qmail bug, permet d'ouvrir le relais vers les adresses locales

Last login: Wed Jun 22 14:02:11 on ttys001 BASH$ telnet domain.com 25 Trying xxx.xx.xxx.xxx... Connected to domain.com. Escape character is '^]'. 220 hostname.com ESMTP helo 250 hostname.com mail from: <danayoub53@gmail.com> 250 ok rcpt to: <anyone@gmail.com> 553 sorry, that domain isn't in my list of allowed rcpthosts (#5.7.1) rcpt to: <registration@domain.com> 250 ok ***********<---------------------- OK??!? 

Comme vous pouvez le voir, qmail bloque la tentative d'envoi de courrier à une adresse externe, mais aucun problème ne permet à un user non authentifié d'envoyer un courrier aux adresses locales résidant sur le server. Cela pourrait poser des problèmes si quelqu'un voulait envoyer des virus ou obstruer les counts de messagerie sur le server.

Quelqu'un peut-il reorder un correctif pour cela? Suis-je correct de souligner que c'est un bogue?

Meilleur, Daniel

SMTP n'a jamais obligé les personnes à s'authentifier avant d'envoyer des courriels aux counts sur la machine locale. Ce n'est pas un bogue du tout. Comment autrement un server SMTP recevra-t-il un courrier électronique pour être livré aux domaines pour lesquels vous hébergez un email?

Comme le dit X-Istence, la question est fondamentalement fausse. Il n'existe pas de relais vers une boîte aux lettres hébergée localement. C'est une erreur conceptuelle. Soit la boîte aux lettres est à distance, auquel cas le courrier doit être stocké et renvoyé, c'est-à-dire relayé, ou la boîte aux lettres est locale, auquel cas il n'y a pas de relais, car le système est la destination finale pour courrier.

rcpthosts , qui définit les domaines que le server SMTP Relay ( qmail-smtpd ) acceptera dans les boîtes aux lettres des destinataires de l'enveloppe, est (habituellement) l'union de tous les domaines hébergés localement et tous les domaines pour lesquels le courrier est autorisé à être relayé. Qu'il a permis à un message du monde extérieur d'être adressé à une boîte aux lettres hébergée localement n'est pas une erreur. Il fonctionne comme prévu. Si vous ne voulez pas que le monde extérieur puisse vous envoyer un courrier, ne lancez pas un server de relais SMTP . L'exécution d'un server de relais SMTP implique que vous souhaitez que le monde extérieur puisse vous envoyer un courrier.

La notion d'autorisation s'applique, évidemment, aux users locaux dont vous disposez d'une database user, et s'applique donc à la soumission SMTP, et non au relais SMTP. Si vous avez confondu avec le protocole Old-Fashioned Mail Injection en pensant que le relais SMTP traite de l'autorisation (quand bien sûr, il n'y a aucun moyen pour vous d'avoir une database user qui répertorie les personnes arbitraires en Afrique du Sud ou en Inde ou en France qui pourrait vouloir vous envoyer un mail), vous devez vous familiariser avec la différence entre la soumission SMTP et le relais SMTP. C'est le 21ème siècle; nous connaissons la séparation des services de nos jours; nous ne devrions plus utiliser le paradigme OFMIP.