3 votes

Etienne Lawlor avatar

Dovecot Sieve permet l'usurpation d'identité par LMTP

Demandé el 25 de Décembre, 2014
Quand la question a-t-elle été
1536 affichage
Nombre de visites la question a
1 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

J'ai configuré Postfix pour bloquer l'usurpation de votre adresse électronique (vous ne pouvez envoyer des courriels qu'en votre nom) :

smtpd_sender_restrictions =
        reject_authenticated_sender_login_mismatch

J'ai configuré Sieve et ManageSieve sur le serveur. Mes utilisateurs peuvent maintenant configurer leurs propres scripts Sieve pour rediriger les e-mails entrants vers d'autres comptes de messagerie externes. Cela a un effet secondaire non désiré :

Mes utilisateurs peuvent maintenant configurer une redirection de tout le courrier vers spam@victim.tld. Pour envoyer du courrier indésirable à partir de mon serveur, ils peuvent configurer leur propre serveur de messagerie. Depuis leur serveur, ils peuvent envoyer des courriers indésirables à leur compte sur mon serveur. Ce courrier est ensuite redirigé par Sieve avec l'adresse FROM spécifiée par leur propre mailserver.

Cela signifie que mes utilisateurs peuvent envoyer des mails depuis mon serveur en se faisant passer pour n'importe qui. C'est pourquoi je veux que Sieve change l'adresse FROM par l'adresse électronique de l'utilisateur, et mette l'adresse originale entre parenthèses. Est-ce possible ?

Demandé el 25 de Décembre, 2014 par Etienne Lawlor

Réponse

Trop de publicités?

1voto

masegaloeh avatar
masegaloeh Points 17760

En fait, cette fonction de filtrage est similaire à la fonction de transfert de courrier électronique au niveau du MTA. Une exception est le copy Le paramètre sieve permet de conserver le courriel dans la boîte de réception de l'utilisateur tout en le transférant à un autre courriel.

L'e-mail de réexpédition ne modifie pas l'expéditeur d'où proviennent les e-mails, il modifie simplement l'adresse de l'enveloppe du destinataire. Habituellement, le mécanisme de redirection s'oppose au mécanisme anti-spoofing comme SPF . Donc, la méthode de redirection et de copie dans sieve a hérité du même problème avec le forwarding.documentation SPF a proposé le SRS pour s'attaquer à ce problème.

SRS ou Sender Rewriting Scheme (schéma de réécriture de l'expéditeur) réécrira l'adresse de l'expéditeur vers votre domaine. Habituellement, le SRS a été fait au niveau du CTM lors de la livraison du processus. Il y a un fil conducteur à SF sur l'implémentation de SRS dans postfix.

Comment les grands fournisseurs gèrent-ils la redirection des courriels en ce qui concerne ce problème d'usurpation ?

Par mesure de sécurité, si vous configurez une adresse de redirection, GMAIL enverra un e-mail pour vérifier l'existence et prouver que vous êtes le propriétaire de l'adresse e-mail de redirection. Maintenant, supposons que vous avez vérifié external@example.com comme adresse de redirection de myuser@gmail.com. Une fois la vérification réussie, GMAIL fera suivre l'email et modifiera l'expéditeur pour qu'il devienne quelque chose comme myuser+caf_=external=example.com@gmail.com .

Dans la configuration de Yahoo, vous devez confirmer l'adresse de redirection aussi comme GMAIL. La différence est que Yahoo ne tentera pas de réécrire l'expéditeur comme GMAIL. En d'autres termes, Yahoo est usurpation d'identité le domaine de l'expéditeur comme dans votre scénario ci-dessus.

Note supplémentaire :

GMAIL suggère de ne pas modifier l'adresse de l'expéditeur lors du transfert. Extrait de leur page d'assistance Meilleures pratiques pour transférer du courrier vers Gmail

Nous vous recommandons de ne pas modifier l'expéditeur de l'enveloppe lorsque vous transférez des e-mails vers Gmail. Parfois, lors du transfert d'un e-mail, l'expéditeur de l'enveloppe est remplacé par votre domaine. Dans ce cas, Gmail peut apprendre que votre domaine envoie du spam et traitera les autres e-mails de ce domaine comme du spam.

Par ailleurs, le changement d'expéditeur de l'enveloppe est acceptable si vous effectuez l'une des opérations suivantes :

  • Mettez "SPAM" dans le sujet
  • OU éliminez tous les courriers indésirables et ne les transférez pas du tout à Gmail.
Répondu el 26 de Décembre, 2014 par masegaloeh (17760 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X