Afficher l'adresse IP publique lors de l'envoi via Postfix via Postmarkapp

Nous avons un système de security mis en place où la première fois qu'un ordinateur vendu est démarré, nous recevons un e-mail de sa destination pour montrer qu'il a été reçu. La police nous recommand de faire cela après un certain nombre de tentatives d'arnaque malheureuses – tout fonctionne bien avec Postfix sur MacOS, mais l'opportunité est qu'ils souhaitent que l'adresse IP d'origine de l'ordinateur dans l'en-tête prouve qu'il ne s'agit pas d'un courriel que nous avons Nous venons de nous envoyer.

Je l'ai testé avec le SMTP de Google et cela fonctionnait très bien avec les mêmes parameters, mais comme les ordinateurs livrés apparaissaient dans différentes parties du monde, la security de Google triggersrait et penserait que notre mot de passe avait été volé, donc seulement 20% des courriels étaient envoyé.

Postmark reçoit une livraison de 100% jusqu'à présent, le problème est que, comme d'autres servers SMTP que nous avons testés, il ne montre pas l'IP d'origine dans l'en-tête, le X-Sf-Originating-Ip est leur server.

Est-ce que de toute façon, les en-têtes Postfix peuvent-ils forcer l'inclusion de l'adresse IP publique de l'expéditeur dans l'en-tête ou des parameters d'utilisation du server SMTP de Postmark que nous aurions manqué?

Il semble que la plupart des options de Postfix soient d'exclure l'IP publique, et non de la forcer à inclure.

Je travaille sur Postmark. Bien que votre solution puisse fonctionner techniquement, je reorderais contre cette approche :

Lorsque vous expédiez vos ordinateurs et que vous disposez de cette configuration, je pense que vous devriez inclure un jeton de server de la post de travail sur la machine, ce qui peut être finalement découvert par vos clients et qu'ils pourraient l'utiliser pour envoyer des courriels via votre count le cachet de la post.

Le jeton du server doit être traité comme un mot de passe et ne doit pas être partagé avec des parties inconnues comme celle-ci.

Une alternative:

Une approche beaucoup plus simple de ce problème serait de configurer un webhook qui peut accepter les charges utiles JSON via https. Cela élimine le besoin de postfix et ne sera généralement pas bloqué par les FAI, puisque 443 est un port standard qui est essentiellement omniprésent sur le Web.

Votre webhook pourrait inclure des informations utiles, y compris

  • L'IP publique (que vous pouvez rassembler d'un service comme le suivant): curl https://api.ipify.org

  • Les adresses MAC sur la machine: ifconfig | grep 'ether' ifconfig | grep 'ether'

  • Le numéro de série de la machine ou d'autres informations ( https://apple.stackexchange.com/a/40244/15813 )

Il existe un nombre d'applications qui peuvent accepter "JSON dumps" dans un webhook qui sont accessibles au public, comme https://requestb.in/ – Je reorderais d'héberger cela sur votre propre server, car il s'agit de votre dossier de requêtes, cela apparaissent comme suit:

curl -H "Content-Type: application/json" https://your-server-tracking.com/booted -d '{ "IP": "'"$(curl https://api.ipify.org)"'", "SERIAL" : "'"$(system_profiler SPHardwareDataType | awk '/Serial/ {print $4}')"'", "Date", "'"$(date)"'" }'

Autres notes:

  • Vous devez vous assurer que vous respectez les lois de ce que vous êtes autorisé à inclure dans ces machines, cela semble être contraire à la confidentialité de vos clients.
  • Vous devez confirmer que cette méthode fournit des informations adéquates à la police pour enquêter sur ces cas. Cela étant dit, étant donné que les en-têtes de courrier électronique peuvent être ajoutés par n'importe qui en cours de route, la méthode d'ajout d'une IP telle que décrite ci-dessus est probablement au less aussi fiable que ce que vous obtiendriez avec les en-têtes de courrier électronique. En passant, les en-têtes comme X-Sf-Originating-Ip sont non standard, et n'importe quel expéditeur peut mettre tout ce qu'il veut, là-bas.

Bonne chance!

Voici quelques-uns des cas où un server SMTP propre serait idéal comme vous

  • choisissez les informations que vous souhaitez stocker.
  • évitez toute détection de région simplement en ne déployant pas tel (par défaut).
  • ne révélera pas votre mot de passe Gmail (ou autre) dans les files de configuration.

Étant donné que la plupart des FAI bloquent le port 25 raison du spam, en utilisant la soumission au port 587 , comme je crois que vous le faites déjà avec Gmail, il faudrait que vous receviez le courrier. Cependant, même la soumission pourrait être bloquée. Certes, si les agresseurs apprennent à savoir comment vous les traitez, ils pourraient facilement bloquer le port 587 dans leur pare-feu.

Au lieu de SMTP, je préfère utiliser HTTPS sur le port 443 pour cela, car c'est le port qui est presque toujours disponible et, en raison de l'utilisation étendue de HTTPS, il est rarement falsifié. Un script ou un programme pourrait essayer de charger une page Web après le démarrage / par cron, par exemple https://example.com/imhere.php?serial=<S/N> .

D'autre part, si vous voulez restr au courrier électronique, avec un server dédié propre, vous pouvez faire SMTPS sans STARTTLS pour utiliser le port 443 au lieu de la valeur par défaut 465 . Le SMTPS sans STARTTLS , comme tout trafic crypté TLS, ressemble à HTTPS.

Quoi que vous fassiez, ce sont des recommandations purement techniques. Assurez-vous que ce type de suivi ne viole aucun de vos règlements locaux de protection de la vie privée ou de la protection des données ainsi que des pays de vos clients. N'essayez pas d'être comme Batman. 🙂