Iniciar uma conversa

Fechamento de relay no IceWarp Server

Relay é o ato de se conseguir enviar mensagens para fora. O IceWarp Server já vem com relay fechado por padrão.
 
Em Serviço de Correio/Segurança, considere desativar o POP before SMTP (POP antes de SMTP), pois neste caso, após receberem email, usuários estão liberados para enviar mensagens por x minutos especificados. Caso a máquina do usuário esteja infectado com virús que tenta enviar spam através do SMTP do programa de email do usuário, o mesmo conseguirá enviar tais spams através do seu servidor. Tal opção está desativada por padrão, a partir da versão 10.1.2.

O mesmo risco ocorre com a opção IPs Confiáveis. O ideal, nesta opção, é alocar apenas 127.0.0.1 ou outro IP NAT do servidor atrelado ao localhost (para que o PHP tenha acesso sem bloqueios) e possíveis IPs de servidores web que possuam formulários que necessitam enviar emails para fora sem autentição. Até mesmo no caso de formulários ou aplicativos, o ideal é autenticar. Apenas assim conseguirá limitar e-mails para fora por dia e garantir uma boa segurança. Caso realmente seja requerido liberar um IP para envio de e-mails sem autenticação SMTP, considere criar filtros de conteúdo para auditar e-mails enviados para fora por tais IPs (Quanto IP remoto é tal e destinatário é externo, envie email para a conta de auditoria).

O ideal é que usuários sempre autentiquem SMTP (SMTP AUTH) para o envio de e-mails, apresentando a senha de recebimento a cada envio.

O usuário deve ativar o SMTP AUTH em seu programa cliente (opção Meu Servidor requer autenticação no Outlook, na guia Servidores de uma conta).  Vale ressaltar que tal opção inexiste no console da v10, estando ativada (permitindo autenticação no envio) por padrão e sendo passível de ser desativada apenas via API.

Você pode testar se o seu relay está aberto tentando enviar um e-mail remotamente via telnet através do seu SMTP para um endereço externo. Deverá receber erro do tipo "we do not relay" ou "access not allowed". Pode ocorrer de usuários receberem erro de estarem listados em DNSBL usada pelo seu servidor, o que caracteriza não terem autenticado e estarem sendo tratatados como um servidor externo bloqueada em determinada DNSBL, o que você pode comprovar através dos logs SMTP.

Com as orientações acima, seu sistema ficará mais seguro e menos propenso a ser um meio de usuários realizarem spam. Uma outra opção interessante que vale citar é aquela em que você pode evitar que um usuario seu autentique SMTP AUTH com uma conta válida do servidor, mas use um email de remetente que inexista no seu servidor.

Por exemplo, tenho uma conta maria@icewarp.com.br, cuja senha é 123. Alguem facilmente descobre isso, autentica usando essa conta (no Outlook Express, na guia Servidores da conta, em Meu Servidor requer autenticacao - clica no botao Configurações e coloca os dados da conta que existe no IceWarp Server), mas usa um remetente diferente (especifica um email diferente como remetente no Outlook, como um e-mail @ig.com.br).

Para evitar isso, em Serviço de Correio/Segurança/Avançado, ative a opção Rejeitar se SMTP AUTH diferente do remetente. Use o Bypass (B) / Desvio (D) para excessões (coloque no Bypass sempre o e-mail usando no MAIL FROM). O Cliente Web realiza autenticação por padrão a partir da versão 10 e, caso algum usuário tenta enviar e-mails com o remetente da conta sendo um e-mail que não seja o principal da conta dela (um alias), a opção de "Rejeitar se autenticação é diferente do remetente" impediria o envio de e-mails, sendo necessário alocar o e-mail usado como remetente (Mail From) no Bypass da opção (ou desabiltiar autenticação SMTP no nó do Cliente Web, correndo risco de causar outros problemas, como não contabilização correta de limites no caso de uso de personalidades).

Também recomendamos acrescentar no Bypass, sender em branco (comum em algumas mensagens como confirmação de leitura). Para especificar o remetente em branco no Bypass, especifique <>


Escolher arquivos ou arraste e solte arquivos
Esse artigo foi útil?
Sim
Não
  1. Flávio Zarur Lucarelli

  2. Publicado
  3. Atualizado

Comentários