[Postfix] Czy publiczne IP w mynetworks jest bezpieczne?
: 2006-09-14, 14:38
Mam pytanie do osób obeznanych z Postfiksem.
Otóż istnieje sobie serwer poczty dla jednej domeny. Na tej samej maszynie rownież stoi Apache ze Squirellmail, po to aby można było zewsząd z internetu zalogować się do skrzynki, odebrać i wysłać wiadomości. Z serwera korzysta się również przy pomocy Klientów poczty.
Do tej pory parametr mynetworks w pliku. main.cf wyglądał następująco:
i wydawało się, że wszystko funkcjonuje poprawnie. Ograniczenia postfiska wpuszczały klientów na podstawie SMTP-AUTH. Połączenia z www szyfrowane itp. Łącząc się z zewnątrz ze stroną www do Squirellmaila można było oglądać pocztę wysłaną z zewnętrznych adresów. Testy pokazywały, że na adresy naszej domeny mejle można było wysyłać. I niby wszystko wbrew pozorom było okej.
Z czasem okazało się że próbując wysłać (odpowiedzieć na) mejla na obcy adres w Squirrellmail, Squirrellmail pokazywał piękny błąd
a logi postfiksa
Rozwiązaniem było dodanie publicznego adresu IP serwera pocztowego do parametru mynetworks czyli
i działa.
Ale powstało pytanie. Czy nie wprowadziło to luki powodującej, ze serwer będzie otwartym przekażnikiem?
Będę wdzięczny za opinię i weryfikację.
Pozdrawiam!
Otóż istnieje sobie serwer poczty dla jednej domeny. Na tej samej maszynie rownież stoi Apache ze Squirellmail, po to aby można było zewsząd z internetu zalogować się do skrzynki, odebrać i wysłać wiadomości. Z serwera korzysta się również przy pomocy Klientów poczty.
Do tej pory parametr mynetworks w pliku. main.cf wyglądał następująco:
Kod: Zaznacz cały
mynetworks = 192.168.1.0/24, 127.0.0.0/8
Z czasem okazało się że próbując wysłać (odpowiedzieć na) mejla na obcy adres w Squirrellmail, Squirrellmail pokazywał piękny błąd
Kod: Zaznacz cały
BŁĄD: Transakcja zakończona niepowodzeniem. Odpowiedź serwera: 554 5.7.1 <adres@obcy.pl>: Relay access denied
Kod: Zaznacz cały
serwer.domena.pl[publiczny.adres.ip]: 554 5.7.1 <adres@obcy.pl>: Relay access denied
Kod: Zaznacz cały
mynetworks = 192.168.1.0/24, 127.0.0.0/8, publiczny.adres.ip
Ale powstało pytanie. Czy nie wprowadziło to luki powodującej, ze serwer będzie otwartym przekażnikiem?
Będę wdzięczny za opinię i weryfikację.
Pozdrawiam!