On Sat, Sep 25, 2010 at 04:31:52PM +0200, Gelpi Andrea wrote:
Salve,
in postfix è possibile eseguire controlli sulle mail in arrivo
utilizzando vari sistemi e facendo controlli su vari campi della mail in
arrivo.
In ordine di esecuzione i controlli possono essere:
smtpd_client_restrictions
smtpd_helo_restrictions
smtpd_sender_restrictions
smtpd_recipient_restrictions
smtpd_data_restrictions
smtpd_end_of_data_restrictions
smtpd_etrn_restrictions
sni
smtpd_etrn_restrictions e' allo stesso livello di
smtpd_sender_restrictions, visto che serve quando viene usato il comando
ETRN invece di MAIL FROM
Il primo è quello deputato ad eseguire i controlli sulle liste RBL
sni, i controlli sulla rbl vengono fatti da reject_rbl_client, che puo'
essere messo in qualsiasi smtpd_XXX_restrictions
Ora è noto a tutti che alcuni grossi provider italiani hanno alcuni dei
loro IP in blacklist da anni e non sembrano interessati a cercare una
soluzione al problema (ma forse sbaglio).
sei poco chiaro come fanno notare altri
Il risultato è che se ho un mittente valido che passa attraverso uno degli
IP in blacklist per metterlo in whitelist devo farlo sull'IP di
provenienza. Ciò significa che tutto ciò che parte da quell'IP verrà
considerato valido e passerà oltre.
se metti un permit, si
con delle restriction_classes puoi far in modo di bypassare il check RBL
e basta per alcuni ip. ma e' piu semplice cambiare l'ordine dei
controlli, vedi sotto.
A me sarebbe piaciuto invece usare un meccanismo diverso, mettendo in
whitelist solo la casella di posta o al massimo il dominio del mittente.
quella, come dici sotto e' spoofabile, o forse vuoi mettere l'accoppiata
ip-dominio ?
questo si puo' fare con
a) un policy server
b) utilizzando le restriction classes, ma diventa complicato se i domini
e gli ip sono tanti.
La cosa si può fare cambiando l'ordine in cui vengono effettuati i
controlli. Ad esempio spostando il primo al terzo posto:
non cosi
smtpd_helo_restrictions
smtpd_sender_restrictions
smtpd_client_restrictions
smtpd_recipient_restrictions
...
Quello che mi sto domandando è che se quelli di postfix hanno scelto una
logica nell'ordine dei controlli che cosa rischio nel cambiarla? A quali
possibili attacchi alla posta elettronica mi espongo?
quello e' l'ordine in cui avvengono le varie fasi di una trasmissione di
mail. Non puoi cambiarla in alcun modo.
in realta' pero postfix (se e' abilitato smtpd_delay_reject, il default)
esegue tutti i controlli fino a smtpd_recipient_restrictions dopo aver
ricevuto il destinatario, quindi e' molto piu' semplice mettere tutte le
restrizioni in fila dentro a smtpd_recipient_restrictions.
ergo puoi mettere i controlli nell'ordine che preferisci, io le DNSBL le
ho molto in fondo alla lista, giusto prima del greylisting e del reject
finale.
in smtpd_data_restriction metto solo quelle che hanno senso li:
reject_unauth_pipelining, reject_multi_recipient_bounce
end_of data e' legato ad un policy server che uso per i domini che hanno
impostazioni diverse sulla dimensione massima della mail.
etrn non lo uso e basta.
L.
--
Luca Berra -- [email protected]
Communication Media & Services S.r.l.
/"\
\ / ASCII RIBBON CAMPAIGN
X AGAINST HTML MAIL
/ \
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
