Exim - 禁用 VRFY 和 EXPN?
Exim - Disable VRFY and EXPN?
在我的一台服务器上 运行 进行了渗透测试,运行 邮件 Exim,他们有这样的抱怨:
Description: The Mailserver on this host answers to VRFY and/or EXPN
requests. VRFY and EXPN ask the server for information about an
address. They are inherently unusable through firewalls, gateways,
mail exchangers for part-time hosts, etc. OpenVAS suggests that, if
you really want to publish this type of information, you use a
mechanism that legitimate users actually know about, such as Finger or
HTTP.
Solution: Disable VRFY and/or EXPN on your Mailserver. For postfix add
'disable_vrfy_command=yes' in 'main.cf'. For Sendmail add the option
'O PrivacyOptions=goaway'.
不幸的是它是 Exim 而不是 Sendmail/postfix。他们的输出显示 运行 宁 EXPN 命令生成响应“550 行政禁止”。我用 telnet 测试了这个,它是正确的。
有没有办法完全阻止它回复?提前致谢
RFC 2505 规定:
SMTP VRFY 和 EXPN 都为潜在的垃圾邮件发送者提供了测试其列表中的地址是否有效 (VRFY) 甚至获取更多地址 (EXPN) 的方法。因此,MTA 应该控制谁被允许发出这些命令。这可能是 "on/off" 或者它可能使用与前面提到的类似的访问列表。
请注意,根据 RFC821,"VRFY" 命令是必需的,1。
不过,响应可以是“252 Argument not checked”来表示
"off" 或通过访问列表阻止。这应该是默认值。
根据此处的 exim 文档 http://www.exim.org/exim-html-current/doc/html/spec_html/ch-smtp_processing.html
"当 Exim 在 TCP/IP 连接上收到 VRFY 或 EXPN 命令时,它会运行由 acl_smtp_vrfy 或 acl_smtp_expn(视情况而定)指定的 ACL,以确定是否是否应该接受命令。
当没有为 VRFY 定义 ACL 时,或者如果它在没有设置显式响应代码的情况下拒绝,则接受命令(使用 252 SMTP 响应代码)以支持在每个 RCPT 之前执行 VRFY 的尴尬客户端” .
对我来说,这意味着总是 return 252,而不是完全关闭。
在我的一台服务器上 运行 进行了渗透测试,运行 邮件 Exim,他们有这样的抱怨:
Description: The Mailserver on this host answers to VRFY and/or EXPN requests. VRFY and EXPN ask the server for information about an address. They are inherently unusable through firewalls, gateways, mail exchangers for part-time hosts, etc. OpenVAS suggests that, if you really want to publish this type of information, you use a mechanism that legitimate users actually know about, such as Finger or HTTP.
Solution: Disable VRFY and/or EXPN on your Mailserver. For postfix add 'disable_vrfy_command=yes' in 'main.cf'. For Sendmail add the option 'O PrivacyOptions=goaway'.
不幸的是它是 Exim 而不是 Sendmail/postfix。他们的输出显示 运行 宁 EXPN 命令生成响应“550 行政禁止”。我用 telnet 测试了这个,它是正确的。
有没有办法完全阻止它回复?提前致谢
RFC 2505 规定:
SMTP VRFY 和 EXPN 都为潜在的垃圾邮件发送者提供了测试其列表中的地址是否有效 (VRFY) 甚至获取更多地址 (EXPN) 的方法。因此,MTA 应该控制谁被允许发出这些命令。这可能是 "on/off" 或者它可能使用与前面提到的类似的访问列表。
请注意,根据 RFC821,"VRFY" 命令是必需的,1。
不过,响应可以是“252 Argument not checked”来表示 "off" 或通过访问列表阻止。这应该是默认值。
根据此处的 exim 文档 http://www.exim.org/exim-html-current/doc/html/spec_html/ch-smtp_processing.html
"当 Exim 在 TCP/IP 连接上收到 VRFY 或 EXPN 命令时,它会运行由 acl_smtp_vrfy 或 acl_smtp_expn(视情况而定)指定的 ACL,以确定是否是否应该接受命令。
当没有为 VRFY 定义 ACL 时,或者如果它在没有设置显式响应代码的情况下拒绝,则接受命令(使用 252 SMTP 响应代码)以支持在每个 RCPT 之前执行 VRFY 的尴尬客户端” .
对我来说,这意味着总是 return 252,而不是完全关闭。