强制本地用户给本地用户发信时使用smtp认证问题[问题已解决]

tonygong

本域发往外域：
220 js.cn SMTP Server of AIMC 2.9.5.2; Tue, 08 Jun 2004 21:48:10 +0800
helo nt
250 js.cn, nt<218.91.168.246>; okay.
mail fromxx1@pub.nt.jsinfo.net
250 <xxx1@pub.nt.jsinfo.net>;, sender ok.
rcpt to:test@cn99.com
553 Relay restriction.

我想它的逻辑大概是如此：
本域-->;本域：if 通过认证 then ok (relay) else block;
本域-->;外域：if 通过认证 then ok (relay) else Relay restriction;
外域-->;本域,无需认证: ok

请大家指正！

hzqbbc

[quote]原帖由 "jackieyuan"][/quote 发表：


大概看了一下关于这个问题大家的讨论，我觉得是不是大家想问题想得太复杂了？：）

我明白jackieyuan的意思，他无非是要禁止伪造本地account给本地其他用户（包括自己）发邮件而已。

这个实现方法不难：
1.qmail
在rcpt to 阶段，检查mail from的地址域名部分：domain.tld，如果该域名是本地的（也就是说在locals里），那么再看rcpt to的地址域名部分，如果也在locals里，并且2者相同，就发出5XX please SMTP AUTH first，也就是：

假设本地域名是mydomain.tld，则smtp会话：
mail from:<bbc@mydomain.tld>;
rcpt to:<cbb@mydomain.tld>;
5XX please SMTP AUTH first <--------- 这里mta就不允许了。

这样可以防止假冒本地地址给本地用户发邮件了。至于代码，直接在qmai里改，老外应该也有写类似的补丁

2.postfix
这个功能实现很简单：
设置好smtpd_sender_login_maps = hash:/path/to/maps/file
再在smtpd_sender_restrictions 里加reject_sender_login_mismatch即可。

这样，凡是在file里列出的地址，都不允许在没smtp auth前mail from:<xxx>; rcpt to:<xxx>;，其中xxx是username@localdomain.tld 的形式.

这样应该明白吧？真没想到这个问题会讨论如此热烈啊

rhinofly

使用 postfix 2.1.1

假设 oss4e.net 是本地域；

1. 
   
2. #
   
3. # UCE RESTRICTIONS
   
4. #
   
5. smtpd_delay_reject=no
   
6. #delay_reject 不能是yes；
   
7. 
   
8. #append
   
9. #smtpd_client_restrictions =
   
10. #        check_client_access hash:/etc/postfix/my_client_access_list,           
    
11. #        permit
    
12. 
    
13. #对mail from的限制
    
14. smtpd_sender_restrictions =
    
15.             permit_mynetworks,
    
16.             permit_sasl_authenticated,
    
17.         check_sender_access hash:/etc/postfix/my_sender_access_list,           
    
18.         permit
    
19. 
    
20. smtpd_tls_auth_only = no
    
21. 
    
22. broken_sasl_auth_clients = yes
    
23. 
    
24. smtpd_sasl_auth_enable = yes
    
25. smtpd_sasl_local_domain =
    
26. smtpd_sasl_security_options = noanonymous
    
27.        
    
28. #
    
29. smtpd_recipient_restrictions =
    
30.             permit_mynetworks,
    
31.             permit_sasl_authenticated,
    
32.         check_recipient_access hash:/etc/postfix/my_recipient_access_list,           
    
33.             reject_non_fqdn_hostname,
    
34.             reject_invalid_hostname,
    
35.             reject_unknown_hostname,
    
36.             reject_non_fqdn_sender,                                    
    
37.             reject_non_fqdn_recipient,                                 
    
38.             reject_unknown_sender_domain,                                 
    
39.             reject_unknown_recipient_domain,                              
    
40.             reject_unauth_destination,
    
41.             reject_unauth_pipelining,
    
42.         permit_auth_destination
    

复制代码

1. 
   
2. #参考： http://bbs.chinaunix.net/forum/viewtopic.php?p=2289911#2289911
   
3. #参考： http://bbs.chinaunix.net/forum/14/20040607/342903.html
   
4. 
   
5. #vi /etc/postfix/my_sender_access_list
   
6. #当mail from是你的域时，要求验证；逻辑在于：自己不应该从remote给自己发信；
   
7. 127.0                250        welcome from localhost.
   
8. oss4e.net             550        AUTH first,view http://mail.oss4e.net/uce.html for help.
   
9. #
   
10. 
    
11. postmap /etc/postfix/my_sender_access_list
    

复制代码

jackieyuan

原帖由 "hzqbbc" 发表：


大概看了一下关于这个问题大家的讨论，我觉得是不是大家想问题想得太复杂了？：）

我明白jackieyuan的意思，他无非是要禁止伪造本地account给本地其他用户（包括自己）发邮件而已。

这个实现方法不难：
1...........

呵呵～ 我就是这个意思～～ 呵呵，终于用恰当的说法说出来了～～ 嘿嘿～谢谢！！
解决方法该不会是在 badmailfrom 里面验证吧？ (楼上的已经给出了postfix的方法)
最近装了 spamcontrol ，里面只有对locals的域进行 mailbox存在与否的检验～(很实用噢～)。  

这里放一个与relay test相关的资料吧

qmail.faqts
http://www.faqts.com/knowledge_base/view.phtml/aid/1198/fid/206/lang/en

Chris Hardie's qmail Anti-Spam HOWTO
http://www.chrishardie.com/tech/qmail/qmail-antispam.html

hzqbbc

原帖由 "jackieyuan" 发表：

呵呵～ 我就是这个意思～～ 呵呵，终于用恰当的说法说出来了～～ 嘿嘿～谢谢！！
解决方法该不会是在 badmailfrom 里面验证吧？ (楼上的已经给出了postfix的方法)
最近装了 spamcontrol ，里面只有对locals的域进..........

我不是已经描述了吗？这个可以修改一下qmail代码。。校验locals里的domain对应的account并不是解决方法。

jackieyuan

原帖由 "hzqbbc" 发表：


我不是已经描述了吗？这个可以修改一下qmail代码。。校验locals里的domain对应的account并不是解决方法。

Thanks!  

jackieyuan

原帖由 "hzqbbc" 发表：


大概看了一下关于这个问题大家的讨论，我觉得是不是大家想问题想得太复杂了？：）

我明白jackieyuan的意思，他无非是要禁止伪造本地account给本地其他用户（包括自己）发邮件而已。

这个实现方法不难：
1...........

今天把你的方法试用了一下～ 很好用，终于解决了～～ （主要是以前一直没有理解一些基本概念）谢谢你的指导！

修改文件： /var/qmail/control/badmailfrom

@mydomain1.com
@mydomain2.com

测试结果：

220 mydomain.com ESMTP
helo sina.com
250 mydomain.com
mail from: user1@mydomain.com
250 ok
rcpt to: user2@mydomain.com
553 sorry, your envelope sender is in my badmailfrom list (#5.7.1)
quit
221 mydomain.com

失去了跟主机的连接。

使用SMTP-AUTH发信仍然正常。

感谢：思一克、paulwang、rhinofly、dennis2、xiaohua、tonygong、hzqbbc　等的不吝指导！你们的耐心回贴解决了我很多问题，也教会了我很多￥＃％％！！

tomduanj

问题没说清楚啊，如何在qmail实现此功能？
我在我的badmailfrom中加入我的domain,结果无法发邮件了，我没有安装spam，是否与此有关？

jackieyuan

原帖由 "tomduanj" 发表：
问题没说清楚啊，如何在qmail实现此功能？
我在我的badmailfrom中加入我的domain,结果无法发邮件了，我没有安装spam，是否与此有关？

你是怎么配的？你怎么样发邮件发不来？本地？smtp？装了smtpauth没有？
......

你要说清楚阿～

wangrujun

使用badmailfrom，而不修改qmail-smtpd.c的话，应该不可以实现楼主的要求吧。

我用 oe6和foxmail5都试过，出现
553 sorry, your envelope sender is in my badmailfrom list 后即断开。

即使选择了smtp认证，邮件客户端还是得用mail from:<>;开始吧。这是邮件的必需的要素呀
除非楼主的mail from改为一下第三方的东西吧。