[postfix-jp:231] Re: 外部のネットワークから、他の外部へのメールを受け付けるSMTP サーバ

[ike@xxxxxxxxxxxxxxxxxxxxxxxx (Ikeda Nozomu)]

池田＠名古屋大学です。

11月30日(木) 23時53分頃、masaaki.matsudatb01さんは書きました。

>>main.cfの変更箇所はこんな感じです。
>>
>>----- ----- -----
>>smtpd_recipient_restrictions = permit,
>>  permit_mx_backup,
>>  reject_unauth_destination
>>
>>smtpd_sender_restrictions = permit_mynetworks,
>>  check_sender_access hash:/etc/postfix/access,
>>  reject_maps_rbl,
>>  reject_unknown_client,
>>  reject
>>----- ----- -----
>>
>>結局、smtpd_recipient_restrictionsには、何か制限を設定しなければ
>>ならないという仕様はありますが、ド出発にpermitをくっつけて
>>しまえばすんなり通ってしまいました。
>>こんなのは、怒られるだろうと思っていましたが、OKでよかったです。
　設定が通るかどうかと問題がないかというのは別問題です。
ところでこの設定では $mynetworks に属するクライアントからの送信と
access ファイルに書かれた送信者からのリレー以外は全く通さない設定
(つまり、外部の人がこのホストの人に全くメールを送信できない) になって
いるように見えるのですが、大丈夫ですか？
　RFC822 では全てのサイトで postmaster@domain が有効でないといけないと
しているので、外部の人が postmaster にすらメールを送信できないという
状況はまずいと思います。

>>もちろん、こういうサーバがあるから万人がスパムの被害にあうわけ
>>なのはわかりますが、では、悪用する立場から、私のサーバにどう
>>いうメールアドレスがあり、どのアドレスになりすませば送信できる
>>のかを「調べる」手段があるなら教えてください。
　メール関係や OS 関連のメーリングリスト・ニュースグループなどで
穴がありそうな設定を出している人を探して、そのホストでリレーを試して
みるというのが一番楽ですね。もちろんこの ML も例外ではないと考える
必要があります。アーカイブは公開されていますし。
　それと、From: によるアクセス制御に対して、ユーザ名を辞書から引いて
しらみつぶしに探索するソフトは簡単に作れそうですし、それよりも
ネットワークに流れているメールアカウントをとりあえず試してみると
いうのが最も手っ取り早いでしょう。
　いずれにせよ、あなたが予想しているよりもずっと簡単に攻撃可能で
あることは理解しておくべきです。

>>実は、私も興味はこちらがメインでした。ひとまずなにがしかの
>>SMTP認証の設定ができるまでは今回の設定でいけるかと。
　認証機構はすぐに実装すべきだと思います。

多少厳しい書き方になってしまったかも知れませんが、internet 上で
メールサーバを立ち上げる以上は、必要な対策をおこなう義務を負うことも
考えなければいけないと思います。