如何禁止postfix在未經(jīng)過sasl認證的情況下發(fā)信

balthild

環(huán)境：Debian 7.9 wheezy， Postfix 2.9，Cyrus-SASL，

目的是搭建一個純虛擬用戶的郵件服務器，而且僅允許可以登錄的虛擬用戶收發(fā)信。

在telnet 連接25端口后，EHLO 后輸出的有 250-AUTH PLAIN LOGIN CRAM-MD5 DIGEST-MD5 這樣一行，SASL認證進測試可以正常登陸

但是，即使沒有登錄（沒有AUTH LOGIN這一步），也可以執(zhí)行 MAIL FROM: , RCPT TO: ，并且發(fā)信

這是我的配置文件中相關(guān)的內(nèi)容：

1. smtpd_sender_restrictions = permit_mynetworks,
   
2.     permit_sasl_authenticated,
   
3.     warn_if_reject,
   
4.     reject_non_fqdn_sender,
   
5.     reject_unknown_sender_domain,
   
6.     reject_unauth_pipelining,
   
7.     permit
   
8. 
   
9. smtpd_recipient_restrictions = permit_mynetworks,
   
10.     permit_sasl_authenticated,
    
11.     reject_invalid_hostname,
    
12.     reject_non_fqdn_hostname,
    
13.     reject_unknown_sender_domain,
    
14.     reject_non_fqdn_sender,
    
15.     reject_non_fqdn_recipient,
    
16.     reject_unknown_recipient_domain,
    
17.     reject_unauth_pipelining,
    
18.     reject_unauth_destination,
    
19.     permit
    
20. 
    
21. smtpd_sasl_security_options = noanonymous

復制代碼

相關(guān)的教程都說這樣配置能啟用SASL認證發(fā)信，卻無一提到如何禁止匿名發(fā)信。并且，無論baidu、google，都無法尋找到相關(guān)的配置方法

我還搜索了Postfix官方的配置文件描述文檔中所有和anonymous有關(guān)的選項，都沒找到明確禁止不登錄直接發(fā)信的配置選項

所以來發(fā)帖問一下，如何配置才能使得postfix不允許（包括且不僅限于telnet中）未登錄的發(fā)信行為？

woxizishen

配置正確sasl 就可以防止匿名發(fā)信了和你上面一堆問題。

自己這個沒配置正確而已，你最后加了一個permit，我佩服你
smtpd_recipient_restrictions

balthild

回復 2# woxizishen


    原來是這樣啊，感謝版主的回復

    那 smtpd_sender_restrictions 最后的 permit 需不需要也去掉？

balthild

回復 2# woxizishen


    我嘗試了一下您說的，去掉了permit，但是還是可以不登錄而直接服務器內(nèi)部互相發(fā)郵件，只是向外發(fā)送被禁止了。

    我查了一下，發(fā)現(xiàn)收信是在不登錄的情況下連接服務器自身的SMTP類內(nèi)部發(fā)信，但是我嘗試了其他郵箱的SMTP，比如QQ郵箱，發(fā)現(xiàn)它是沒有登錄無法操作的。請問，如果想要達到這種效果，需要如何配置？

laozhu168

smtpd_sasl_security_options = noanonymous   這一句就是禁止采取匿名登陸方式的，這個問題可能出在Cyrus-SASL，你可以參考一下這個帖子：
http://www.72891.cn/forum.p ... mp;fromuid=24035263

woxizishen

回復 4# balthild

permit_mynetworks

你登陸到郵件服務器的那個電腦網(wǎng)段是不是允許的？ 自己看下mynetworks

balthild

回復 6# woxizishen


    不是，我的 mynetwork = 127.0.0.1，而我是在家里直接 telnet SMTP的

balthild

回復 5# laozhu168


    感覺不太可能是庫或者程序自身的問題。我先后在Debian 7.9 wheezy 上 apt-get安裝 和 CentOS 6.5上 yum 安裝，測試都是這樣的問題。不過沒有嘗試過編譯安裝。

woxizishen

回復 8# balthild

不想多說，你的sasl驗證就是沒配置正確，配置正確的你在家里絕對不可能直接登錄到服務器發(fā)郵件，一定得先經(jīng)過sasl驗證，才允許你發(fā)郵件，否則你的郵件服務器配置的就是OPEN RELAY.

1.要想postfix支持sasl
1.實現(xiàn)的smtp認證功能需要在編譯postfix時編譯進sasl支持（先確認你安裝的postfix版本是否支持sasl      postconf –a  ）

2.并在main.cf中將smtpd_sasl_auth_enable設(shè)置為yes  啟動sasl認證

balthild

回復 9# woxizishen


兩次在不同的服務器上配置，用的 postfix 都是 apt-get/yum 軟件源的版本，而不是手動編譯的

postconf -a 輸出：
cyrus
dovecot


也確定 smtpd_sasl_auth_enable = yes

現(xiàn)在的問題是，telnet連接SMTP后，不經(jīng)登陸可以向 同一服務器內(nèi)的 郵箱賬戶發(fā)送郵件， 但確實無法向外部郵箱發(fā)送，說明這個郵件服務器不是 open relay.

比如我配置的郵箱域名是 sora.hk（以虛擬域方式配置），存在郵箱賬戶 admin@ sora.hk，于是我連接上SMTP后可以任意向 admin@ sora.hk 發(fā)送郵件，而且 mail from: 可以任意填寫以偽造發(fā)件人。我的目的現(xiàn)在是想要阻止這種情況。