Re: Postfix: как защититься от подделывания From на адреса локального домена
On Fri, Nov 09, 2007 at 07:06:05PM +0200, Покотиленко Костик wrote:
> > На уровне MTA с этим лучше не бороться, т. к. сие может привести к
> > странностям в хождении почты. Можно подумать о добавлении заголовка по
> > факту прихода почты от knownuser@my.local.domain. Отбрасывание же такой
> > почты настойчиво не рекомендуется rfc2505. Технические детали в док-ии
> > на postfix надо читать (я счел также полезным, чтобы smtpd, принимающий
> > почту от хостов из внешнего мира срубал почту, адресованную uucp@, www@
> > и т. п. (поскольку их нету в домене), но тут надо крайне аккуратно с учетом
> > rfc2142).
>
> То есть вариантов тут нет? Если использовать такое правило:
>
> Если адрес отправителя принадлежит обслуживаемому домену, а отправитель
> не прошёл smtp авторизацию - REJECT.
>
> Только я не знаю как это на языке postfix'а написать, чтобы проверить.
>
> > > Клиенты домена отправляют письма с smtp auth (изнутри или снаружи).
> >
> > Если клиент smtp_authenticated, то добавление заголовка пропускать.
Вполне возможно, что я неверно понимаю смысл указаний в rfc2505, и,
соответственно, лучше посмотреть в него и подумать о своей политике
самому. По крайней мере при неправильной настройке MTA таким образом,
что он маршрутизирует почту на ваш домен через внешний хост (postfix
правда так настроить или скорее расстроить надо еще умудриться, с
sendmail такое вполне получается у новичков и получалось у меня) при
таком reject вы не увидите, что почта ходит через Ж.... или по крайней
мере увидите это менее отчетливо. Точно так же произойдет и с
расстроенным MUA на клиенте. Я бы не стал, но это ваш сервер (а я могу
быть и не прав)...
Насчет техники Вам уже ответили, по поводу добавления заголовка отличие
видимо в том, что вместо smtpd_sender_restrictions стоит использовать
smtpd_data_restrictions, а вместо reject - prepend <header>. Впрочем это
стоит уточнить в документации.
WBR
Dmitri Ivanov
Reply to: