Strona 1 z 1

[Postfix] Czy publiczne IP w mynetworks jest bezpieczne?

: 2006-09-14, 14:38
autor: Skyscraper
Mam pytanie do osób obeznanych z Postfiksem.

Otóż istnieje sobie serwer poczty dla jednej domeny. Na tej samej maszynie rownież stoi Apache ze Squirellmail, po to aby można było zewsząd z internetu zalogować się do skrzynki, odebrać i wysłać wiadomości. Z serwera korzysta się również przy pomocy Klientów poczty.
Do tej pory parametr mynetworks w pliku. main.cf wyglądał następująco:

Kod: Zaznacz cały

mynetworks = 192.168.1.0/24, 127.0.0.0/8
i wydawało się, że wszystko funkcjonuje poprawnie. Ograniczenia postfiska wpuszczały klientów na podstawie SMTP-AUTH. Połączenia z www szyfrowane itp. Łącząc się z zewnątrz ze stroną www do Squirellmaila można było oglądać pocztę wysłaną z zewnętrznych adresów. Testy pokazywały, że na adresy naszej domeny mejle można było wysyłać. I niby wszystko wbrew pozorom było okej.

Z czasem okazało się że próbując wysłać (odpowiedzieć na) mejla na obcy adres w Squirrellmail, Squirrellmail pokazywał piękny błąd

Kod: Zaznacz cały

BŁĄD: Transakcja zakończona niepowodzeniem. Odpowiedź serwera: 554 5.7.1 <adres@obcy.pl>: Relay access denied
a logi postfiksa

Kod: Zaznacz cały

serwer.domena.pl[publiczny.adres.ip]: 554 5.7.1 <adres@obcy.pl>: Relay access denied
Rozwiązaniem było dodanie publicznego adresu IP serwera pocztowego do parametru mynetworks czyli

Kod: Zaznacz cały

mynetworks = 192.168.1.0/24, 127.0.0.0/8, publiczny.adres.ip
i działa.

Ale powstało pytanie. Czy nie wprowadziło to luki powodującej, ze serwer będzie otwartym przekażnikiem?
Będę wdzięczny za opinię i weryfikację.

Pozdrawiam!

Re: [Postfix] Czy publiczne IP w mynetworks jest bezpieczne?

: 2006-09-14, 16:39
autor: Skyscraper
OK, powyzszy przypadek rozwiązałem w sposób wg mnie lepszy (moze i bezpieczniejszy), bez dodawania publicznego adresu IP serwera do mynetworks. W konfiguracji Squirellmaila, w ustawieniach SMTP i IMAP widnialy wpisy domeny serwera pocztowego, wskazujacej na publiczny adres IP, dlatego wymagany byl wpis tego adresu w mynetworks. Zaznaczam ze sposób autoryzacji SMPT-AUTH był ustawiony poprawnie w konfiguracji Squirellmaila.

Zmienilem konfiguracje SMTP i IMAP w Squirellmail na localhost, przez to mogłem usunąć publiczny adres z mynetworks. Localhost jest dopuszczany w main.cf dzieki wpisowi 127.0.0.0/8 w mynetworks.

Mam nadzieje, że komuś się to przyda :)