Можно ли разрешить SMTP Relay
с частного адреса блоки
?
Мне кажется, что, вероятно, все в порядке, однако я не уверен, что это не сделает мой сервер уязвимым для атак типа IP-подделки
или аналогичных. В принципе, каковы шансы, что некоторые черные шляпы применит некоторые умные методы и обманут мой MTA
, заставив его думать, что он получил конверт от частного блока адреса
, фактически превратив его в открытый ретранслятор?
Мой MTA
работает внутри докер-контейнера
, поэтому я боялся, что все соединения (в том числе с удаленных серверов) будут рассматриваться как локальные. . Однако из следующей записи журнала вы можете видеть, что MTA
смог определить, что входящее соединение является удаленным:
SMTP connection from [xxx.yyy.39.83]:43108 I=[172.18.0.2]:25 (TCP/IP connection count = 1)
В общем, как MTA
собирают такую информацию, действительно ли они взять его из соединений TCP
, из заголовков SMTP
, что-то среднее?
Более безопасным вариантом будет блокировка SMTP без аутентификации, занесение в белый список только тех немногих служб, которые не могут пройти аутентификацию, что к настоящему времени должно быть или почти не быть.
IP-адреса, которые пользователи MTA для разрешения ретрансляции обычно берут из сеанса TCP. В этом случае (TCP и современные системы) их невозможно подделать, если у фальсификатора нет доступа к сетевой инфраструктуре между вами и удаленным IP. Однако вы должны отметить, что:
ELB Postfix «Протокол прокси»
, который будет вашим «промежуточным»).