Publicado por: luhlig | outubro 22, 2008

Protegendo-se de spoofing de usuários no Postfix

Recentemente dentro de um projeto no qual estou envolvido, passamos a utilizar o expresso livre, porém uma particularidade é que diversos usuários utilizam clientes thunderbird e após alguns testes descobrimos que era possível efetuar um spoofing de usuários, o que em termos práticos significa que:

Um usuário poderia mesmo autenticado forjar o rementente, então para acabar com isso tivemos que fazer um mapeamento no ldap e cria algumas regras no postfix.

Vamos as alterações:

————————————————– cut ———————————————————

smtpd_sender_login_maps = ldap:ldapsource

smtpd_sender_restrictions = permit_mynetworks,
reject_non_fqdn_sender,
reject_unknown_sender_domain,
reject_unauthenticated_sender_login_mismatch,
reject_sender_login_mismatch,
permit
————————————————– cut ———————————————————

Como você pode notar o postfix irá efetuar um check em todos os “senders” e ele só poderá enviar pelo e-mail que estiver devidamente configurado no openldap.

Esse mapeamento é definido assim:

#=====================================Senders====================================
ldapsource_bind = no
ldapsource_domain = domain.br
#ldapsource_query_filter = (&(mail=%s)(objectClass=qmailUser))

#Entrada para aliases de e-mails
ldapsource_query_filter = (&(|(mail=%s)(mailAlternateAddress=%s))(objectClass=qmailUser))
ldapsource_result_attribute = mail
ldapsource_search_base = dc=domain,dc=br
ldapsource_server_host = 10.x.x.x

Anúncios

Deixe um comentário

Faça o login usando um destes métodos para comentar:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

w

Conectando a %s

Categorias

%d blogueiros gostam disto: