可以在Postfix中实现一个基于IP地址的 SMTP AUTH 限制吗? 场景:我正在运行一个Postfix邮件服务器,接收来自所有Internet的邮件。 但是服务器不仅收到邮件,还允许其authentication用户向内部用户或外部用户发送邮件。 到目前为止没有问题。 不幸的是,在阅读日志文件时,我总是感到有些害怕。 世界各地的IP地址每天都有数千次不成功的非法login尝试。 但实际上,合法的发送者主机只来自less数几个已知的IP地址范围。 所以我知道只有一个人(例如) 134.500.0.0/16 134.700.42.0/24 134.800.133.7 甚至可能是一个合法的发送者。 (我知道上面例子中给出的IP地址格式不正确,我只是不想揭示真实的IP地址)。 所以如果发件人来自不同的IP范围,他肯定没有我的用户,因此不允许任何传递。 即使他为SMTP AUTH计算出有效的用户名/密码组合,我也不希望这些子网之外的人能够进行中继。 如果他来自非白名单的IP地址范围,则他不得发送。 在任何情况下。 所以permit_sasl_authenticated是不够的。 只要来自“某些”国家的某个人(我不想明确指出他们的名字)能够以被盗/强迫/间谍身份login,就不够安全。 :-)(想想社交工程,窃取账户数据的木马键盘logging程序,轻松猜测密码的头昏眼花的用户等等) =>那么有可能为SMTP AUTHlogin尝试实施一个IP地址限制? (收到的邮件一定不能被这个影响,因为我有这个policyd-weight等等。这里只是关于传出/被转发的邮件。) 解决scheme将无法正常工作 : iptables防火墙限制。 由于我希望能够通过端口25接收来自互联网的邮件,因此我无法对传输层级实施限制。 – 此外,我希望合法用户能够连接到端口25,以接纳新的传出邮件到服务器。 所以只允许通过子网限制的神秘TCP端口,例如24343发送邮件,也是没有解决scheme。 permit_mynetworks :并非来自已知IP范围的每个人都是合法用户。 所以我不能允许所有人发送。 需要SMTP AUTHlogin才能确定某人是否是授权用户。
我们有一个很奇怪的情况,我不太明白。 我们的后缀服务器主要提供电子邮件就好了,但对于一些域,有一个问题。 这些域是独特的,因为他们只有一个logging,没有MXlogging的DNS。 我得到的错误是: host or domain name not found. Name service error for name=<DOMAIN> type=MX: Unknown error 0> 奇怪的是,这是真的 – 因为MX查找确实失败。 有一个logging,但后缀似乎很高兴忽略。 我们目前正在运行来自pkgsrc的postfix 2.9.6。
我陷入了两家公司之间的技术战争中。 一个是主要的电子邮件托pipe组织。 第二个是名为DNSMadeEasy的DNS提供商。 问题:从外部域到电子邮件主机内的域的电子邮件会间歇性地延迟两个或更多个小时。 外部域使用DNSMadeEasy托pipe和虚荣名称服务器。 症状:电子邮件主机的postfix发送:450 4.1.8:发件人地址被拒绝:找不到域(回复RCPT TO命令) 它看起来像某种DNS问题,但DNSMadeEasy和电子邮件主机都说没有问题,并指向对方。 其中一位电子邮件主持人的技术人员将下列信息传递给了我认为由高级技术人员之一编写的信息: Actually the problem with skv.com is here — domain resides on skv.com ns3.primusnetworks.com 208.80.126.4 ns2.primusnetworks.com 208.80.124.4 ns1.primuscomputing.com 208.94.149.4 看起来一切都是正确的,但是 1)域primuscomputing.com也服务于ns1 / 2.primusnetworks.com,因此我们应该要求ns2 / 3.primusnetworks.com获取ns1.primuscomputing.com的地址 2)primusnetworks.com实际上只位于一个NS(尽pipe根服务器认为) primusnetworks.com ns1.primuscomputing.com 208.94.149.4 这严重违反了RFC – 至less应该有两台NS服务器。 最糟糕的 – 这台NS服务器configuration不正确。 所以最后我们看到,skv.com是由单个错误configuration的NS服务器提供服务 – skv.com需要更改DNS主机。 附加说明:DNSMadeEasy说,有六个独立的服务器,为skv.com工作。 两个问题: 如果你看看如何为skv.com指定名称服务器,你是否看到一个问题? 你知道邮件主机试图说什么吗? 我试图找出更多的信息,但两家公司正在挖掘他们的高跟鞋。
在我的服务器上做一个nmap,我得到这个: 25/tcp open smtp 80/tcp open http 110/tcp open pop3 143/tcp open imap 465/tcp open smtps 587/tcp open submission 993/tcp open imaps 995/tcp open pop3s 我只想使用安全的连接,因此只有smtps,imaps和pop3s。 我可以禁用不安全的协议,并期望事情工作? 如果我试图发送电子邮件给没有pop3s的服务器呢? 为什么在那里submission ? 它属于Postfix,但是他的目的是什么? 不是只使用smtp / s的后缀? 我正在使用Roundcube来阅读我的电子邮件,这是与Postfix和Dovecot托pipe在同一台服务器上。 我没有使用任何其他电子邮件客户端。 如何禁用公共imaps和imaps ? 我只想要Roundcube使用它。
我需要移动托pipe服务提供商的四个或五个域名,由于几个原因,我正在考虑一个Linux VPS,而不是留在我目前的共享,托pipe托pipe服务提供商。 唯一阻止我的是电子邮件。 我有很多运行和维护Apache的经验,但没有任何电子邮件服务器。 基于一些研究,如果我想保留我现在使用的东西,看起来我会用Postfix和Dovecot,可能还有Exim和SpamAssassin。 我没有问题进行定期维护和安全更新观看,但我不想咬更多比我可以咀嚼。 对于新来的电子邮件服务的人来说,设置一个可以通过SSL / TLS进行外部访问的电子邮件服务器(通过SMTP和POP3,而不是IMAP),可以通过SSL / TLS进行访问,而且对多个域名合理可靠? 多less时间的承诺是维护一个?
我注意到越来越多的人使用基于DNS的SPFlogging,我想增强我的垃圾邮件filter。 我正在使用SPF和灰名单,我的想法是只使用灰名单,如果SPF失败或类似。 我已经在网上search了一个解决scheme,但是似乎大多数人只希望为sqlgrey做一个新的特性,这个特性正在被作者拒绝,因为它不是灰名单工具的主要任务。 有没有人这样的filter链运行,可以帮我吗? 提前致谢。
我希望将Postfixconfiguration中的多个域列入白名单,以便只要使用SPF和/或DKIM对其进行了适当的身份validation,就可以接受来自这些域的所有电子邮件。 这意味着来自这些域名的电子邮件不应该受到通常的DNSBL和灰名单过程的限制,只能进行SPF和DKIMvalidation。 现在,我已经设法通过configurationsender_access文件并使用sender_access实用程序将其转换为合适的散列数据库来保存来自sender_access milter的这些域的电子邮件。 main.cf : … parent_domain_matches_subdomains = yes smtpd_recipient_restrictions = permit_mynetworks permit_sasl_authenticated reject_rbl_client zen.spamhaus.org reject_unauth_destination check_sender_access hash:/etc/postfix/sender_access check_policy_service unix:private/tumgreyspf … sender_access : domain1.com OK domain2.net OK 我已经发现了关于postscreen ,也发现了一个整洁的小例子 ,但它似乎是一个DNSBL的措施,只是在我的情况稍有帮助。
我正在尝试将postfixconfiguration为forwader到gmail。 我已经成功为我所托pipe的域configuration了虚拟别名,并且我希望redirect,但Gmail SPFvalidation因此失败: Delivered-To: [email protected] Received: by 10.25.28.147 with SMTP id c141csp88155lfc; Sat, 11 Oct 2014 09:08:40 -0700 (PDT) X-Received: by 10.224.70.83 with SMTP id c19mr21300511qaj.66.1413043720159; Sat, 11 Oct 2014 09:08:40 -0700 (PDT) Return-Path: <[email protected]> Received: from mail1.mycompany.com (mail1.mycompany.com. [2604:xxxxxxx:b5c8]) by mx.google.com with ESMTP id d63si16549011qgd.80.2014.10.11.09.08.39 for <[email protected]>; Sat, 11 Oct 2014 09:08:40 -0700 (PDT) […]
我有一个(可能不寻常的)使用Postfix将邮件转发到另一个Postfix邮件服务器,然后需要发送电子邮件的情况。 我已经阅读了大量的教程,并看到使用Postfix作为电子邮件中继发送给像Google这样的外部提供者的说明。这是不同的,因为我需要发送到另一个Postfix服务器,并使其作为发件人。 发件人总是相同的(对于两个服务器),但最终的收件人可以是任何人。 问题是我错过了一些重要的信息: 如何告知mail.postfix2.com接受来自postfix1.com的中继邮件? 如何告诉mail.postfix2.com将中继邮件发送到目的地? 如何更改mail.postfix2.com接受中继邮件的端口? 这里是基本的configuration参数: Postfix服务器1: main.cf: myhostname = postfix1.com relayhost = mail.postfix2.com mydestination = postfix1.com, localhost.postfix1.com, localhost, mail.postfix2.com inet_interfaces = all Postfix服务器2: main.cf: myhostname = mail.postfix2.com mydomain = postfix2.com mydestination = $myhostname, localhost.$mydomain, localhost, $mydomain relay_domains = $mydestination inet_interfaces = all 当我尝试中继到mail.postfix2.com我得到: Oct 21 11:04:28 ns3312015 postfix / error [2538]:C016F47E75B5:to = […]
我正在build立一个后缀云服务器,我想限制域内的通信。 也就是说,用户只能与在电子邮件域中拥有地址的其他用户进行通信 – 不会向其他域(如Gmail,Hotmail等)传入或传出消息: YES: [email protected] <—-> [email protected] NO: [email protected] <—-> [email protected] 什么是简单的方法来做到这一点? 我正在使用postfix / courier。 谢谢。 更新 – 如何做到这一点: 在/etc/postfix/main.cf : # first rule makes sure users cannot sent to people outside the domain # (check_recipient_access is the one you want) smtpd_recipient_restrictions = check_recipient_access regexp:/etc/postfix/recipient-access, permit_sasl_authenticated, permit_mynetworks, reject_unauth_destination, permit # block sends from external […]