SMTP身份验证请求转移到另一个SMTP

Question

当我们致力于改进我们网络中的安全措施时，我们发现了一个我们不知道如何修复的缺陷。

我们在本地有基于MDaemon的SMTP服务器，我们雇佣一个专业的托管服务将我们连接到广域网，他们也有自己的SMTP中继，可以公开访问。因此，当邮件通过时，它从他们的SMTP到我们的设备。但是我们发现他们的tcp端口587没有要求认证，这意味着我们可以伪造他们处理的域名的任何地址，从boss@ourcorp.com向accountants@ourcorp.com发送任何电子邮件，从而使潜在的攻击者更容易进行钓鱼欺诈。但是我们的服务提供商不能仅仅关闭这个港口，因为我们有游牧用户通过他们的手机发送邮件。以下是我想出的选择，因为我不确定它们是否可行：

• 将SMTP用户数据库与我们的(或使其仅为他们的)同步，这样当有人在端口587的MSA上只访问netcat时，他们就有了登录/密码来强制执行和检查身份验证。
• 不使用他们的MSA，直接将我们的MSA公开，具有相同的实际效果，即将其减少到只有一个可公开访问的MSA，即让用户数据库检查身份验证，
• 找到一些方法将身份验证请求从他们的MSA转发到我们的MSA，进行验证，并向他们的MSA返回一个“接受”或“拒绝”令牌。这可能是理想的选择，但我不知道我们如何做到这一点。我知道中继身份验证请求用于链式LDAP/LDAP或Active /LDAP情况，但不知道如何实际使用，也不知道它是否适用于SMTP-8月，
• 找到一些反欺骗软件来安装在我们的服务器上(但是它怎么检查呢？)邮件将始终来自具有潜在存在地址的受信任的MSA )

如果您对我们的问题有任何想法，请提前感谢。

Answer 1

首先，我假设您的ISP端口587除了登录/密码之外，还以某种方式得到了保护？一种方法是使用源IP，这样只能从连接到ISP的用户那里访问，但这将限制手机用户通过ISP进行连接。另一种方法是先弹出SMTP，但这只有在ISP也处理邮件存储，从而可以身份验证用户无论如何。我不推荐这两种方式，但我看到的唯一其他解决方案是开放中继，这肯定是你想要避免的事情，它的存在将严重反映你的ISP的能力。

根据提供者的MSA和您自己的身份验证服务，可以进行代理身份验证。我不建议它，因为它似乎是相当困难的建立和维护，没有任何好处，我可以看到。

我建议您的第二种解决方案:您已经通过IMAP将您的邮件商店暴露到Internet上(我想！)，您已经有了您的邮件服务器，您已经设置了MSA，因此将MSA暴露到Internet并不是一个巨大的变化。这样，一切都是非常标准的，非常简单的解释，你不依赖于你的ISP，你不需要传送敏感的登录/密码信息给你的ISP。当然，也存在一些安全问题，比如字典攻击，但如果我是对的，这些问题你已经通过让手机用户查看他们的邮件而暴露出来了。

会让我改变主意的事情是

• 用户数量(我不认为我们在谈论10000+)
• 对于您的站点来说，带宽低得离谱或昂贵(但您已经在那里运行了邮件服务器)
• 如果你的手机用户只发送邮件，千万不要查看互联网上的邮件