postfix邮件服务器安全

简介:

为防止postfix邮件服务器被人冒用,使用它发送伪造的垃圾邮件,进行了以下实验,添加了smtp验证。

分析smtp发送
把内部IP从邮件 的信任网络中去掉, 然后测试邮件发送(依靠邮件发件人)

 

  1. root@slackbox[~]# telnet mail.XXXXXX.com 25 
  2. Trying 10.70.253.52... 
  3. Connected to mail.XXXXXX.com. 
  4. Escape character is '^]'. 
  5. 220 mail.XXXXXX.com ESMTP Postfix 
  6. mail from: abc@XXXXXX.com #直接发起邮件, 未进行SMTP认证,并伪造发件人为abc@XXXXXX.com, abc为实际不存在的用户 
  7. 250 2.1.0 Ok #服务器返回OK, 说明服务器未对sender进行认证 
  8. rcpt to: jhuang@XXXXXX.com  #指定收件人为我本人 
  9. 250 2.1.5 Ok #服务器返回OK 
  10. data #写邮件 
  11. 354 End data with <CR><LF>.<CR><LF> 
  12. sfafafdsfafasfasfas 
  13. afsdasfsfasfsafas 
  14. . #结束写邮件并发送 
  15. 250 2.0.0 Ok: queued as 6C0FC3D5288 #服务器返回邮件已进入发送队列 

同时, 邮件服务器的日志显示,邮件已经发送:status=sent,上述实验表明了 邮件服务器没有经过smtp认证。

增加smtp认证, 堵住漏洞
Postfix配置

 

  1. #指定发件人认证登录 
  2. smtpd_sender_login_maps = ldap:/etc/postfix/ldap-users.cf, 
  3. ldap:/etc/postfix/ldap-mailbox.cf 
  4. #不允许不在列表中的发件人 
  5. smtpd_reject_unlisted_sender = yes 
  6. #需要helo信息 
  7. smtp_helo_required = yes 
  8. smtpd_recipient_restrictions 段增加下面内容: 
  9. reject_sender_login_mismatch 
  10. reject_authenticated_sender_login_mismatch, 
  11. reject_unauthenticated_sender_login_mismatch, 
  12. reject_non_fqdn_hostname, 
  13. reject_non_fqdn_sender, 
  14. reject_non_fqdn_recipient, 
  15. reject_invalid_hostname, 

测试一: 试图不通过验证直接发邮件

 

  1. #telnet mail.XXXXXX.com 25 
  2. Trying 10.70.253.52... 
  3. connected to mail.XXXXXX.com. 
  4. Escape character is '^]'. 
  5. 220 "mail.XXXXXX.com Mail System" 
  6. mail from: jhuang@XXXXXX.com 
  7. 50 2.1.0 Ok 
  8. rcpt to: jhuang@XXXXXX.com 
  9. 553 5.7.1 <jhuang@XXXXXX.com>: Sender address rejected: not logged in 

证明发送邮件需要作SMTP认证, 没有认证的不允许发送邮件。

测试二: 试图SMTP认证, 并以伪造不存在的邮件地址发送邮件

 

  1. # telnet mail.XXXXXX.com 25 
  2. Trying 10.70.253.52... 
  3. Connected to mail.XXXXXX.com. 
  4. Escape character is '^]'. 
  5. 220 "mail.XXXXXX.com Mail System" 
  6. auth login 
  7. 334 VXNlcm5hbWU6 
  8. amh1YW5n 
  9. 334 UGFzc3dvcsfafafafmQ6 
  10. bG92ZXdpbm5pZXlpbg== 
  11. 235 2.7.0 Authentication successful 
  12. mail from: abc@XXXXXX.com 
  13. 250 2.1.0 Ok 
  14. rcpt to: jhuang@XXXXXX.com 
  15. 550 5.1.0 <abc@XXXXXX.com>: Sender address rejected: User unknown in local recipient tabl 

证明不允许伪造不存在的本地邮件地址发邮件

测试三:试图通过SMTP认证, 并仿冒他人邮件地址发送邮件

 

  1. # telnet mail.XXXXXX.com 25 
  2. Trying 10.70.253.52... 
  3. Connected to mail.XXXXXX.com. 
  4. 220 "mail.XXXXXX.com Mail System" 
  5. auth login 
  6. 334 VXNlcm5hbWU6 
  7. amh1YW5n 
  8. 334 UGFzlllllkokopkc3dvcmQ6 
  9. bG92ZXdpbm5pZXlpbg== 
  10. 235 2.7.0 Authentication successful 
  11. mail from: lxiong@XXXXXX.com 
  12. 250 2.1.0 Ok 
  13. rcpt to: jhuang@XXXXXX.com 
  14. 553 5.7.1 <lxiong@XXXXXX.com>: Sender address rejected: not owned by user jhuang 


证明登录用户与邮件发送人不一致时, 禁止发送邮件

测试四:禁止邮件中继

 

  1. #telnet mail.XXXXXX.com 25 
  2. Trying 10.70.253.52... 
  3. Connected to mail.XXXXXX.com. 
  4. Escape character is '^]'. 
  5. 220 mail.XXXXXX.com ESMTP Postfix 
  6. mail from: address1@163.com 
  7. 250 2.1.0 Ok 
  8. rcpt to: address2@yeah.net 
  9. 554 5.7.1 <address2@yeah.net>: Recipient address rejected: Access denied 


本文转自茄子_2008博客园博客,原文链接:http://www.cnblogs.com/xd502djj/archive/2012/03/30/2425299.html,如需转载请自行联系原作者。
目录
相关文章
|
22天前
|
安全 Java 网络安全
Java Socket编程教程:构建安全可靠的客户端-服务器通信
【6月更文挑战第21天】构建安全的Java Socket通信涉及SSL/TLS加密、异常处理和重连策略。示例中,`SecureServer`使用SSLServerSocketFactory创建加密连接,而`ReliableClient`展示异常捕获与自动重连。理解安全意识,如防数据截获和中间人攻击,是首要步骤。通过良好的编程实践,确保网络应用在复杂环境中稳定且安全。
|
2月前
|
存储 弹性计算 安全
ECS的安全责任共担模型
云服务器ECS的云上安全性是阿里云和客户的共同责任。本文介绍云服务器ECS(Elastic Compute Service)与客户在安全性方面各自应该承担的责任。
|
5天前
|
SQL 弹性计算 安全
通过阿里云的活动购买的云服务器,后续购买并挂载云盘、设置密码及安全组教程
现在大多数用户购买阿里云的云服务器通常都是通过阿里云的活动来购买,这种购买方式主要是价格更实惠,且购买流程简单,但是选购活动中的云服务器,一般只有系统盘,没有数据盘,这需要我们在购买之后单独购买并挂载云盘作为数据盘,而且云服务器的密码和安全组等基础设置也是需要在购买之后再设置的。本文为大家介绍后续购买并挂载云盘、设置密码及安全组的相关教程,以供参考。
通过阿里云的活动购买的云服务器,后续购买并挂载云盘、设置密码及安全组教程
|
15小时前
|
安全 网络协议 网络安全
SSL(Secure Sockets Layer)是一种安全协议,用于在客户端和服务器之间建立加密的通信通道。
SSL(Secure Sockets Layer)是一种安全协议,用于在客户端和服务器之间建立加密的通信通道。
4 0
|
1月前
|
弹性计算 安全 网络安全
带你读《从基础到应用云上安全航行指南》——干货长文快收藏!阿里云专家教你如何安全访问和管理ECS资源(3)
**《从基础到应用云上安全航行指南》——阿里云专家教你如何安全访问和管理ECS资源(3)** 在阿里云的广阔云海中,ECS(弹性计算服务)资源如同航行的船只,承载着我们的业务与数据。如何确保这些
|
26天前
|
弹性计算 人工智能 供应链
云服务器 ECS产品使用问题之端口已加入安全组,但是端口不通,同时服务器已关闭防火墙,是什么导致的
云服务器ECS(Elastic Compute Service)是各大云服务商阿里云提供的一种基础云计算服务,它允许用户租用云端计算资源来部署和运行各种应用程序。以下是一个关于如何使用ECS产品的综合指南。
|
26天前
|
运维 安全 Linux
云服务器账号密码安全运维
确保云上Linux ECS安全,需强化账号密码策略。检查并更新`/etc/login.defs`,设置`PASS_MAX_DAYS`(如90天)、`PASS_MIN_DAYS`(如7天)和`PASS_WARN_AGE`(如7天),限制密码使用期限和修改间隔。在`/etc/pam.d/common-password`启用密码复杂度规则等等
38 0
|
2月前
|
存储 监控 安全
云服务器如何最好安全,企业如何保障云机主的安全使用
云服务器作为数据存储和处理的中心,承载着大量敏感信息。一旦云服务器受到攻击或数据泄露,将可能导致严重的经济损失、声誉损害甚至法律纠纷。因此,加强云服务器安全防护至关重要。
|
2月前
|
前端开发 安全 搜索推荐
【专栏】ngrok` 是一款让本地服务器暴露到公网的工具,提供外网访问、临时公网地址、安全隧道及实时更新功能
`【4月更文挑战第29天】ngrok` 是一款让本地服务器暴露到公网的工具,提供外网访问、临时公网地址、安全隧道及实时更新功能。使用简单,包括下载客户端、注册认证、启动本地服务和执行命令。在前端开发中,ngrok 用于本地开发调试、跨设备测试、前后端联调、演示分享和应急处理。它提高了开发效率,简化网络环境和部署问题。无论是移动应用测试还是团队协作,ngrok 都能发挥关键作用,是前端开发者必备神器。尝试使用 ngrok,提升你的开发体验。
|
2月前
|
监控 安全 Linux
【专栏】拿到一台新的物理服务器,有几项关键的准备工作和安全措施是必须要做的
【4月更文挑战第28天】新服务器部署前,需进行系统初始化(安装OS、网络配置、用户管理)、安全加固(更新补丁、关闭不必要的服务、防火墙设置)和性能优化(调整内核参数、文件系统优化)。同时,设置监控系统(如Nagios)以检查硬件和软件资源,制定备份策略确保数据安全。这些步骤确保服务器稳定、安全、高效运行。

相关实验场景

更多