产品解决方案文档与社区免费试用定价云市场合作伙伴支持与服务了解阿里云
备案控制台登录/注册
开发者社区 安全 文章 正文

postfix邮件服务器安全

2017-07-01 1716
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介:
+关注继续查看

为防止postfix邮件服务器被人冒用,使用它发送伪造的垃圾邮件,进行了以下实验,添加了smtp验证。

分析smtp发送
把内部IP从邮件 的信任网络中去掉, 然后测试邮件发送(依靠邮件发件人)

 

  1. root@slackbox[~]# telnet mail.XXXXXX.com 25 
  2. Trying 10.70.253.52... 
  3. Connected to mail.XXXXXX.com. 
  4. Escape character is '^]'. 
  5. 220 mail.XXXXXX.com ESMTP Postfix 
  6. mail from: abc@XXXXXX.com #直接发起邮件, 未进行SMTP认证,并伪造发件人为abc@XXXXXX.com, abc为实际不存在的用户 
  7. 250 2.1.0 Ok #服务器返回OK, 说明服务器未对sender进行认证 
  8. rcpt to: jhuang@XXXXXX.com  #指定收件人为我本人 
  9. 250 2.1.5 Ok #服务器返回OK 
  10. data #写邮件 
  11. 354 End data with <CR><LF>.<CR><LF> 
  12. sfafafdsfafasfasfas 
  13. afsdasfsfasfsafas 
  14. . #结束写邮件并发送 
  15. 250 2.0.0 Ok: queued as 6C0FC3D5288 #服务器返回邮件已进入发送队列 

同时, 邮件服务器的日志显示,邮件已经发送:status=sent,上述实验表明了 邮件服务器没有经过smtp认证。

增加smtp认证, 堵住漏洞
Postfix配置

 

  1. #指定发件人认证登录 
  2. smtpd_sender_login_maps = ldap:/etc/postfix/ldap-users.cf, 
  3. ldap:/etc/postfix/ldap-mailbox.cf 
  4. #不允许不在列表中的发件人 
  5. smtpd_reject_unlisted_sender = yes 
  6. #需要helo信息 
  7. smtp_helo_required = yes 
  8. smtpd_recipient_restrictions 段增加下面内容: 
  9. reject_sender_login_mismatch 
  10. reject_authenticated_sender_login_mismatch, 
  11. reject_unauthenticated_sender_login_mismatch, 
  12. reject_non_fqdn_hostname, 
  13. reject_non_fqdn_sender, 
  14. reject_non_fqdn_recipient, 
  15. reject_invalid_hostname, 

测试一: 试图不通过验证直接发邮件

 

  1. #telnet mail.XXXXXX.com 25 
  2. Trying 10.70.253.52... 
  3. connected to mail.XXXXXX.com. 
  4. Escape character is '^]'. 
  5. 220 "mail.XXXXXX.com Mail System" 
  6. mail from: jhuang@XXXXXX.com 
  7. 50 2.1.0 Ok 
  8. rcpt to: jhuang@XXXXXX.com 
  9. 553 5.7.1 <jhuang@XXXXXX.com>: Sender address rejected: not logged in 

证明发送邮件需要作SMTP认证, 没有认证的不允许发送邮件。

测试二: 试图SMTP认证, 并以伪造不存在的邮件地址发送邮件

 

  1. # telnet mail.XXXXXX.com 25 
  2. Trying 10.70.253.52... 
  3. Connected to mail.XXXXXX.com. 
  4. Escape character is '^]'. 
  5. 220 "mail.XXXXXX.com Mail System" 
  6. auth login 
  7. 334 VXNlcm5hbWU6 
  8. amh1YW5n 
  9. 334 UGFzc3dvcsfafafafmQ6 
  10. bG92ZXdpbm5pZXlpbg== 
  11. 235 2.7.0 Authentication successful 
  12. mail from: abc@XXXXXX.com 
  13. 250 2.1.0 Ok 
  14. rcpt to: jhuang@XXXXXX.com 
  15. 550 5.1.0 <abc@XXXXXX.com>: Sender address rejected: User unknown in local recipient tabl 

证明不允许伪造不存在的本地邮件地址发邮件

测试三:试图通过SMTP认证, 并仿冒他人邮件地址发送邮件

 

  1. # telnet mail.XXXXXX.com 25 
  2. Trying 10.70.253.52... 
  3. Connected to mail.XXXXXX.com. 
  4. 220 "mail.XXXXXX.com Mail System" 
  5. auth login 
  6. 334 VXNlcm5hbWU6 
  7. amh1YW5n 
  8. 334 UGFzlllllkokopkc3dvcmQ6 
  9. bG92ZXdpbm5pZXlpbg== 
  10. 235 2.7.0 Authentication successful 
  11. mail from: lxiong@XXXXXX.com 
  12. 250 2.1.0 Ok 
  13. rcpt to: jhuang@XXXXXX.com 
  14. 553 5.7.1 <lxiong@XXXXXX.com>: Sender address rejected: not owned by user jhuang 


证明登录用户与邮件发送人不一致时, 禁止发送邮件

测试四:禁止邮件中继

 

  1. #telnet mail.XXXXXX.com 25 
  2. Trying 10.70.253.52... 
  3. Connected to mail.XXXXXX.com. 
  4. Escape character is '^]'. 
  5. 220 mail.XXXXXX.com ESMTP Postfix 
  6. mail from: address1@163.com 
  7. 250 2.1.0 Ok 
  8. rcpt to: address2@yeah.net 
  9. 554 5.7.1 <address2@yeah.net>: Recipient address rejected: Access denied 


本文转自茄子_2008博客园博客,原文链接:http://www.cnblogs.com/xd502djj/archive/2012/03/30/2425299.html,如需转载请自行联系原作者。
文章标签:
安全
测试技术
关键词:
postfix邮件
postfix邮件服务器
postfix安全
postfix邮件服务器安全
长征2号
目录
相关文章
LyShark
|
9月前
|
存储 网络协议 Linux
Postfix + Extmail 企业邮件服务器搭建
ExtMail套件用于提供从浏览器中登录、使用邮件系统的Web操作界面,而Extman套件用于提供从浏览器中管理邮件系统的Web操作界面。它以GPL版权释出,设计初衷是希望设计一个适应当前高速发展的IT应用环境,满足用户多变的需求,能快速进行开发、改进和升级,适应能力强的webmail系统。
LyShark
571 0
Postfix + Extmail 企业邮件服务器搭建
一生有你llx
|
网络协议 Linux 网络安全
Linux服务器---邮件服务安装postfix
安装postfix      postfix是一个快速、易于管理、安全性高的邮件发送服务,可以配合dovecot实现一个完美的邮箱服务器。1、安装postfix       [root@localhost ~]# rpm -qa | grep postfix      [root@localhos...
一生有你llx
2180 0
我的中国
|
测试技术 Linux 开发工具
Linux中mail邮件服务postfix故障解决方法
故障点 Llnux做好邮箱服务后不能与Windows的outlook连接或者登录提示出错。 可以看到我在Windows上的outlook添加的我自己的服务器配置的mail信息 显示任务:登录到接收邮件服务器(P0P3) 失败 发送测试电子邮件信息 失败 错误:登录到接收邮件服务器(POP3):找不到电子邮件服务器。
我的中国
6070 0
技术小阿哥
|
网络协议 测试技术 开发工具
postfix 邮件1
技术小阿哥
1642 0
科技小先锋
关于利用Postfix邮件网关接收外网投递邮件失败问题的解决方法
科技小先锋
1406 0
技术小阿哥
|
Linux 网络协议 网络安全
Centos7+Postfix+Dovecot实现邮件收发
技术小阿哥
3285 0
技术小阿哥
|
Linux 网络协议 开发工具
Centos7下配置postfix邮件服务
技术小阿哥
2686 0
技术小阿哥
|
网络协议 测试技术 数据安全/隐私保护
postfix 邮件服务器搭建详解
技术小阿哥
3255 0
技术小阿哥
|
网络协议 安全 关系型数据库
马哥linux高薪中级-POSTFIX邮件服务
技术小阿哥
6918 0
技术小阿哥
|
Linux 开发工具 数据安全/隐私保护
马哥linux高薪中级-POSTFIX邮件服务(二)
技术小阿哥
1523 0
热门文章
最新文章
1
构建Postfix邮件服务器的详细过程
2
利用yum安装postfix邮件服务器
3
用 Postfix+Dovecot 在 CentOS7 上快速搭建自己的安全邮件服务器
4
postfix , dovecot 配置
5
马哥linux高薪中级-POSTFIX邮件服务
6
Linux中mail邮件服务postfix故障解决方法
7
Postfix邮件服务器搭建之准备工作
8
centos7配置postfix dovecot cyrus-sasl foxmail
9
dnsmasq+postfix+sasl+tls+dovecot(邮件服务器)
10
postfix+mysql 发件服务
1
Postfix + Extmail 企业邮件服务器搭建
571
2
【方向盘】使用IDEA的60+个快捷键分享给你,权为了提效(Live Template&Postfix Completion篇)
135
3
Postfix 邮件服务器的配置
936
4
Ideal 使用技巧之PostFix Completion
79
5
RH358配置电子邮件传输--自动化Postfix配置
121
6
centos7.6部署Postfix+Dovecot邮件系统
231
7
【运维】Postfix设置邮箱别名实现广播邮箱
609
8
CentOS8配置Postfix开启SASL找不到服务
153
9
postfix 启动报错
2602
10
postfix疯狂外发垃圾邮件之分析与解决
2409
相关电子书
更多
低代码开发师(初级)实战教程 阿里巴巴DevOps 最佳实践手册 冬季实战营第三期:MySQL数据库进阶实战
推荐文章
更多
重磅来袭!参与评测赢Iphone14 pro! 文件存储NAS评测征集令! 招募!寻找技术人的伯乐! 乘风者计划邀您入驻社区,精彩权益即刻享
下一篇
阿里云 X 森马 AIGC T恤设计大赛开启! 穿什么由你定,赢Airpods,作品定制联名T恤