Вопросы Теги

Безопасность, когда ретрансляция SMTP разрешена из блоков частного адреса

Можно ли разрешить SMTP Relay с частного адреса блоки ?

  • 10.0.0.0/8
  • 127.0.0.0/8
  • 172.16.0.0/12
  • 192.168.0.0/16

Мне кажется, что, вероятно, все в порядке, однако я не уверен, что это не сделает мой сервер уязвимым для атак типа IP-подделки или аналогичных. В принципе, каковы шансы, что некоторые черные шляпы применит некоторые умные методы и обманут мой MTA , заставив его думать, что он получил конверт от частного блока адреса , фактически превратив его в открытый ретранслятор?

Мой MTA работает внутри докер-контейнера , поэтому я боялся, что все соединения (в том числе с удаленных серверов) будут рассматриваться как локальные. . Однако из следующей записи журнала вы можете видеть, что MTA смог определить, что входящее соединение является удаленным: 

SMTP connection from [xxx.yyy.39.83]:43108 I=[172.18.0.2]:25 (TCP/IP connection count = 1)

В общем, как MTA собирают такую ​​информацию, действительно ли они взять его из соединений TCP , из заголовков SMTP , что-то среднее?

0
задан 1 March 2020 в 13:37
2 ответа

Более безопасным вариантом будет блокировка SMTP без аутентификации, занесение в белый список только тех немногих служб, которые не могут пройти аутентификацию, что к настоящему времени должно быть или почти не быть.

1
ответ дан 30 March 2020 в 01:22

IP-адреса, которые пользователи MTA для разрешения ретрансляции обычно берут из сеанса TCP. В этом случае (TCP и современные системы) их невозможно подделать, если у фальсификатора нет доступа к сетевой инфраструктуре между вами и удаленным IP. Однако вы должны отметить, что:

  • Как говорит Микаэль Х., вам следует рассмотреть SMTP с аутентификацией.
  • Некоторые балансировщики сетевой нагрузки (например, ELB) перезаписывают адрес источника TCP на свой собственный. В этом случае вам необходимо убедиться, что ваш MTA и балансировщик нагрузки согласовали способ передачи реального внешнего IP-адреса (найдите ELB Postfix «Протокол прокси» , который будет вашим «промежуточным»).
  • Если вы действительно настроены на пересечение всех Ts, вы можете ограничить доступ частных адресов к вашей сети и / или ограничить белый список IP-адресами, которые вы действительно используете.
0
ответ дан 30 March 2020 в 01:22

Теги

Похожие вопросы