摘要:不光是用于產(chǎn)品向客戶的通知服務(wù)更多的是用在企業(yè)內(nèi)部的信息工具�����,比如我們就有等等非常多的開源工具����,都需要配置來實(shí)現(xiàn)內(nèi)部信息的聯(lián)動(dòng)�����。
背景
smtp 是一種常見的服務(wù),提供了程序自動(dòng)化郵件外發(fā)的可能���。不光是用于產(chǎn)品向客戶的通知服務(wù)����;更多的是用在企業(yè)內(nèi)部的信息工具�,比如我們就有 sentry / confluence / zulip 等等非常多的開源工具,都需要配置 smtp 來實(shí)現(xiàn)內(nèi)部信息的聯(lián)動(dòng)���。
當(dāng)前最簡單的郵箱使用方式是使用開放的郵箱服務(wù)���,比如現(xiàn)在很多小型企業(yè)在使用的企業(yè)郵箱,可以配置一個(gè)專門的賬號(hào)來提供發(fā)信服務(wù)�。但是,這種方式存在非常大的安全隱患�。
問題
直接使用公開的賬號(hào),很容易帶來安全問題:
自動(dòng)化發(fā)信的程序需要用戶名和密碼��,這些信息需要存儲(chǔ)在代碼或者配置中
有經(jīng)驗(yàn)的程序員知道將敏感信息分離���,并且存儲(chǔ)在代碼庫外�����;然而新員工���,或者安全意識(shí)不強(qiáng)的同事很容易將這些信息入庫
更糟糕的是,即使三令五申�,有些程序員還是會(huì)無意的把代碼放到 github 上,這些是公開可以訪問的
然后就炸了
當(dāng)郵箱賬號(hào)一泄露(一般 smtp 賬號(hào)同樣能登陸郵件賬戶或者使用 pop3 協(xié)議)�,郵件里面隱藏的一些敏感信息(尤其是 confluence 的通知郵件)會(huì)帶來更多的泄露,嚴(yán)重的可能會(huì)影響到我們競選總統(tǒng)���。
一種解決方案是�,加強(qiáng)所謂的安全流程���,同時(shí)通過一些工具來驗(yàn)證輔助(比如大家都在做的 github 掃描)�,但這種方式過于被動(dòng)���,而且無法從根本上來解決問題���。技術(shù)上的問題,還得尋求技術(shù)方案來解決���。
解決方案
其實(shí)傳統(tǒng)的工具就可以解決這個(gè)問題����,我們就采用了 postfix 作 smtp 中轉(zhuǎn):
配置 postfix 作為 smtp replay 服務(wù),將發(fā)信方與真正的郵件服務(wù)器隔離開來
發(fā)信方與 postfix 使用公司內(nèi)部賬號(hào)(甚至無賬號(hào))進(jìn)行內(nèi)網(wǎng)通信�,這樣即使賬號(hào)泄露,也無法用來登陸郵箱獲取信息��;同時(shí)����,由于 postfix 是內(nèi)部的服務(wù),可以更靈活的配置防火墻
postfix 和 smtp 服務(wù)之間仍然使用 smtp 賬號(hào)���,但這里只有系統(tǒng)管理員才需要知道賬戶����,相對(duì)安全�。另外,還需要進(jìn)行自動(dòng)刪信��,禁用 pop3�,微信登陸等手段來加強(qiáng),這個(gè) 163 郵箱,qq 郵箱都有不同的配置����,請(qǐng)自行設(shè)置
說白了����,就是靠代理解耦來解決問題。熟悉我們的人估計(jì)一看就明白�����,因?yàn)槲覀兒芏鄦栴}都是靠這種方式來解決���。下面簡要描述下配置供參考��。
sudo vim /etc/postfix/main.cf
#####以下是main.cf配置內(nèi)容
relayhost = [$SMTP_HOST]:25
smtp_sasl_auth_enable = yes
smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
smtp_sasl_security_options = noanonymous
#配置重寫規(guī)則���,強(qiáng)制修改發(fā)送郵件地址,防止smtp服務(wù)拒收郵件
ender_canonical_maps = pcre:/usr/local/etc/postfix/sender_canonical_map
#####以上是main.cf配置內(nèi)容
sudo vim /etc/postfix/sender_canonical_map
#####以下是main.cf配置內(nèi)容
/.*/ 發(fā)信smtp用戶名
#####以上是main.cf配置內(nèi)容
sudo vim /etc/postfix/sasl_passwd
#####以下是sasl_passwd配置內(nèi)容
[$SMTP_HOST]:25 用戶名:密碼
#####以下是sasl_passwd配置內(nèi)容
sudo postmap /etc/postfix/sasl_passwd
sudo service postfix resart
# done
自動(dòng)化集成
添加自己的 smtp 中轉(zhuǎn)服務(wù)�����,還可以配置無賬號(hào)登陸的方式����,這樣在命令行中調(diào)用服務(wù)將更加簡單�,這也是我們搭建 postfix 的另外一個(gè)原因����。這里介紹兩種方式:
1、通過 curl 命令發(fā)送郵件
最新版的 curl 命令支持 smtp / smtps , 不過發(fā)型版自帶的比較老���,需要自己下載最新版本進(jìn)行編譯安裝����,使用的話相對(duì)簡單����。
/usr/local/bin/curl -s -v --url "smtp://xxxx:25" --mail-from "sender@bigsec.com" --mail-rcpt "receiver@bigsec.com" --upload-file mail.txt
# content of mail.txt
From:xxx@bigsec.com
To:xxx@bigsec.com
Subject: curl發(fā)送郵件標(biāo)題
xxxxx
2、通過傳統(tǒng)的mailx命令來發(fā)送郵件
其實(shí)依舊是相對(duì)傳統(tǒng)的命令��,比如 mailx 就能滿足我們的需要���。不過安裝起來略顯麻煩���,需要在每個(gè)發(fā)行版找各自合適的包,比如 ubuntu 就應(yīng)該安裝 heirloom-mailx �,使用起來則更加簡單:
echo "test" |mail -S smtp=xxxx -r sender@bigsec.com -s subject receiver@bigsec.com
上面一條命令就可以將信息通過郵件進(jìn)行發(fā)送。
我們更加傾向于采用第二種,因?yàn)楸容^簡單:這使得我們?cè)诖罅康哪_本中能很方便的集成郵件通知功能���。
總結(jié)
本文描述了通過 postfix 做 smtp relay 的方式來解決賬號(hào)泄露的風(fēng)險(xiǎn)�����,這也再一次驗(yàn)證了兩點(diǎn):
代理是王道,幫懶人快速解決問題���。
技術(shù)遇到的問題必須用技術(shù)來解決�,這比所謂的架構(gòu) / 流程要靠譜的多�����。
陸文���,豈安科技聯(lián)合創(chuàng)始人��,首席產(chǎn)品技術(shù)官
曾擔(dān)任PayPal資深高級(jí)工程師��。參與豈安科技所有產(chǎn)品線的架構(gòu)和設(shè)計(jì)�,帶領(lǐng)團(tuán)隊(duì)在數(shù)據(jù)挖掘����、多媒體分析���、跨數(shù)據(jù)中心分布式系統(tǒng)、高性能實(shí)時(shí)大數(shù)據(jù)計(jì)算�����、海量數(shù)據(jù)采集等領(lǐng)域進(jìn)行前沿研究和產(chǎn)品化�,推動(dòng)豈安成為國內(nèi)領(lǐng)先的大數(shù)據(jù)解決方案提供商。
反爬蟲
來源:www.bigsec.com
文章版權(quán)歸作者所有�,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除���。
轉(zhuǎn)載請(qǐng)注明本文地址:http://www.ezyhdfw.cn/yun/40622.html
