Deaktivieren Sie SMTP AUTH an Port 25

7

Aufgrund von PCI-DSS müssen wir die Klartextauthentifizierung deaktivieren. Dies haben wir erreicht, indem wir die Kommunikation zwischen unserem Mailserver und Clients mit TLS an Port 465 gekapselt haben.

Das Problem liegt darin, dass Port 25 offen und unverschlüsselt bleiben muss, damit wir E-Mails aus dem Internet empfangen können, aber keine Authentifizierung zulassen sollten.

Ich habe versucht, den Befehl AUTH zu deaktivieren, aber dadurch wird auch die Authentifizierung an Port 465 unterbrochen.

Gibt es einen Mailserver oder Proxy, der eine separate Konfiguration für Port 25 und 465 ermöglicht, sodass die Authentifizierung nur über einen sicheren Kanal verfügbar ist?

Ebenfalls bemerkenswert: Wir verwenden MailEnable mit Stunnel im FIPS-Modus.

Aktualisieren:

MailEnable lieferte eine gepatchte ausführbare SMTP-Datei, mit der ich über die Windows-Registrierung konfigurieren konnte, ob an jedem Überwachungsport eine Autorisierung angeboten wird. Dies löste mein Problem - hoffentlich veröffentlichen sie den Patch als Hotfix.

Moosmacher
quelle
Können Sie nicht einfach Verbindungen vom internen Netzwerk zu Port 25 blockieren?
Symcbean
Das ist für Qualys leider nicht gut genug: Jede Erwähnung von AUTH LOGIN ist ein Fehlschlag und ein EHLO spuckt es direkt am 25. oder 465.
Moosmacher
Kann Postfix die Authentifizierung an einem von zwei oder mehr Überwachungsports deaktivieren?
Moosmacher

Antworten:

7

Ja, Postfix ist dazu in der Lage.

Schauen Sie sich das Postfix HOWTO an:

http://postfix.state-of-mind.de/patrick.koetter/smtpauth/

und insbesondere:

http://postfix.state-of-mind.de/patrick.koetter/smtpauth/smtp_auth_mailclients.html

(Diese beiden Seiten sind von der ziemlich umfangreichen offiziellen Postfix-Dokumentenseite http://www.postfix.org/docs.html verlinkt. )

Für meinen Server master.cfsieht die Konfiguration in wie folgt aus:

# ==========================================================================
# service type  private unpriv  chroot  wakeup  maxproc command + args
#               (yes)   (yes)   (yes)   (never) (100)
# ==========================================================================
smtp      inet  n       -       n       -       -       smtpd
submission inet n       -       n       -       -       smtpd
  -o smtpd_tls_security_level=encrypt
  -o smtpd_sasl_auth_enable=yes
  -o smtpd_client_restrictions=permit_sasl_authenticated,reject
  -o milter_macro_daemon_name=ORIGINATING
smtps     inet  n       -       n       -       -       smtpd
  -o smtpd_tls_wrappermode=yes
  -o smtpd_sasl_auth_enable=yes
  -o smtpd_client_restrictions=permit_sasl_authenticated,reject
  -o milter_macro_daemon_name=ORIGINATING

Und main.cf hat eine Zeile wie:

smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination

In diesem Fall ist die Authentifizierung nur für die Submission-Ports (587) und SMTPS-Ports (465) aktiviert.

cjc
quelle
1
Finden Sie jetzt ein HOWTO, um Windows-Führungskräfte davon zu überzeugen, ein Unix-basiertes System zu nutzen. ; D Vielen Dank für die Ressourcen, @cjc. Ich muss noch etwas lesen.
Moosmacher
1
Ich möchte keinen Zombie wecken, aber diese Links funktionieren nicht mehr.
Solrac
Walking Dead Alert --- Aus diesem Grund wird davon abgeraten, Links zu veröffentlichen
Kickaha,
1

Sie können auch Folgendes tun, um tls nur an bestimmten Ports mit exim4 anzukündigen.

tls_advertise_hosts = 192.168.40.5:${if eq {$interface_port}{587} {*}{}}

Daher werden nur Clients angeboten, die eine Verbindung von 192.168.40.5 herstellen, und Clients, die eine Verbindung über Port 587 herstellen. Solange Ihre Authentifizierungseinstellung so eingerichtet ist, dass vor der Ankündigung tls erforderlich sind, können nur Clients, die Port 587 mit TLS verwenden, auth verwenden.

Josh Stompro
quelle
Ausgezeichnet! Bisher ist meine MailEnable- und Stunnel-Konfiguration nach dem Fix stark. Es ist schön, Optionen zu haben, sollte mein Arbeitgeber weniger von Microsoft verwurzelt sein - danke.
Moosmacher
0

Mit Exim können Sie Folgendes einstellen:

server_advertise_condition = ${if def:tls_cipher}

auf einem Authentifizierungstreiber, daher wird er nur in TLS angekündigt / verfügbar.

Exim wird sehr häufig als Frontend-Gateway zwischen MS Mail-Servern und dem offenen Internet verwendet. Durch die LDAP-Integration können Sie AD nach Adressüberprüfung, Authentifizierung usw. abfragen. anständige Integration in verschiedene Malware-Detektoren usw.

Phil P.
quelle
MailEnable arbeitet an einem Fix, aber ich bin nicht sehr optimistisch. Vielen Dank für die Informationen zu Exim und die Konfiguration als Frontend.
Moosmacher