Комментарии 14
Что лучше, Exim или Postfix?
ИМХО. SMTP relay это уж совсем "детская" ошибка не раз описанная везде, в том числе на хабре. По моему опыту, возникает она скорее не когда кто-то целенаправленно собственный почтовый сервер разворачивает, а скорее у любителей различных сборок вроде LAMP, когда нечто предназначенное для разработки и тестирования выставляют наружу.
VNC наружу выставлять без пароля - тоже детская ошибка, однако судя по шодану имеет место быть и до сих пор.
Автор лишь описал свой ресерч
Автор для статьи искусственно создал некую ситуацию с открытым релеем и показал что такие возможны? Но что сможет такой релей в современном интернете? Занести свой ip во все возможные черные и серые списки в первые сутки существования? Быть забаненным любым правильно настроенным частным почтовым сервером после первого отправленного письма, еще до того как оно попадет в почтовый ящик получателя? Угодить в папку "Спам" любого крупного почтовика?
Это ни для кого не секрет - в интернете полно уязвимых видеорегистраторов, роутеров c admin:admin, сайтов на wordpress с уязвимыми плагинами, неправильно настроенных почтовиков, raspberry pi c доступом pi:raspberry...
Вместо того, чтобы разбирать каждый конкретный случай можно было бы написать - будьте внимательны, изучайте мануалы, а не только "installing...". Или вот смотрите:
в современном мире принято пользоваться как минимум средствами оценки репутации почтового сервера, которые кстати релей вычисляют на раз и тут же сообщают.
Мои личные грабли при настройке почтового сервера: Настройте, с недельку "прогрейте" пошлите несколько сообщений пользователям крупных почтовиков, только потом запускайте пользователей, строго предупредив не создавать шквал сообщений на 100+ получателей с текстом: "Привет вот мой новый адрес." Иначе даже с правильно настроенным SPF, DKIM, PTR улетите в спам на несколько дней. Крупные почтовики не любят новые серверы рассылающие тысячи сообщений в день.
Даже если релей будет "закрыт", но останется разрешение на отправку без авторизации, то можно будет слать письма внутри этого сервера. Для примера из статьи это с адреса *@test.lan на *@test.lan.
Более того, существуют варианты использования локальных почтовых серверов, которые располагаются внутри инфраструктуры и различные спам листы им не "угроза". А вот является ли угрозой/недопустимым событием возможность внутреннего нарушителя, будь то обиженный коллега или кто-то серьёзней, проводить рассылки с примерами из статьи - решать, конечно, только Вам)
Это совсем уж гипотетическая ситуация. Подразумевается что если уж вы взялись настраивать почтовый сервер, то невозможность отправки почты неавторизованным пользователем это первое о чем вы позаботитесь. Гипотетическое решение гипотетической проблемы. Конечно это решение не работает без должной квалификации. Я много работал с "корпоратами" и встречал разные дыры похлеще открытого релея. Пример:
1.Мы дадим вам доступ только через vpn с одноразовыми pin-кодами генерируемыми токеном. На машине к которой мы даем вам доступ не закрыт ни то что буфер обмена через RDP, но и возможность монтирования диска.
2. Мы дали вам доступ через VPN на RDP-сервер, там установлен putty, чтобы вы могли попасть на нужный вам сервер с linux. Буфер обмена и монтирование дисков через RDP запрещены. Если нужно отправлять файлы, то отправляйте на email админа.... С сервера RDP разрешены прямые TCP подключения на ip vpn-клиента... А тут еще и легитимно использовать putty...
3. в организации, где я раньше работал были довольно жесткие требования безопасности, но вот пароли.... Большинство ТОПов требовало снизить требования к сложности пароля, потому ходили с паролями 111111,666666,777777 . Так что нужно знать учетку, а там... (ген. директор даже был назначен администратором домена).Уволившись 7 лет назад, я почти уверен что смогу зайти с чьей-нибудь учеткой в корпоративный jabber и почитать чем живет "родная" фирма, но неинтересно.
Статья не совсем актуальна ведь из за спам - активности практически все серверы - а значит, и сервер, на котором находится почтовый ящик- имеют "белый лист IP адресов, с которых они принимают почту". Ну, или "черный список спам - серверов, с которых они почту не принимают". Так что заявление "Таким образом, при возможности неавторизованной отправки злоумышленник может использовать ЛЮБЫЕ адреса отправителя/имя. " скорее является сомнительным
Exim4 с Астрой нормально контактирует, как минимум из-за встроенности, да и их SMTP и TLS вроде как вообще не мешает работе остальных плагинов ОСки, да возможно больше защиты бы добавить, хотя сама астра ее предоставляет, но и сам Exim4 для легких задач же предназначен, админы думаю будут следить за этим
Никто же не обязует ставить именно Exim4 защиту на почту, хоть она и идеально с линуксом контачит, есть Postfix или Sendmail которые хоть и для большего количества задач, но они тоже не мешают Астре работать в своем режиме, хоть и занимают больше пространства и требуют большей слежки, но какой админ без работы?)
Использование Вашего почтового сервера для чужих рассылок