postfix 开启sasl认证但 还是可以匿名发送

owenbush

1.向各位请教下.
smtp_sasl_auth_enable
smtpd_sasl_auth_enable
这两个有什么区别

smtp_sasl_security_options
smtpd_sasl_security_options
这两个有什么区别

2.我的postfix已经设置了smtpd_sasl_auth_enbale=yes,其他设置也都正常,可是我telnet 服务器 25,仍然可以匿名(不输入用户名和密码)发送邮件,请问这是为何呀??????????????????

再补充下配置

smtpd_sasl_auth_enable=yes
smtpd_sasl_local_domain=$myhostname
smtpd_sasl_security_options=noanonymous
broken_sasl_auth_client=yes
smtpd_reciipient_restrictions=permit_mynetworks,permit_sasl_authenticated,reject_unauth_destination

再请问,我看网上教程大多不再smtpd_sender_restrictions和smtpd_client_restrictions中进行认证筛选,这又是为何呢...

owenbush

各位, 问题升级.
通过测试发现, 我设置outlook express, 必须设置smtp认证,才能发送邮件,否则不能.这应该说明sasl是生效的.但是我使用telnet命令如下:
telnet mail.myserver.com 25
ehlo mail.myserver.com
之后不用输入用户名和密码就可以发送邮件
随便伪造一个发见地址
mail from: abcd@12345.com
rcpt from: postmaster@mymail.com
data
Subject:test
hello.
.
这就可以成功发送出去,这是为什么呀,难道这里的发件人不能用sasl认证限制.
如果是这样的话,那么是否sasl认证只能限制myserver.com域的发件人呢
我更换发件人为myserver.com域用户
telnet mail.myserver.com 25
ehlo myserver.com 25
mail from:<albert.wesker@myserver.com>
rcpt to:<postmaster@myserver.com>
data
subject:test
hello world.
.
仍然可以成功发送出去,这是为何啊，谁能解释一下,求教了???,sasl是否起作用了???

sssssosssss

你telnet的测试机是不是跟permit_mynetworks在同一信任网段里

owenbush

不是的,我是真实环境测试的,在外网.

woxizishen

把postfix的權威手冊好好看看，基礎都不過關。

woxizishen

SASL是SASL。 匿名發送是匿名發送。請不要把他們混淆在一起。

smtpd_reciipient_restrictions=permit_mynetworks,permit_sasl_authenticated,reject_unauth_destination

樓主貌似你應該把這個收件規則給弄懂吧。後面那三個參數，你一看就明白怎麼回事了，這個問題問一般人不願意回答的。回家仔細惡補postfix權威手冊。
不要原理和參數都沒懂就架設個郵件服務器。
我郵件系統已經研究了快2個月。如果只是架設我3天就完成了。重要是原理你要懂。一個完整的郵件系統牽扯的開源軟體非常之多。

owenbush

回复 6# woxizishen

多谢指教, 看来是我把sasl和匿名发送当成一回事了,概念混淆了.
请教一下, 如何有效抵挡恶意的匿名发送呢, 例如,如果其他人冒充163.com的发送邮件到我的postfix服务器,我应该如何抵挡呢,使用SPF技术吗,还是有什么其他有效的方法呢,谢谢.


   

wenzk

SPF 和 DomainKey，163.com这个域发出的邮件呆DK签名的。

owenbush

回复 8# wenzk


多谢版主,再请问一下:
1.spf或senderid对正常的发件源是否有影响,影响是否很大;
2.spf是否受DNS服务器IP地址影响,DNSip越快,使用spf的邮件服务器收发邮件的延迟九越小呢,
3.spf的实际效果如果, 大概可以抵挡这种冒充地址的百分比;


   

wenzk

1、SPF 记录设置正确的话，是不会有影响的。

2、域名查询的延迟相对于邮件延迟来说，几乎可以忽略。

3、SPF主要是对发信者的要求，互联网很多域名都没有SFP记录，只能说对有SPF记录的有效。