作者 主題: 有關Sendmail的SMTP認證,很少人提及的問題!!!  (閱讀 20428 次)

0 會員 與 1 訪客 正在閱讀本文。

kenduest

  • 酷!學園 學長們
  • 俺是博士!
  • *****
  • 文章數: 3675
    • 檢視個人資料
    • http://kenduest.sayya.org
刚见此文.  确实默认  A  发给 B  时候  A可以不要验证  同时导致了C可以冒充A发给B 

想想現實生活中,你有沒有機會收到一封真實的信件,但是信件寄件人確是你自己這種情況,但是卻是他人冒充的。若是有你怎樣防止,謝謝。

--
« 上次編輯: 2008-02-19 21:17 由 kenduest »
I am kenduest - 小州

my website: http://kenduest.sayya.org/

dexter

  • 懷疑的國中生
  • **
  • 文章數: 31
    • 檢視個人資料
好像默認的也帶本地帳號的論證的啊,我的就可以的,不存在的帳號發送時就有提示說帳號不存在。
像這樣:

無法傳送郵件,因為某位收件者被伺服器拒絕。被拒絕的電子郵件地址是 '123456789@test.com"。 主旨 'aa', 帳戶: 'test', 伺服器: 'mail.test.com', 通訊協定: SMTP, 伺服器回應: '550 5.1.1 <123456789@test.com>... User unknown', 連接埠: 25, 安全(SSL): 否, 伺服器錯誤: 550, 錯誤碼: 0x800CCC79

timxn

  • 懷疑的國中生
  • **
  • 文章數: 72
    • 檢視個人資料
    • 睿碼資訊
假冒使用者email address,是可以擋掉的。這一類算是通信行為的判斷
但必須由MTA來判斷。
1 凡經過認證都會有id
2 信件來源ip

規則:
凡對方來源IP為internet的IP,未經過認證,且mail from:的email address的domain為自己的domain,REJECT
如對方來源IP為內部IP,這就要設計對映檔資料庫了,如你允許內部IP relay沒有經過證認,那就不好做了。

至少可以擋掉來自外internet的信件。

使用sendmail來寫ruleset可以做到。(IPv4的設計)

1.設計localip資料庫
# makemap -u hash /etc/mail/db/localip.db
172.17.
172.19.
172.20.
172.22.
172.24.
172.26.
172.28.
172.31.
127.0.0.1
10.
172.16.
172.18.
172.21.
172.23.
172.25.
172.27.
172.29.
172.30.
192.168.

2.設計規則集,將以下設定於sendmail.mc之後:
LOCAL_CONFIG
Ksyslog syslog
Klocalip hash -m -a% /etc/mail/db/localip
HFrom: $>Local_check_mail
LOCAL_RULESETS
SLocal_check_mail
R$*<$+>$*               $: $2
R$+@$=w                 $: $| $1 @ $2 $|
R$+@$=R                 $: $| $1 @ $2 $|
R$+@domain.com          $: $| $1 @ domain.com $|
R$|$+$|                 $: $| $1 $| $&{auth_authen} $|
R$|$+$|$|               $: $| $1 $| $|  $> check_localip
R$*                     $: $(syslog From test:$1 $) $1
R$|$+$|$|no             $#error $@ 5.7.1 $:fake email
R$|$&{auth_authen}@$+$|$+$|     $@ ok
R$|$+$|$+$|                     $#error $@ 5.7.1 $:email address not match auth id($2)

Scheck_localip
R$*                             $: $| $&{client_addr} $|
R$|$*$|                         $: $(localip $1 $:? $) $| $&{client_addr} $|
R?$|$-.$-.$-.$-$|               $: $(localip $1.$2.$3. $:? $) $| $&{client_addr} $|
R?$|$-.$-.$-.$-$|               $: $(localip $1.$2. $:? $) $| $&{client_addr} $|
R?$|$-.$-.$-.$-$|               $: $(localip $1. $:? $) $| $&{client_addr} $|
R$+%$|$-.$-.$-.$-$|             $@ yes
R$*                             $@ no

$=w 為本機收信domain
$=R 為/etc/mail/relay-domains
domain.com為hot code
自行決定要如何設定那些domain
如認證id=username才可以寄件,有些人設定是不同的,自行參考下2行
R$|$&{auth_authen}@$+$|$+$|     $@ ok
R$|$+$|$+$|                     $#error $@ 5.7.1 $:email address not match auth id($2)
« 上次編輯: 2008-02-27 08:30 由 timxn »

twu2

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 5396
  • 性別: 男
    • 檢視個人資料
    • http://blog.teatime.com.tw/1
除非 email 只可能會在內部使用, 否則後續的問題很難解決.
1. 外頭的網路不一定能用 vpn 連回內部.
2. 外頭的網路不一定能連回公司的 smtpd.
3. push mail 系統一定是由外頭寄回來的.

會用到這些的, 通常也是公司的大頭, 除非這些大頭們可以接受這些限制 (應該很難), 否則還是想別的方法吧.

其實, 怕盜發, 用 PGP 不就解決了嗎?

yufeng

  • 懷疑的國中生
  • **
  • 文章數: 86
    • 檢視個人資料
這種問題, 有辦法解決!!

我使用 Sendmail + Mimedefang

1. 定義清楚自己公司的 IP 網段位址, 只要不是自己公司的 IP 範圍內而使用公司 Domain 寄信的, 一律退回拒收.

2. 開放 Webmail, 凡出差在外要寄信回公司的, 一律連回公司使用 Webmail.

3. 完成~

JackYang78

  • 榮譽博士
  • 俺是博士!
  • *****
  • 文章數: 2672
    • 檢視個人資料
那..... 若有老總喜歡使用 OE .. 直接在  Hinet 發信,要帶自己的 Domain 有解呼 ??
Networking & Communication Security SE

twu2

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 5396
  • 性別: 男
    • 檢視個人資料
    • http://blog.teatime.com.tw/1
解決方法大同小異吧, 都是建立在只能用你所允許的方法來寄信這個前提下.
不過... 這不能解決公司大頭們的需求, 如果上頭所說, 你的老闆能接受這樣的作法嗎? 如果可以, 當然就沒問題.
如果不行... 那麼, 把大頭排除在外嗎? 那似乎與原需求不符吧, 原本不就是怕別人假冒大頭名義發信嗎?

現在 blackberry 紅的很, 我們今年多數主管被強迫使用這玩意 (可能愈來愈多公司會這麼做吧.... 幾乎等於 24 小時隨時都要收發 email 了...), 這時... 他們透過 blackberry 系統發送的 email 怎麼辦呢? 假定所有經由 blackberry 進來的都是對的嗎?

真的怕信件仿冒的話, 請大頭們, 每個人都申請一個 PGP key, 這樣不就解決了嗎?

yufeng

  • 懷疑的國中生
  • **
  • 文章數: 86
    • 檢視個人資料
>> 那..... 若有老總喜歡使用 OE .. 直接在  Hinet 發信,要帶自己的 Domain 有解呼 ??

目前我個人想不到有解, 要教育老總, 說明影響~

>> 現在 blackberry 紅的很, 我們今年多數主管被強迫使用這玩意 (可能愈來愈多公司會這麼做吧.... 幾乎等於 24 小時隨時都要收發 email 了...), 這時... 他們透過 blackberry 系統發送的 email 怎麼辦呢? 假定所有經由 blackberry 進來的都是對的嗎?

Push Mail 不是只有黑莓機可做, 目前有專門提供 Push Mail 的公司, 簽約後會用固定的 IP 及方法來公司收信再送到 User 的手機, 寄信也是, 故只要針對提供 Push Mail 的公司的 IP 進行處理即可, 而且使用這種方式就不受手機機型的限制了, 新一點的手機都可以用.

JackYang78

  • 榮譽博士
  • 俺是博士!
  • *****
  • 文章數: 2672
    • 檢視個人資料
嗯說得好... [教育老總]......... 請各位看官學著點!!

所以啦!!... 公司就是訂制度... IT 問題,都可以迎面而解!!
Networking & Communication Security SE

twu2

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 5396
  • 性別: 男
    • 檢視個人資料
    • http://blog.teatime.com.tw/1
所以說, 你也就是假定由 push mail (blackberry 也是類似的作法) 公司過來的信都是對的? 這樣似乎也說不太過去吧.
教育老總? 幫他設定一下 PGP, 還可能會是比較容易被大頭們接受的作法.

yufeng

  • 懷疑的國中生
  • **
  • 文章數: 86
    • 檢視個人資料
>> 所以說, 你也就是假定由 push mail (blackberry 也是類似的作法) 公司過來的信都是對的?

沒錯, 就是這樣, 關於垃圾郵件就看簽約時約怎麼談了!!

幫老總加 PGP, 這個可是要打開郵件才看的到, 才能去檢查的, 況且 Push Mail 目前似乎還沒辦法加 PGP 吧?

其實這是一個潛藏危害的問題!!

當看到一個自己公司同仁寄來的郵件, 會不會去開? 大概都會.

等到開了, 出問題了, 要補救就比較麻煩, 不是加個 PGP 就可以解決的!!