Postfix/Qmail/Sendmail身份验证问题探讨

zenglingping

我都是刚刚接触这些东东，对于postfix等邮件系统的认识还远远不够。。

看doc看得太少了，都是按照热心网友的教程依葫芦画出来的。。。

diyself

受教了

ruochen

原帖由 思一克 于 2008-7-18 16:28 发表
是不是OPEN RELAY是可以调整的.

你自己的SERVER没有配置好就会出现OPEN RELAY. 没有任何奇怪的.

还有, 网络上有"open relay test"网站, 你可以用它们实验你的SERVER.

open relay test"网站,
这个我现在找不到了

谁给个链接

northskycn

很恐怖的一个问题，我的Qmail也存在这个问题，已经试过向yahoo发送邮件成功。
正在找解决方案...

ruochen

我现在正在配置邮件服务器
8月份就正式上线了

kenduest

漏洞？好像是基本觀念的問題沒弄清楚。這個問題討論似乎也是老生常談的 faq 問題。

先弄清楚何謂 mail relay 的意義，你架設一台 mail.abc.com 主機好了，後續若是使用該 mail server 來寄信，若是打算寄信給 userid@mail.abc.com 的話那只是表示寄信給該 mail server 上面的用戶，這個與 mail relay 沒有任何關係。

有牽涉到 mail relay，那就是使用該 mail server 來寄信，若是打算寄信的收件人不是該 mail server 上面的用戶(ex: userid@mail.abc.com)，而希望透過這台 mail server 當中繼站寄信到外面去 (ex: userid@yahoo.com)，這才是表示有 mail relay 的行為。所以再次注意寄信的那台 mail server 上面用戶不叫做 relay。

所謂驗證的 smtp？ mail relay 開放一般就是在 mta 哪邊設定檔來配置，不過若是該 client 的用戶端 ip 來源不在開放的範圍的話就會被拒絕，所以驗證的 smtp 就是透過用戶端的帳號密碼驗證允許後即可讓該 mail server 允許 mail relay 進而寄信到外面去。這個在一些特殊環境，比方人帶著 notebook 在外面跑業務所以上網地點沒固定，然後還是希望能夠使用這台 mail server 來寄信給非該 mail server 的用戶，這就顯得非常方便。

所以這邊強調，驗證的 smtp 功能不是要達成使用 mail.abc.com 主機寄信給該主機上的使用者 (ex: userid@mail.abc.com) 需要驗證，這不是該 auth smtp 設計的用意。更何況實務上使用 mail.abc.com 主機若是寄信給該 mail server 的人本來就不需要驗證，要不然全世界的人要寄信給你主機上面的帳號，對方他知道你家的帳號密碼是啥呢

拉回來看 postfix 組態設定，一般開放 mail relay 參數主要有 mynetworks_style 與 mynetworks 這兩大參數。一般來說 mynetworks_style 可以設定:

1. mynetworks_style = class | subnet | host

复制代码

一般沒有任何設定，預設就是 subnet，也就是只要 client 端 ip 與 mail server 網卡本身是同一個網段的話，那就允許該 mail relay 的動作。

而由於 mynetworks_style 設定比較單純，所以一般實務上會另外使用 mynetworks 設定允許特定 ip 可以 relay 即可。比方:

1. mynetworks = 127.0.0.0/8, 192.168.0.0/16

复制代码

mynetworks 的設定優先權比 mynetworks_style 大，所以有任何 mynetworks 設定時候該 mynetworks_style 設定就沒有任何效果。

所以原本樓主的問題，若是你要說這個是一個漏洞的話，倒是希望您可以重新把過程貼出來，然後順便把你的 mail log 貼出更好，這樣討論才有意義。

--

[ 本帖最后由 kenduest 于 2008-7-21 16:32 编辑 ]

scyzxp

原帖由 Weikey 于 2008-7-12 10:57 发表
marion兄的 postfix全功能邮件系统、许靖Qmail以及Sendmail均存在该漏洞，我已亲测。

实现方法：
1、将“接收邮件服务器”选项“密码”栏，不作任何输入；
2、将“发送邮件服务器”选项“我的服务器要求身 ...

这不是软件本身引起的，所以不讲漏洞，只是设置不当引起的。

llzqq

题目好吓人啊！

枫影谁用了

哭笑不得。

Weikey

原帖由 kenduest 于 2008-7-21 16:30 发表
漏洞？好像是基本觀念的問題沒弄清楚。這個問題討論似乎也是老生常談的 faq 問題。

先弄清楚何謂 mail relay 的意義，你架設一台 mail.abc.com 主機好了，後續若是使用該 mail server 來寄信，若是打算寄信給 ...

kenduest 兄，解说的非常详细！谨代表邮件系统新人向 kenduest 兄致谢！