Dotaz: Zabranit odesilani ze SMTP

Ahoj,

rad bych se zeptal, zda-li se da nejak zabranit postfixu, aby neodesilal maily pomoci telnetu na portu 25, diky teto moznosti muze vlastne kdokoli z meho mail serveru odesilat postu pod jakymkoli mailem,... coz bych byl nerad, existuje nejake reseni, jak to v postfixu vypnout nebo osetrit? Napr. odesilat jen z urcitych domen ci neco jineho? Diky moc

Sice moc nechápu co se snažíš říct, ale nebylo by řešení zakázat ve firewallu port 25?

Postfix nepoužívá telnet.

A postfix jde nastavit z jakého rozsahu IP může přijímat a odesílat poštu.

Takže správně nastavit a pojistit ještě v kombinaci s firewalem.

V souboru /etc/postfix/main.cf je volba mynetworks=, která určuje, které IP adresy bude Postfix chápat jako svou síť. Z těchto adres dovolí posílat e-maily komukoli kamkoli (pokud není požadována např. ještě autorizace heslem). pokud má Postfix přijímat poštu i z jiných sítí, a to pouze poštu pro vlastní doménu, k tomu slouží tamtéž volby mydestination, relay_domains a možná ještě nějaké související s virtual adresami.

Osobní dovětek, který doufám zrovna pro vás nebude platit, berte ho jako varování: e-mail vypadá jako strašně jednoduchá technologie. Konfigurace e-mailového serveru vypadá také strašně jednoduše. Často vlastně není potřeba konfigurovat nic, a ono to nějak funguje. Zdání ale klame. Nakonfigurovat poštovní server tak, aby nedělal paseku po celém internetu, není jen tak.

• Správně nakonfigurovaný poštovní server neumožní rozesílat spam komukoli se zamane.
• Správně nakonfigurovaný poštovní server nedovolí rozesílat spam nebo viry moc dlouho ani "svému" uživateli.
• Správně nakonfigurovaný server neposílá chybové zprávy na adresy, které s chybou nemají vůbec nic společného. Nerozesílá takto ani upozornění na domnělé viry, na spam a podobně. Pokud si není poštovní server absolutně jistý, neposílá chybové zprávy raději nikam, pouze informuje svého správce.
• Správně nakonfigurovaný poštovní server nezahazuje bezdůvodně zprávy určené jeho uživatelům. Pokud už se rozhodne nějakou takovou zprávu nedoručit, měl by mít odesílatel nebo adresát šanci zjistit, že k něčemu takovému došlo, a nejlépe by adresát měl mít možnost takový e-mail získat (nemusí jít o nic automatizovaného, stačí i dohoda se správcem poštovního serveru).

Vyhnete se tak nas naštvaným reakcím správců jiných e-mailových serverů, kteří musí řešit to, proč jejich uživatel dostává oznámení o zavirovaném e-mailu jenom proto, že nějaký poštovní server nemá na práci nic jiného než tato oznámení posílat na adresy, které onen vir zfalšoval; nebo musí řešit to, proč e-maily jeho uživatelů nejde na některé domény doručit – a zjistí, že správce dotyčný server nakonfiguroval tak, aby zahazoval všechny zprávy pocházející ze serverů, které jsou na veřejném "blacklistu", který vzniká tak, že nějaký robot prochází doménová jména a tipuje si, jestli by potenciálně mohlo mít nějakou souvislost se spamem, nebo ne (možná, že si jenom hází kostkou, tak podrobně jsem to nezkoumal, ale vyjde to zhruba nastejno). Věřte mi, že jsem normálně kliďas, a sprosté slovo ode mne asi ještě nikdo neslyšel. Ale vždy se musím dost snažit, aby se moje e-maily takovýmto "správcům" (Tak sem ti, hele, nainstaloval ten Postfix, a nic to nebylo, už mi fachčí mailserver, hele. A našel sem takouvou fíčuru, normálně když mi někdo pošle vira, tak mu ho hned 30× pošlu zpátky, ať si taky užije, no né? Když to neumí…) obešly bez sprostých slov.

Berte to jako přátelské varování služebně staršího kolegy, který už nějaký ten pátek mail server provozuje. A za ta léta zjistil, že zatímco web server, ssh, DNS nebo i Samba se jednou nakonfigurují a pak už fungují sami, a není potřeba se o ně starat, mail server vyžaduje stálou péči.