我想build立Postfix(在Ubuntu 14.04上)使用提交端口,但我担心它可能会成为一个开放的中继。 我想知道每个限制列表的最佳限制(默认情况下有$ mua_variables,基本上没有任何限制?)
这里是Ubuntu中的默认master.cfconfiguration:
submission inet n - - - - smtpd -o syslog_name=postfix/submission -o smtpd_tls_security_level=encrypt -o smtpd_sasl_auth_enable=yes -o smtpd_reject_unlisted_recipient=no -o smtpd_client_restrictions=$mua_client_restrictions -o smtpd_helo_restrictions=$mua_helo_restrictions -o smtpd_sender_restrictions=$mua_sender_restrictions -o smtpd_recipient_restrictions= -o smtpd_relay_restrictions=permit_sasl_authenticated,reject -o milter_macro_daemon_name=ORIGINATING 这里是postconf -Mx (将展开$ mua_variables)说:
submission inet n - - - - smtpd -o syslog_name=postfix/submission -o smtpd_tls_security_level=encrypt -o smtpd_sasl_auth_enable=yes -o smtpd_reject_unlisted_recipient=no -o smtpd_client_restrictions= -o smtpd_helo_restrictions= -o smtpd_sender_restrictions= -o smtpd_recipient_restrictions= -o smtpd_relay_restrictions=permit_sasl_authenticated,reject -o milter_macro_daemon_name=ORIGINATING
所以,在这里我猜测,只要用户是SASLauthentication的用户,他或她就可以使用任何帐户发送电子邮件到任何目的地,没有helo或客户端的限制(我猜这是因为MUAs像前景 – 而不是服务器将连接到这个端口,所以你不想太挑剔)
我认为有些限制是很好的,尽pipe事实如此:
smtpd_sender_restrictions reject_non_fqdn_sender和reject_unlisted_sender reject_non_fqdn_recipient用于smtpd_recipient_restrictions 这些限制名单上还有其他可取的限制吗?
如果您需要validation,它永远不会成为开放的中继。
如果你担心你的用户没有使用好的密码,你可以通过postfix,iptables或者外部防火墙来限制networking到特定的IP范围。
另一个好的想法是将fail2ban作为一个powershell保护机制。
与任何电子邮件系统一样,您应该始终监视滥用行为,确保有一个有效的邮政pipe理员邮箱以及滥用。 同时监测RBL和build立反馈回路也是很好的做法。