Ssh

使用 UUCP 或更現代的方式將雲保護到內部郵件設置

  • January 5, 2015

我們的一些 Linux 伺服器將遷移到雲中。但是伺服器需要能夠在內部向我們的使用者發送電子郵件,並且需要使用我們的域名作為發件人。伺服器無法啟動數據傳輸到我們的網路,即發送電子郵件的唯一方式是通過我們的郵件伺服器。

不幸的是(但可以理解)我們的安全人員不允許外部伺服器使用我們的域作為發件人發送電子郵件,所以……

我想做的是設置一個系統,其中內部伺服器通過 SSH 發起連接,收集電子郵件並將它們在本地通過電子郵件發送給我們的使用者**,因為我們不允許從外部開放連接到我們的內部網路,這可能會被黑客濫用,並且添加中繼伺服器不是一個選項**。

在過去的美好時光(30 年前),我們使用(稱為)UUCP(Unix-to-Unix-Copy)來傳輸文件、郵件、新聞發布(NNTP)……使用調製解調器 :-) 我想這種設置將以更安全的方式再次有用 - 但是否是更現代的替代方案/設置?

據我了解您的問題,您目前有一個或多個傳入的 MX:es。當您系統外部的伺服器連接到這些 MX:es,並且它嘗試發送的電子郵件在您的域中包含 From:-header 或信封發件人時 - 那麼您的 MX 伺服器不接受它。

UUCP 是一種方式,是的,我實際上已經看到它通過 TCP/IP 使用,但那是十多年前的事了……但這裡有一些解決問題的替代方法,無需打開連接進入你的網路(我同意應該避免)。

  • 您的 MX:es 可以擁有允許使用您的域名的主機白名單,並且您可以將您的雲伺服器添加到該白名單中。這假設您的雲伺服器具有固定的 IP 地址。
  • 如果您的雲伺服器沒有固定 IP,您可以設置一個單獨的伺服器*,*並將其列入白名單。
  • 您的 MX:es 可以在您的域內擁有允許從外部使用的電子郵件地址白名單,並且您將雲伺服器配置為使用這些特定地址
  • 如果 MX:es 只檢查信封發件人,您的雲伺服器可以使用他們喜歡的任何信封發件人,但電子郵件中的 From:-header 仍然可以是您公司域中的一個
  • 您設置了一個不在 MX 列表中的單獨 SMTP 伺服器,它只允許來自您的雲伺服器的傳入電子郵件流量(通過 IP 白名單或通過身份驗證或兩者兼而有之),並且可以傳送到您的內部電子郵件系統。然後,此伺服器需要與您現有的 MX 位於相同或相似的 DMZ/網段/任何位置。您需要配置您的雲伺服器以將其用作中繼。
  • 編輯您的 MX:s 可以****在身份驗證後允許傳入具有自己域的電子郵件,並且可以將您的雲伺服器配置為在發送之前對其進行身份驗證。

所有這些都具有您可以繼續使用正常 SMTP 而無需任何非標準解決方法的優點。如果您的安全部門不接受其中任何一個,您可以使案例如從內部伺服器獲取郵件來解決它,伺服器將重新註入您組織內的電子郵件。

引用自:https://serverfault.com/questions/656359