявлять о поддержке аутентификации. Клиентам, которые попытаются в любом случае, будет отказано в обслуживании постфиксом, оставив ваш сервер аутентификации нетронутым.

флаг gf
Спасибо, я не знаком с адресацией fd00:1337::1:5. Не могли бы вы уточнить?
anx avatar
флаг fr
anx
@Waslap Это заполнитель. Я *подозреваю*, что ваша установка может заключаться в том, что ваш почтовый сервер имеет фиксированное имя или адрес в вашей частной сети. Это имя/адрес, скорее всего, будет выглядеть как `mailserver.internal.example.org`, `fd:*`, `192.168.*` или `10.*`. Если это правда, вы можете указать postfix привязать эти службы к такому имени/адресу, что сделает их эксклюзивный доступ простым и (для будущих администраторов) очевидным.
anx avatar
флаг fr
anx
@Waslap Если вы не уверены в точных последствиях присоединения людей к VPN, запишите IP-адрес, на котором клиенты видят сервер (разрешите любое имя, настроенное в их почтовом клиенте), и IP-адрес, на котором сервер видит клиентов (журналы) .

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.