Лучшие практики для Open Relay Email Server
У меня есть сценарий, в котором мне нужно настроить postfix без TLS, без аутентификации SMTP и открытое реле, позволяющее использовать только один удаленный IP-адрес. Письма с этого удаленного IP-адреса также могли быть подделаны.
Я знаю, не спрашивайте о том, как я дошел до этой точки...
Я обеспокоен тем, что мой сервер будет в черном списке в будущем.
Каковы лучшие практики для управления сервером открытой ретрансляции, чтобы он не был в черном списке??
Заранее спасибо.
5 ответов
Это не открытый ретранслятор, если вы просто принимаете любую почту с одного IP-адреса. (Открытые реле принимают любую почту из любого места.)
В этом случае просто добавьте IP-адрес mynetworks в вашем постфиксе main.cf,
О, и не рассылай спам.
Не делайте это "открытым ретранслятором"... Просто не требуйте аутентификации с того IP-адреса для ретрансляции. Это действительно не то же самое. Я делаю это все время для внутренних диапазонов IP-адресов (например, мой внутренний диапазон принтеров не нуждается в аутентификации, поэтому они могут отправлять уведомления по электронной почте без учетных записей пользователей, которые должны постоянно поддерживаться).
SMTP лучшие практики и открытые реле являются взаимоисключающими.
RFC5068: http://tools.ietf.org/html/rfc5068
Лучшая практика для серверов электронной почты с открытым ретранслятором - не иметь их, а помещать в черный список.
Пока это только один удаленный IP-адрес, самым простым решением было бы отключить трафик, за исключением этой одной машины.
Что-то вроде:
-A <chain> -s <your_ip>/32 -m state --state NEW -m tcp -p tcp --dport 25 -j ACCEPT
-A <chain> -m tcp -p tcp --dport 25 -j DROP
Кроме того, как уже говорили другие, вы действительно не должны использовать открытое реле.