Регистрация...

Eserv Forum / E4 / Mail / как запретить подделку адреса локальным пользователям

recent wikipost // (v1)
Продукты и услуги Скачать Документация Купить Поддержка Форумы Партнёрам Статьи О компании
Ситуация такова:
Локальный пользователь при настройке почтового клиента в поле eMail-адрес может случайно или умышленно указать чужой (или несуществующий) адрес. Это левое часть до символа @ в поле eMail-адреса. И сервер такое пропустит, хотя это как минимум странно.

Каким образом произвести настройку фильтров сервера или ещё каким-либо способом, дабы исключить эту возможность?

Как я понимаю
Стадия MAILFROM,
Правило: что-то
Действие "Отказаться выполнять команду"

Где что-то — условие, где (MAILFROM-адрес отправителя за вычетом наименования лок.домена) не принадлежит авторизовавшемуся локально пользователю.

Помогите с конструкцией, плиз.
 
Комментарии к этой версии (10.01.2014 13:12) [~pavlad] 0309efbf
АвторДатаТекстtags
ac10.01.2014 17:10
MAILFROM LoggedAs 0=


(LoggedAs возвращает TRUE, если пользователь авторизован как входной параметр LoggedAs)

Другие примеры использования — https://www.google.ru/search?q=LoggedAs+site:forum.eserv.ru
wikipost
pavlad11.01.2014 11:28
и... не работает!
Т.е. сделал
Стадия MAILFROM
Правило: MAILFROM LoggedAs 0=
Действие "Отказаться выполнять команду"
Параметр: неправильный адрес в поле MAILFROM

Теперь вообще никак не пущает. Ни с правильным написанием, ни с неправильным.

В логах
2014-01-11 16:13:16;188.1.2.87;@;41;3332;OUT;220 Eserv v4.31.4863 ESMTP. Sat, 11 Jan 2014 16:13:16 +0800 ()
2014-01-11 16:13:16;188.1.2.87;@;41;3332;IN;EHLO PAVLAD.MyDomen.ru
2014-01-11 16:13:16;188.1.2.87;@;41;3332;OUT;250-XSRV45.MyDomen.ru Hello [188.1.2.87]
250-AUTH PLAIN LOGIN
250-AUTH=LOGIN
250-SIZE 25000000
250-STARTTLS
250-8bitmime
250-BINARYMIME
250 HELP
2014-01-11 16:13:16;188.1.2.87;@;41;3332;IN;MAIL FROM:<pavlad@MyDomen.ru>
2014-01-11 16:13:16;188.1.2.87;@;41;3332;FILTER;pavlad@MyDomen.ru;;;неправильный адрес в поле MAIL FROM;mailfrom
2014-01-11 16:13:16;188.1.2.87;@;41;3332;OUT;550 denied (filter, неправильный адрес в поле MAILFROM)
2014-01-11 16:13:16;188.1.2.87;@;41;3332;IN;RSET
2014-01-11 16:13:16;188.1.2.87;@;41;3332;OUT;250 Reset state
2014-01-11 16:13:16;188.1.2.87;@;41;3332;IN;RSET
2014-01-11 16:13:16;188.1.2.87;@;41;3332;OUT;250 Reset state
2014-01-11 16:13:16;188.1.2.87;@;41;3332;IN;QUIT
2014-01-11 16:13:16;188.1.2.87;@;41;3332;OUT;221 Goodbye.
wikipost
ac11.01.2014 15:42
Здесь же вообще неавторизованный. Тогда нужно еще форсировать требование авторизации. Но только от локальных:

IsLanClient MAILFROM LoggedAs 0= AND
wikipost
ac11.01.2014 15:44
В вашем логе IP-адрес не локальный, тогда можно еще внешним запретить использовать локальные домены без авторизации.
wikipost
pavlad12.01.2014 13:00
ac пишет: Здесь же вообще неавторизованный.
Ну это просто я такой фрагмент случайно показал. На самом деле я по всякому пробовал, проверял чем может отличаться сессии с и без авторизации. Вообще-то у нас в плане пользования правила очень чёткие:
  1. пользователь может отправить почту только с авторизацией
  2. пользователь обязан в почтовом клиенте в настройках использовать только свой служебный eMail-адрес
  3. Таким образом, если пользователь авторизовался как User123, то и единственно допустимый eMail-адрес в его письмах — это User123@домен.предприятия.
  4. пользователь не может (не должен) подключаться к почтовому серверу предприятия ниоткуда, кроме компьютеров локальной сети.
  5. Вроде правила просты, но поскольку пользователь весьма забывчив, мне необходимо организовать технические меры для исполнения пользователями своих регламентированных возможностей/обязанностей. Ах да —
    ac пишет: В вашем логе IP-адрес не локальный
    . И это тоже старая тема в нашем с Вами общении: наша внутренняя ЛВС в основном до сих пор невалидна. Наследие былых времён. И будет ли когда-либо произведена полная реорганизация — бесполезно загадывать. В разные времена разными программистами для нужд подразделений понаписно много всякого П/О с использованием фиксированных адресов и даже имён хостов. И как и в случае с SP — программы эти просто используются, а ни программистов уж, а иногда и их начальников давно уж нет. А к нам, как к сетевикам выдвинуты требования — всё это наследие обязано работать, пока востребовано.Поэтому три вышеописанных условия необходимо обеспечивать не только для IsLanClient, но и ещё для нескольких невалидных IP-сетей. Увы...
wikipost
Работает на Eserv/5.05555 (05.06.2016)