Latest posts for the topic "Zimbra telnet vào Mail server gửi thư mà không cần xác thực"

Zimbra telnet vào Mail server gửi thư mà không cần xác thực

ctmanh — GMT

Hiện tại mình đang vận hành máy chủ Mail server Zimbra và có cấu hình Firewall cứng để NAT những cổng cần thiết. Nhưng dạo này mình phát hiện ra hệ thống gặp lỗi telnet vào server port 25 mà không cần xác thực.

telnet mail.domain.com 25 helo local.domain.com mail from: abc @domain.com rcpt to: xyz @domain.com data subject: xin chao. he thong mail gap loi xac thuc. .

Chỉ cần dùng vài lệnh như trên thì có thể gửi mail cho xyz @domain.com mà không cần nhập mật khẩu gì cả. Mình đang sử dụng Zimbra OS 8.0.5 open relay đang disabled. Mong các bạn giúp đỡ mình. Chân thành cảm ơn.

Zimbra telnet vào Mail server gửi thư mà không cần xác thực

myquartz — GMT

Zimbra sử dụng postfix làm MTA. Bạn kiếm 2 thiết lập sau của postfix để ngăn việc gửi mail không xác thực (đúng) này là: 1. smtpd_sender_login_maps: định nghĩa map giữa địa chỉ email và tên người xác thực 2. smtpd_sender_restrictions = reject_authenticated_sender_login_mismatch và reject_unauthenticated_sender_login_mismatch Chú ý phải xem kĩ Zimbra map theo các LDAP field nào, cả alias (tức là forward của mỗi account), mail group... nữa chứ không chỉ mail account. Vài gợi ý, có gì tìm thêm trên Internet.

Zimbra telnet vào Mail server gửi thư mà không cần xác thực

ctmanh — GMT

myquartz wrote:

Zimbra sử dụng postfix làm MTA. Bạn kiếm 2 thiết lập sau của postfix để ngăn việc gửi mail không xác thực (đúng) này là: 1. smtpd_sender_login_maps: định nghĩa map giữa địa chỉ email và tên người xác thực 2. smtpd_sender_restrictions = reject_authenticated_sender_login_mismatch và reject_unauthenticated_sender_login_mismatch Chú ý phải xem kĩ Zimbra map theo các LDAP field nào, cả alias (tức là forward của mỗi account), mail group... nữa chứ không chỉ mail account. Vài gợi ý, có gì tìm thêm trên Internet.

hi, cảm ơn bạn. Mình đã tìm và làm theo như bạn gợi ý nhưng vẫn chưa hiểu lắm nên chưa thành công. Nhưng mình có đọc một số tài liệu nói nên sự dụng cổng 587 thay vì dùng cổng 25. Và việc gửi mail trái phép không cần xác thực này mình cũng đã test trên một số hệ thống mail như MDAEMON, và các postfix mail đều bị, không chỉ riêng zimbra.

Zimbra telnet vào Mail server gửi thư mà không cần xác thực

myquartz — GMT

Tính năng xác thực này là tùy chọn với MTA. Nguyên tắc của postfix rất đơn giản. Nó kiểm tra tùy theo rule của các restrictions. Như trường hợp là mình dùng smtpd_sender_restrictions. Phải đặt các rule reject nằm trước các rule accept vì nó sẽ kiểm tra từ trên xuống dưới. 1. reject_unauthenticated_sender_login_mismatch: cái này sẽ bảo cho postfix rằng, mọi domain FROM nếu thuộc local_domain, virtual_domain và relay_domain đều phải xác thực (nếu có định nghĩa), không xác thực sẽ báo lỗi và reject. 2. reject_authenticated_sender_login_mismatch: sau khi user xác thực, rule 1 trên sẽ không còn tác dụng, chỉ có rule 2 này sẽ chạy. Postfix sẽ kiểm tra smtpd_sender_login_maps, nếu tìm thấy email nào đó trả về giá trị username (ví dụ FROM email abc@xxx.com trả về giá trị admin), thì bắt buộc người xác thực (ở bước trước, định nghĩa trong sasl*) phải là admin, khác sẽ không gửi được với FROM đó. Tóm lại nó check chủ nhân của người gửi, chứ không phải xác thực xong thì gửi với FROM gì cũng được. Trường hợp của bạn chỉ cần rule 1 là đủ. Cần đọc thêm về cách cấu hình postfix. Regards,