OT:podvržené maily

[Václav Ovsík]

On Thu, May 31, 2012 at 09:30:57AM +0200, Miroslav Draxal wrote:
> ...
> Někdo si zahraje (je to útok, neboť kdysi se někdo nabízel, že tomu umí
> zabránit, nebyl vyslyšen, tak dává zatopit) , zasílá maily se změněnou FROM
> v hlavičce mailu, kde  se podepisuje jako ředitel firmy, a rozesílá to všem
> zaměstnancům. Čili řediteli příjde mail reditel na domena.cz který v životě
> nenapsal a je od něj. Jednoduché, ale jak se tomu bránit?

S Kerio nepomohu, používáme Postfix. Nastinim jak s Postfixem...

Příjem mailů od lidí z firmy musí jít přes jiný dedikovaný SMTP server,
který ma zaplou autentizaci (např přes SASL dotazem na AD server přes
LDAP). Tedy pres tenhle server jdou duveryhodni odesilatele.

Na serveru, který bere poštu z Inetu pochopitelně je pravidlo:
smtpd_sender_restrictions =
	....
	check_sender_access hash:$config_directory/sender_access
	...

A v sender_access je pak
domena.cz   REJECT "No mails from domena.cz can be sent via this server!"

Nebo se tam muze dat misto prosteho REJECT jeste trida, deklarovana
pomoci smtpd_restriction_classes a da se to jeste retezit na dalsi
kontroly a treba povolit vnitrni adresy site nebo DMZ.

-- 
Zito