Chinaunix

标题: 关于伪造邮件帐号的问题 [打印本页]

作者: 1914 时间: 2007-09-28 10:47
标题: 关于伪造邮件帐号的问题
我现在遇到这样一个问题，论坛有这样的帖子了。但又好像有些不同。

我的mail服务器，我telnet到25端口的时候，可以用任何本域的帐号（即便帐号是不存在的）和其他的帐号给本域的帐号发信。

给本域的帐号发信不是OPENRELAY,
但是这样有一个问题，当伪造成本域的合法帐号，就可以发一些匿名的信，做一些什么事，

因此，有没有什么办法？

作者: 富贵猫 时间: 2007-09-28 10:56
有
设置SMTP发信密码验证

作者: 1914 时间: 2007-09-28 10:59
能给点信息吗？是指SMTP的SASL验证那种吗？我应该做了啊

作者: 1914 时间: 2007-09-28 11:02
应该有一位版主说了。伪造本地邮件地址是无法解决的啊，

那我的问题就是，能不能让telnet到25端口的人不能发信，如要发信，必须通过什么什么的

作者: Linux@初学者 时间: 2007-09-28 13:00
先登录到服务器上然后tlenet localhost 25?

作者: 富贵猫 时间: 2007-09-28 13:30

原帖由 1914 于 2007-9-28 11:02 发表
应该有一位版主说了。伪造本地邮件地址是无法解决的啊，

那我的问题就是，能不能让telnet到25端口的人不能发信，如要发信，必须通过什么什么的

你是要做到别人不能通过你的服务器伪造抵制发信还是要杜绝伪造本地邮件地址的邮件
后者不能解决
前者，可以做2个服务器，一个专门收，一个专门发
收信的服务器，拒绝外部IP过来的RELAY请求，只收信不发信出去
发信服务器，发信要求验证，这样每一封邮件出去都能知道是用什么帐号发的，虽然邮件依然能够伪造reply address

作者: busyant 时间: 2007-09-28 14:26

原帖由 1914 于 2007-9-28 10:47 发表
我现在遇到这样一个问题，论坛有这样的帖子了。但又好像有些不同。

我的mail服务器，我telnet到25端口的时候，可以用任何本域的帐号（即便帐号是不存在的）和其他的帐号给本域的帐号发信。

给本域的帐号发 ...

一、telnet 25端口，然后往本地域发信，这个动作就像某人站在你们家楼下的信箱前往里面放信一样。

二、telnet 25端口，然后外外域发信，就像你在邮局的邮筒前，往邮筒里投信一样。

所以：
一、telnet 25端口，然后往本地域发信，不论设置的“发件人的地址”是谁，这个邮件都可以投递成功。甚至可以不设置“发件人地址”。
但：
二、telnet 25端口，往外域发信，就需要满足一定的条件（比如smtp auth），就像邮局需要你买邮票一样，否则就是openrelay，注意体会：relay、relay、relay……

lz的意思，可能是想限制“情况一”的发生。但是，你可以限制别人往你们家信箱里面投东西进去吗？

[ 本帖最后由 busyant 于 2007-9-28 14:28 编辑 ]

作者: tom_xx_hu@yahoo 时间: 2007-09-30 09:54
这事说过多次了。
一个SMTP的MTA处理的邮件就是两种：inbound和outband。
对inbound，就象你家住在前门，前门邮局无权扣住你的邮件，甭管谁寄给你的，邮局都得送到你家。
对outbound，就像单位的收发，它只替本单位员工或下属单位代发邮件，别人想沾光？没门。
前门邮局收到从天津某局（邮件的上家是谁邮局总是知道的，就是连接25号端口的client IP）发来给你的邮包，却自称是发自上海淮海路18号。你拿到邮包发现是垃圾邮件。投诉。
所以现在邮局增加一个非邮政服务（不是SMTP），下次收到邮包，它到上海淮海路邮局询问，嘿，天津的那个码头（client ip）是不是贵局的交投站？如果答复是，那邮局没法子，还得给您送上邮包；如果答复说，我们的邮件从不走天津那个码头，前门邮局因此知道这是来路不明的邮件，拒收。这个服务，就叫SPF。

这个服务也可用于防止伪造本地邮件地址。方法就是公开告诉别的邮局，本局outbound的出口是哪些。其它邮局因此知道，那些自命来自你局所辖管区却不从你指定出口发送的邮件，都是垃圾。

欢迎光临 Chinaunix (http://bbs.chinaunix.net/)