CentOS 6.8のSendmail 8.14.4 tcpwrappersの問題

CentOS 6.8のSendmail 8.14.4 tcpwrappersの問題

CentOS 6.8でsendmailサーバーを実行しています。ポート25のMTA接続の場合は、tcpwrappersを使用してPTR DNSレコードを持たないホストを拒否したいと思います。

だから私のホスト。許可は次のとおりです。sendmail:ALL EXCEPT UNKNOWN

私の問題は、587のメール送信ポートがこの設定を共有しているようです。その結果、現在のIPアドレスにPTRレコードがないローミングユーザー(主にUSセルラー)は、認証される前に拒否されます。

ホストで sendmail:allow すべてのエントリを設定することでこの問題を解決できますが、これによりポート 25 のスパマーからのスパム接続の数が約 3 倍になります。

認証されるポート587接続ではなく、ポート25接続に対してlibwrapを呼び出すようにsendmailを取得する方法を知っている人はいますか?

ありがとうございます!

答え1

tcp_wrappers(最後の安定版:1997)は、オペレーティングシステムとアプリケーションが通常適切な保護を欠いていたインターネットの厄介な段階にさかのぼります。それ以来、オペレーティングシステムにはデフォルトでファイアウォールが含まれており、アプリケーションにはさまざまなビジネスロジックがあります。機能とマイト) スパマーの鈍い豪言諜談を止めるためのものです。ここで問題は単一のライブラリであるため、2つの異なるバージョンのsendmailが必要です。一方を通過し、もう1つがライブラリをtcp_wrappers使用するにはsendmailのいくつかのパッチが必要になることがあります。sendmailsendmailmsp

この場合、sendmailにはrdnsなしで接続を拒否する適切な機能がありますが、次の定義を使用して認証されたsendmail.mc接続へのリレーを許可します(cf/README詳細および再構築方法についてはソースコードを参照sendmail.cf)。

FEATURE(`delay_checks')dnl
FEATURE(`require_rdns')dnl

(この機能がない場合、次のオプションはミルターを介して必要なビジネスロジックを実行することです。)スパマーが期待する次のアクションは、認証されたアカウントを破損し、そのアカウントを介してスパムを送信することです。したがって、ログ監視では、このような状況を制限して検出するには、速度制限と適切なアクションが必要になる場合があります。

関連情報