SOS:有关 qmail smtp-auth 的问题

wangqingniao

各位老大，近日安装qmail + qmail-toaster-0.7.2-patch+ vpopmail 5.4.1，遇到一个 Bug： smtp-auth 只是对外发邮件时才会起作用，如果给同域用户发邮件，qmail 根本不验证用户名和密码！
我查了很多网站，提这个问题的不少，真正提供解决方案的还没找到。
难道真的没办法？？

这可是个可怕的大漏洞啊，请大家试想一下，如果这个漏洞不解决：如果有人知道你企业里的邮件系统用户名，他就完全可以冒充任何用户给其他用户发邮件，这个问题无论是对商业还是个人隐私还是垃圾邮件、病毒邮件，都会有很大影响的

请教各路高手，那位遇到这个问题并成功解决了，还望不吝赐教，多谢多谢！

思一克

如果外面的人知道你内部地址，给他发，是可以随便发吧（不需要验证）。

外人发 不需要验证
内人发 还需要吗？

逻辑就是如此。其实不是漏洞。
要解决，有补丁，我不知道在哪里。

fastethernet

楼主，我需要qmail + qmail-toaster-0.7.2-patch+ vpopmail 5.4.1这个软件，你能发给我吗？

我的邮箱： pc@cqppdi.cn

wangqingniao

2楼的兄弟你换个角度想想：
你要出国，护照由谁把关？出境国海关，对吧？
为什么呢，因为入境国海关根本没你的档案，他唯一的凭据就是出境国签发的护照

邮件服务器也是一样啊，发件方当然有责任有义务保证从自己发出的邮件时合法有效的了，否则就会被别人打入黑名单的

wangqingniao

所以，从这个角度讲，我的邮件服务器当然不会验证对方，因为这个义务应该有对方的服务器来保证

内部人员发邮件验证的必要性，我已经在一楼解释过了

如果没有这个机制，你说算不算漏洞呢？

carelezz

楼主提的这个问题挺好，不过这不是 smtp-auth 的漏洞。

众所周知qmail 默认接受任何发往列于 rcpthosts 文件中地址的邮件，不会检查邮件从何处来。所以，你给本域发信即使不要认证，qmail 也会接受的，默认就是如此。

解决方案也很简单，qmail 有个控制文件 badmailfrom ，看名字也知道做什么用的。添加一行到此文件中：

1. @你的域名.com

复制代码

提醒一下，每个规则占一行；此文件支持通配符。

如此这般，如果你不进行验证给本域发信，qmail 就会拒绝，并有以下提示：

1. 553 sorry, your envelope sender is in my badmailfrom list

复制代码

个人意见，仅供参考。

--

思一克

to wangqingniao,

不要说你那么轻易就发现了“漏洞”。SMTP协议就是如此的。qmail就是按照协议做的。对特殊应用如果需要可以另做。

你可以按CARELEZZ的指示实验解决。

wangqingniao

兄弟，我可没说我“发现”了漏洞！从一开始我就说了“我查了很多网站，提这个问题的不少，真正提供解决方案的还没找到。”
更不要讲“SMTP协议就是如此”了，qmail是个软件，又不是协议，应该解决起码的安全问题，如果做到了，我想Internet也不会垃圾邮件泛滥成灾了

wangqingniao

谢谢兄弟，我试过了，不成的，badmailfrom将拒绝所有列出的用户，无论是对内还是对外发邮件，也无论是否经过SMTP Auth

carelezz

原帖由 wangqingniao 于 2006-1-26 23:31 发表
谢谢兄弟，我试过了，不成的，badmailfrom将拒绝所有列出的用户，无论是对内还是对外发邮件，也无论是否经过SMTP Auth

不知道楼主用的那一种 smtp 的认证补丁，我的 qmail 系统很早就实现了你的需求。

我的系统中使用的是 spamcontrol v2.3 补丁集，其中的认证补丁是基于 Krzysztof Dabrowski 的 qmail-smtpd-auth-0.31 补丁修改而来的。我简单介绍一下它的认证机制：当 smtp 认证成功后， smtpd 将会重设环境变量 RELAYCLIENT ，另外会忽略 badmailfrom 和 badhelo 的检查。简单说来就是在我的系统中 badmailfrom 检查是有条件的，用户验证成功后就不会检查，否则就检查。这样就很好地防止了伪造本域地址向本域用户发信的这一类 spam。

建议楼主阅读你所使用有关 smtp 认证的相关文档，搞清楚 badmailfrom 的检查机制，早日解决问题。

--