论坛徽章:: 2

电梯直达

1楼 [收藏(0)] [报告]

发表于 2012-10-12 20:50 |只看该作者 |倒序浏览

本帖最后由 kisswen 于 2012-10-31 08:50 编辑

如题
我设置了

smtpd_sender_login_maps = mysql:/usr/local/etc/postfix/mysql_virtual_sender_maps.cf

复制代码

使用

postmap -q "wen@xxxxxxxxx" mysql:/usr/local/etc/postfix/mysql_virtual_sender_maps.cf

复制代码

也可以正确的得到wen@xxxxxxxxx
但是邮件依然可以发出去
另外
mynetworks_style = host
mynetworks = 本机IP地址

我使用的是foxmail在另外的电脑上发的邮件

并且我用qq邮箱也可以伪造来源地址，比如我的邮箱是abc@qq.com,,但是我在foxmail中将邮件地址修改为bcd@qq.com一样可以发邮件
而且打开邮件可以看到邮件from:bcd@qq.com

文库|博客

kisswen

小富即安

论坛徽章:: 2

2楼 [报告]

发表于 2012-10-12 20:57 |只看该作者

本帖最后由 kisswen 于 2012-10-12 21:25 编辑

呃……
刚才又试了一下

Oct 12 21:16:17 mail postfix/smtpd[18361]: connect from unknown[10.177.150.112]
Oct 12 21:16:18 mail postfix/smtpd[18361]: NOQUEUE: reject: MAIL from unknown[10.177.150.112]: 553 5.7.1 <test@ay.sc.sgcc.com.cn>: Sender address rejected: not owned by user wen@ay.sc.sgcc.com.cn; from=<test@ay.sc.sgcc.com.cn> proto=ESMTP helo=<kisswen>
Oct 12 21:16:18 mail postfix/smtpd[18361]: 3DCB617229: client=unknown[10.177.150.112], sasl_method=LOGIN, sasl_username=wen@ay.sc.sgcc.com.cn
Oct 12 21:16:18 mail postfix/cleanup[18365]: 3DCB617229: message-id=<201210122116346774730@ay.sc.sgcc.com.cn>
Oct 12 21:16:18 mail postfix/qmgr[18250]: 3DCB617229: from=<wen@ay.sc.sgcc.com.cn>, size=1879, nrcpt=1 (queue active)
Oct 12 21:16:18 mail postfix/smtpd[18361]: disconnect from unknown[10.177.150.112]
Oct 12 21:16:18 mail postfix/pipe[18366]: 3DCB617229: to=<admin@ay.sc.sgcc.com.cn>, relay=dovecot, delay=0.37, delays=0.18/0.02/0/0.17, dsn=2.0.0, status=sent (delivered via dovecot service)
Oct 12 21:16:18 mail postfix/qmgr[18250]: 3DCB617229: removed

复制代码

看日志应该是已经认出地址伪造了，怎么还是加入队列并发送了？

smtpd_sender_restrictions = permit_mynetworks,
reject_authenticated_sender_login_mismatch
smtpd_recipient_restrictions = permit_mynetworks,
permit_sasl_authenticated,
reject_non_fqdn_hostname,
reject_non_fqdn_sender,
reject_non_fqdn_recipient,
reject_unauth_destination,
reject_unauth_pipelining,
reject_invalid_hostname
broken_sasl_auth_clients = yes
smtpd_sasl_auth_enable = yes
smtpd_sasl_type = dovecot
smtpd_sasl_path = private/auth
smtpd_sasl_security_options = noanonymous
smtpd_client_restrictions = permit_sasl_authenticated
smtpd_sasl_local_domain = $myhostname
smtpd_hard_error_limit = 10

复制代码

如果你想伪造一封别人发给你自己的邮件
你就可以将自己伪造成那个人的邮件地址，然后给自己发一封邮件就可以了，QQ邮箱也可以

另：我将mynetworks设置成127.0.0.0/8 为什么还是可以使用另一台服务器用postal测试性能互发邮件？

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

kisswen

小富即安

论坛徽章:: 2

3楼 [报告]

发表于 2012-10-13 17:36 |只看该作者

我升级到了dovecot2
并将dovecot配置文件中的login_trusted_networks注释了就无法伪造发件人了
会直接提示错误

现在QQ邮箱这些还是不错嘛，有提示哈哈

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

kisswen

小富即安

论坛徽章:: 2

4楼 [报告]

发表于 2012-10-14 22:22 |只看该作者

呃……
刚刚学习建mail服务器
现在公司用的IBM Lotus Notes/Domino 6.5
已经没有人维护了
主要是以前domino6.5没有使用dns，用的hosts，在donino内部对每个分公司服务器指定IP
就想自己先搞个玩玩哈哈
也许哪一天就开始使用DNS自建了

只看了本版的一个教程PDF,还不熟悉，正在拜读POSTFIX权威指南
感觉之前的问题好弱，哇咔咔

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

hzqbbc

家境小康

论坛徽章:: 0

5楼 [报告]

发表于 2012-10-28 13:01 |只看该作者

呵呵，直接下个emos安装好linux+extmail邮件系统，里面自带了您说的这个功能，不能伪造其他人名义发邮件

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

action08

巨富豪门

论坛徽章:: 224

6楼 [报告]

发表于 2012-10-30 13:06 |只看该作者

开口就要100w，

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

iceblood

家境小康

论坛徽章:: 1

7楼 [报告]

发表于 2012-10-30 21:24 |只看该作者

还没解决？
看这里：

#####iceblood postfix setup sasl2 setting#####
#
# Check sender
#
smtpd_sender_restrictions =
permit_mynetworks,
check_sender_access hash:/etc/postfix/hash_db/sender_access,
reject_authenticated_sender_login_mismatch,
reject_sender_login_mismatch
smtpd_sender_login_maps = ldap:/etc/postfix/ldapconf/ldap_login_maps.cf mysql:/etc/postfix/mysqlconf/mysql_login_maps.cf
broken_sasl_auth_clients = yes
smtpd_recipient_restrictions =
permit_mynetworks,
reject_non_fqdn_sender,
reject_non_fqdn_recipient,
reject_unknown_recipient_domain,
reject_unlisted_sender,
check_recipient_access hash:/etc/postfix/hash_db/to_address_access,
permit_sasl_authenticated,
reject_invalid_hostname,
reject_unauth_pipelining,
reject_unauth_destination,
check_client_access hash:/etc/postfix/hash_db/remote_ip_access,
reject_unknown_sender_domain,
permit_auth_destination,
reject
# reject_non_fqdn_hostname,
# reject_unknown_hostname,
# reject_rbl_client cblless.anti-spam.org.cn,
smtpd_sasl_auth_enable = yes
smtpd_sasl_authenticated_header = yes
smtpd_sasl_local_domain = $mydomain
smtpd_sasl_security_options = noanonymous

复制代码

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

kisswen

小富即安

论坛徽章:: 2

8楼 [报告]

发表于 2012-10-31 08:50 |只看该作者

呃 10月14号那天看了那个指南就解决了哈
谢谢大家~~~~~~~~

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

返回列表

Chinaunix › 论坛 › IT运维 › 服务器应用 › [已解决]请问如何防止本域用户伪造邮件来源地址？

[Mail] [已解决]请问如何防止本域用户伪造邮件来源地址？ [复制链接]

浏览过的版块