banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận hệ điều hành *nix Zimbra telnet vào Mail server gửi thư mà không cần xác thực  XML
  [Question]   Zimbra telnet vào Mail server gửi thư mà không cần xác thực 17/02/2014 08:53:04 (+0700) | #1 | 279794
ctmanh
Member

[Minus]    0    [Plus]
Joined: 26/03/2013 02:02:47
Messages: 19
Offline
[Profile] [PM]
Hiện tại mình đang vận hành máy chủ Mail server Zimbra và có cấu hình Firewall cứng để NAT những cổng cần thiết.
Nhưng dạo này mình phát hiện ra hệ thống gặp lỗi telnet vào server port 25 mà không cần xác thực.
telnet mail.domain.com 25
helo local.domain.com
mail from: abc @domain.com
rcpt to: xyz @domain.com
data
subject: xin chao.
he thong mail gap loi xac thuc.

Chỉ cần dùng vài lệnh như trên thì có thể gửi mail cho xyz @domain.com mà không cần nhập mật khẩu gì cả.
Mình đang sử dụng Zimbra OS 8.0.5
open relay đang disabled.
Mong các bạn giúp đỡ mình. Chân thành cảm ơn.
[Up] [Print Copy]
  [Question]   Zimbra telnet vào Mail server gửi thư mà không cần xác thực 17/02/2014 10:20:03 (+0700) | #2 | 279796
myquartz
Member

[Minus]    0    [Plus]
Joined: 04/01/2005 04:58:30
Messages: 563
Offline
[Profile] [PM]
Zimbra sử dụng postfix làm MTA.
Bạn kiếm 2 thiết lập sau của postfix để ngăn việc gửi mail không xác thực (đúng) này là:
1. smtpd_sender_login_maps: định nghĩa map giữa địa chỉ email và tên người xác thực
2. smtpd_sender_restrictions = reject_authenticated_sender_login_mismatch và reject_unauthenticated_sender_login_mismatch

Chú ý phải xem kĩ Zimbra map theo các LDAP field nào, cả alias (tức là forward của mỗi account), mail group... nữa chứ không chỉ mail account.
Vài gợi ý, có gì tìm thêm trên Internet.
[Up] [Print Copy]
  [Question]   Zimbra telnet vào Mail server gửi thư mà không cần xác thực 18/02/2014 08:23:38 (+0700) | #3 | 279804
ctmanh
Member

[Minus]    0    [Plus]
Joined: 26/03/2013 02:02:47
Messages: 19
Offline
[Profile] [PM]

myquartz wrote:
Zimbra sử dụng postfix làm MTA.
Bạn kiếm 2 thiết lập sau của postfix để ngăn việc gửi mail không xác thực (đúng) này là:
1. smtpd_sender_login_maps: định nghĩa map giữa địa chỉ email và tên người xác thực
2. smtpd_sender_restrictions = reject_authenticated_sender_login_mismatch và reject_unauthenticated_sender_login_mismatch

Chú ý phải xem kĩ Zimbra map theo các LDAP field nào, cả alias (tức là forward của mỗi account), mail group... nữa chứ không chỉ mail account.
Vài gợi ý, có gì tìm thêm trên Internet. 


hi, cảm ơn bạn.
Mình đã tìm và làm theo như bạn gợi ý nhưng vẫn chưa hiểu lắm nên chưa thành công.
Nhưng mình có đọc một số tài liệu nói nên sự dụng cổng 587 thay vì dùng cổng 25. Và việc gửi mail trái phép không cần xác thực này mình cũng đã test trên một số hệ thống mail như MDAEMON, và các postfix mail đều bị, không chỉ riêng zimbra.
[Up] [Print Copy]
  [Question]   Zimbra telnet vào Mail server gửi thư mà không cần xác thực 19/02/2014 16:50:32 (+0700) | #4 | 279817
myquartz
Member

[Minus]    0    [Plus]
Joined: 04/01/2005 04:58:30
Messages: 563
Offline
[Profile] [PM]
Tính năng xác thực này là tùy chọn với MTA.

Nguyên tắc của postfix rất đơn giản. Nó kiểm tra tùy theo rule của các restrictions. Như trường hợp là mình dùng smtpd_sender_restrictions. Phải đặt các rule reject nằm trước các rule accept vì nó sẽ kiểm tra từ trên xuống dưới.

1. reject_unauthenticated_sender_login_mismatch: cái này sẽ bảo cho postfix rằng, mọi domain FROM nếu thuộc local_domain, virtual_domain và relay_domain đều phải xác thực (nếu có định nghĩa), không xác thực sẽ báo lỗi và reject.
2. reject_authenticated_sender_login_mismatch: sau khi user xác thực, rule 1 trên sẽ không còn tác dụng, chỉ có rule 2 này sẽ chạy. Postfix sẽ kiểm tra smtpd_sender_login_maps, nếu tìm thấy email nào đó trả về giá trị username (ví dụ FROM email abc@xxx.com trả về giá trị admin), thì bắt buộc người xác thực (ở bước trước, định nghĩa trong sasl*) phải là admin, khác sẽ không gửi được với FROM đó. Tóm lại nó check chủ nhân của người gửi, chứ không phải xác thực xong thì gửi với FROM gì cũng được.

Trường hợp của bạn chỉ cần rule 1 là đủ. Cần đọc thêm về cách cấu hình postfix.
Regards,
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|