smtp server 使用 telnet 內送問題

smtp rcpt to telnet

towns 2022-09-27 11:21:03 ‧ 988 瀏覽

分享至

請教各位大大們，towns 目前的mail server，因為可以使用telnet 連入25 port，並使用rcpt to發信到內部使用者，這個問題被視為高度弱點。
請問前輩們，是否有辦法 1.限制smtp server，使用telnet 連入系統，或是 2.限制使用rcpt to這個指令進行內部送信？

看更多先前的討論...收起先前的討論...

窮嘶發發發 iT邦高手 1 級 ‧ 2022-09-27 11:40:30 檢舉

沒有SSL 跟使用者驗證弱點啊，怎麼這各不先處理

japhenchen iT邦超人 1 級 ‧ 2022-09-27 13:24:32 檢舉

簡單的話就是啟用SASL使用收信時的登入帳密即可，最好還是能跟AD整合

towns iT邦新手 4 級 ‧ 2022-09-27 15:42:15 檢舉

補充說明
系統是使用zimbra架設的，使用者是使用UI連到server中收發信
無開放使用POP3收信功能
有開啟SASL驗證（smtpd_sasl_auth_enable = yes）
帳號是使用AD認證
未使用smtps
towns 先試著將 smtps 開啟後，再進行測試，謝謝大大們回應

窮嘶發發發 iT邦高手 1 級 ‧ 2022-09-27 16:15:34 檢舉

封鎖telnet 要靠支援 L7 的防火牆，然後防火牆還必須架設在SMTP的前面，這樣才能阻止，你找一下國內外的文件，大多建議這麼處理，因為管理不了USER只好靠設備而已

towns iT邦新手 4 級 ‧ 2022-09-27 16:58:27 檢舉

窮嘶發發發
謝謝您，這是一個好方式

towns iT邦新手 4 級 ‧ 2022-09-28 13:49:14 檢舉

請問大大，如何開啟 STARTTLS command 功能？在使用 telnet 連入 gmail（telnet smtp.gmail.com 25）後，下 mail from 時，gmail 的 smtp server 會要求先打入 Must issue a STARTTLS command first.這個是怎麼做到的？

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

1 個回答

㊣浩瀚星空㊣

iT邦大神 1 級 ‧ 2022-09-27 12:39:18

25 PORT的確已經是弱點之一，原因它是公開使用的。
其實一些雲端主機或是主機商。都已經直接限制 25 PORT無法使用。

建議你從驗証身份及SSL處理下手。

回應 1
分享
檢舉

towns iT邦新手 4 級 ‧ 2022-09-27 16:01:08 檢舉

謝謝星空大的回應
SASL驗證（smtpd_sasl_auth_enable = yes）是有開啟的，這個可以防止使用者任意外送信件（open relay）的問題，不過，卻無法阻擋登入server後，發信給本機的使用者（也就是指，使用telnet 連入 smtp server，並下 ehlo locahost，rcpt to [內部帳號]）這樣的行為，所以 towns 才會想說，該如何限制 rcpt to 這個指令的使用，是否有方式或參數（postfix的參數）可以要求使用 rcpt to 對內送信時，可以加上要求驗證
towns 先試著 SSL 開啟試試

登入發表回應