SMTP authentification request transfer to another SMTP
I'm having an issue that's above my competence level. As we're working on improving the security measures that are in place in our network, we found (among others) one flaw that we have no idea how to fix.
We have our own SMTP server locally based on a MDaemon and we hire a professional hosting service that connects us to the WAN and they also have their own SMTP relay, publicly accessible. So when the mail goes through, it comes from their SMTP to ours, to our devices. But we found out that their tcp port 587 didn't ask for authentification meaning we could spoof any address whose domain name they handle, sending any email from, for example, boss@ourcorp.com на accountants@ourcorp.com, что позволяет потенциальному злоумышленнику совершать фишинговые атаки. Но наш поставщик услуг не может просто закрыть этот порт, потому что у нас есть кочевые пользователи, отправляющие почту через него со своих мобильных телефонов. Вот варианты, о которых я подумал, не зная, насколько они осуществимы:
- Синхронизируйте свою базу данных пользователей SMTP с нашей (или сделав ее только своей), чтобы у них были логин / пароли для принудительного выполнения и проверки аутентификации, когда кто-то просто netcat на MSA на порту 587,
- Не использовать свой MSA и напрямую размещать наш общедоступный, что имеет тот же практический эффект, что сводится к одному общедоступному MSA, у которого есть база данных пользователей для проверки аутентификации,
- Найти способ ретрансляции запрос аутентификации от их MSA к нашему, выполнение проверки и возврат токена «принять» или «отклонить» их MSA. Вероятно, это был бы идеальный вариант, но я понятия не имею, как это сделать. Я знаю, что ретрансляция запроса аутентификации используется для связанных LDAP / LDAP или Active Directory / LDAP ситуаций, но я не знаю, как это можно использовать на практике или работает ли он с SMTP-AUTH,
- Найдите какое-нибудь программное обеспечение для защиты от спуфинга на наших серверах (но как это проверить? Почта всегда будет приходить от доверенного MSA с потенциально существующим адресом)
Если у вас есть какие-либо мысли по нашей проблеме, заранее благодарим.
Во-первых, я полагаю, что порт 587 вашего интернет-провайдера защищен каким-то образом, кроме логина / пароля? Один из способов - по IP-адресу источника, так что он доступен только для клиентов, подключенных к этому интернет-провайдеру, но это ограничит пользователей мобильных телефонов подключением через этого интернет-провайдера. Другой способ - POP-before-SMTP,но это работает, только если интернет-провайдер также обрабатывает почтовое хранилище и, таким образом, может аутентифицировать пользователей в любом случае. Я не рекомендую ни один из этих двух способов, но единственное другое решение, которое я вижу, - это открытое реле, которого определенно следует избегать, и существование которого плохо отразится на компетенции вашего интернет-провайдера.
В зависимости от MSA вашего провайдера и ваших собственных служб аутентификации может быть возможна прокси-аутентификация. Я бы не рекомендовал его, поскольку его довольно сложно настроить и поддерживать из-за того, что я не вижу никаких преимуществ.
Я бы порекомендовал ваше второе решение: у вас уже есть ваш почтовый магазин, доступный в Интернет через IMAP (я полагаю!), у вас уже есть свой почтовый сервер, у вас уже настроен MSA, поэтому публикация MSA в Интернете не является огромным изменением в доступе. Таким образом, все очень стандартно, очень просто объяснить, вы меньше зависите от своего интернет-провайдера, вы не будете без необходимости передавать конфиденциальную информацию о логине / пароле своему интернет-провайдеру. Конечно, есть проблемы с безопасностью, такие как атаки по словарю, но если я не ошибаюсь, это проблемы, которым вы уже подвергаетесь, позволяя пользователям своих мобильных телефонов проверять свою почту.
Вещи, которые могут заставить меня изменить мое мнение, были бы
- количество пользователей (я не думаю, что мы говорим о 10000 +)
- смехотворно низкая или дорогая пропускная способность для вашего сайта (но вы уже запустили там свой почтовый сервер)
- если пользователи вашего мобильного телефона отправляют только почту, никогда не проверяйте почта из Интернета