система cvs-up нутая 4.7 FreeBsd (iso) до 5.0
Postfix 2.0.13
cyrus+mysql+sasl..
растроена авторизация по sasl
telnet domain.com 25
ehlo user@domain.name
--- skiped ---
Все окно! как только левый клиент коннектитцца
telnet domain.com 25
helo (some bred)
имеем
250 domain.name - все разрещено..он очень легко может отправить "левое" письмо от несуществующего юзвера либо от существующего..
копал вдоль и поперек, убрал всех из mynetworks кроме 127.0.0.0/8
не помогло..
нашел
smtpd_helo_restrictions = permit_mynetworks, reject_invalid_hostname
тоже пустота..кто может советом поделитцца?
конфиг main.cf
myhostname = domain.name
mynetworks = 127.0.0.0/8
maps_rbl_reject_code = 554
smtpd_recipient_restrictions = permit_sasl_authenticated, permit_mynetworks, reject_unauth_destination, reject_rbl_client list.dsbl.org, reject_rbl_client relays.ordb.org, reject_rbl_client dynablock.wirehub.net, reject_rbl_client blackholes.wirehub.net, reject_rbl_client dnsbl.njabl.org
transport_maps = mysql:/usr/local/etc/postfix/sql/transport.cf
virtual_mailbox_base = /var/mail/virtual
virtual_mailbox_maps = mysql:/usr/local/etc/postfix/sql/users.cf
virtual_alias_maps = mysql:/usr/local/etc/postfix/sql/aliases.cf
virtual_uid_maps = mysql:/usr/local/etc/postfix/sql/uids.cf
virtual_gid_maps = mysql:/usr/local/etc/postfix/sql/gids.cf
relay_domains = $transport_maps
local_recipient_maps = $virtual_mailbox_maps $virtual_maps $transport_maps
#### spam changed
smtpd_client_restrictions = permit_sasl_authenticated
smtpd_helo_restrictions = permit_mynetworks, reject_invalid_hostname
#### spam finished
smtpd_sender_restrictions = permit_sasl_authenticated
smtpd_sasl_auth_enable = yes
smtp_sasl_security_options = noanonymous
smtpd_sasl_local_domain = $myhostname
broken_sasl_auth_clients = yes
а так попробовать:
smtpd_helo_required = yes
strict_rfc821_envelope = yes
smtpd_helo_restrictions = permit_mynetworks,reject_unknown_hostname,reject_invalid_hostname,reject_non_fqdn_hostname
>а так попробовать:
>smtpd_helo_required = yes
>strict_rfc821_envelope = yes
>smtpd_helo_restrictions = permit_mynetworks,reject_unknown_hostname,reject_invalid_hostname,reject_non_fqdn_hostname
не помогло.. все так же пропускает 8(
>>а так попробовать:
>>smtpd_helo_required = yes
>>strict_rfc821_envelope = yes
>>smtpd_helo_restrictions = permit_mynetworks,reject_unknown_hostname,reject_invalid_hostname,reject_non_fqdn_hostname
>
>
>не помогло.. все так же пропускает 8(
тогда делай smtp аутентификацию или может эт опоможет:
# The smtpd_sender_restrictions parameter specifies optional restrictions
# on sender addresses that SMTP clients can send in MAIL FROM commands.
#
# The default is to permit any sender address. The following
# restrictions are available:
#
# permit_mynetworks: permit if the client address matches $mynetworks.
# reject_unknown_client: reject the request if the client hostname is unknown.
# reject_maps_rbl: reject if the client is listed under $maps_rbl_domains.
# reject_invalid_hostname: reject HELO hostname with bad syntax.
# reject_unknown_hostname: reject HELO hostname without DNS A or MX record.
# reject_unknown_sender_domain: reject sender domain without A or MX record.
# check_sender_access maptype:mapname
# maptype:mapname: look up sender address, parent domain, or localpart@.
# Reject if result is REJECT or "[45]xx text"
# Permit otherwise.
# check_client_access maptype:mapname: see smtpd_client_restrictions.
# check_helo_access maptype:mapname: see smtpd_helo_restrictions.
# reject_non_fqdn_hostname: reject HELO hostname that is not in FQDN form
# reject_non_fqdn_sender: reject sender address that is not in FQDN form
# reject: reject the request. Place this at the end of a restriction.
# permit: permit the request. Place this at the end of a restriction.
#
# Restrictions are applied in the order as specified; the first
# restriction that matches wins.
#
# Specify a list of restrictions, separated by commas and/or whitespace.
# Continue long lines by starting the next line with whitespace.
mynetworks=
я бы указал еще свою сеть всетаки..
>mynetworks=
>я бы указал еще свою сеть всетаки..Да я все убрал на период тестирования, конечно ж все вернул назад
Громадное спасибо, вылечилось так:
smtpd_sender_restrictions = permit_sasl_authenticated, permit_mynetworks, reject
>smtpd_sender_restrictions = permit_sasl_authenticated, permit_mynetworks, rejectРано бил в фанфары - письма теперь вообще режектятся от всех сетей кроме описанных..
может еще кто дельное знает? как у народа на sendmail, qmail, exim'e пашет нечто подобное?
>>smtpd_sender_restrictions = permit_sasl_authenticated, permit_mynetworks, reject
>
>Рано бил в фанфары - письма теперь вообще режектятся от всех сетей
>кроме описанных..
>
>может еще кто дельное знает? как у народа на sendmail, qmail, exim'e
>пашет нечто подобное?SecuritySage example:
http://www.securitysage.com/files/main.cf
# The smtpd_sender_restrictions parameter specifies optional restrictions
# on sender addresses that SMTP clients can send in MAIL FROM commands.
# reject_invalid_hostname: reject HELO hostname with bad syntax.
# reject_unknown_hostname: reject HELO hostname without DNS A or MX record.
# reject_unknown_sender_domain: reject sender domain without A or MX record.
# check_client_access maptype:mapname: see smtpd_client_restrictions.
# check_helo_access maptype:mapname: see smtpd_helo_restrictions.
# reject_non_fqdn_hostname: reject HELO hostname that is not in FQDN form
# reject_non_fqdn_sender: reject sender address that is not in FQDN formну, и так далее, в зависимости от задачи. А что конкретно не устраивает?