Каков наилучший способ укрепить нулевой клиент postfix на эксплуатируемом веб-сервере php?

Question

Каков наилучший способ укрепить нулевой клиент postfix на эксплуатируемом веб-сервере php?

Мы используем postfix в качестве нулевого клиента для отправки почты с веб-сервера php через sendmail. Мы размещаем наши серверы входящей почты в другом месте и используем запись SPF, чтобы авторизовать сервер для отправки электронной почты с нашего домена. Это все работает.

Теперь я хотел бы укрепить постфикс, особенно против эксплуатируемых сценариев PHP, которые отправляют почтовый спам. Но проблема в том, что я хочу разрешить отправку электронных писем на любой действительный адрес, поскольку у меня есть веб-формы клиентов, которые должны иметь возможность получать письма с подтверждением. Я понимаю, что это ограничение ущерба, и есть только так много, что возможно.

Что люди предлагают для обнаружения / предотвращения этого? или я должен сосредоточить свои усилия в другом месте.

Вещи, о которых я думал, но еще не пробовал:

Чтобы прекратить отправку писем от имени: доменов, с которых я не авторизован. Я нашел, как настроить это с помощью smtpd_recipient_restrictions = check_sender_access Будет ли это работать с localhost sendmail? Стоит ли вообще, если злоумышленник знает, что письма отправляются только с правильным адресом FROM?
Чтобы обнаружить, что локальный хост отправляет поток писем, отключить его и предупредить меня по электронной почте. Не знаю, как это сделать, и возможно ли это вообще.

1

postfix sendmail spf flooding

Источник

Phil 28 июн '15 в 01:31

1 ответ

Другие вопросы по тегам postfix sendmail spf flooding

André Borie 15 авг '15 в 08:25 2015-08-15 08:25 · Answer 1 · 2015-08-15 08:25

Я предлагаю вам переместить почтовый сервер на другой компьютер и запретить фактическому веб-серверу обмениваться данными через порт 25 с чем-либо, кроме вашего почтового сервера. Это означает, что даже пользовательский спамбот (который не использует почтовую функцию и использует простые сокеты) не будет работать.

На своем почтовом сервере создайте (виртуальные) учетные записи пользователей для каждого из ваших клиентов хостинга, чтобы вы могли однозначно идентифицировать их, применять ограничения скорости и блокировать их, если они спамят, не блокируя других пользователей на том же сервере.

Наконец, установите PolicyD и примените ограничения скорости для каждого клиента и проверку на спам исходящей почты, чтобы замедлить потенциального спамера и предупредить вас, если исходящая почта выглядит спамом.

Конечно, нет ничего идеального, но эта настройка, по крайней мере, предупредит вас, если исходящая почта выглядит как спам, и будет сохранять спам относительно медленным из-за ограничений скорости до тех пор, пока вы не исследуете и (надеюсь) не удалите всю учетную запись хостинга.