[Postfix espanol] orbz.org y como evitar meterte! (experiencia personal)
Simon J Mudd
sjmudd en pobox.com
Vie Feb 1 12:22:16 CET 2002
Hola chicos:
Solo para deciros que me acaban de meter en la lista de orbz.org por ser
un "open relay". Estaba comprobando mi lista de restricciones y no ví el
problema. Mi lista se ha visto en un mensaje anterior a la lista y lo
acabo de actualizar. Ahora mismo lo tengo puesto como:
smtpd_recipient_restrictions =
permit_mynetworks
reject_unauth_pipelining
check_helo_access ldap:ldap_helo_access
check_helo_access ldap:ldap_global_access
check_client_access ldap:ldap_client_access
check_client_access ldap:ldap_global_access
check_sender_access ldap:ldap_sender_access
check_sender_access ldap:ldap_global_access
check_recipient_access ldap:ldap_recipient_access
check_recipient_access ldap:ldap_global_access
ldap:ldap_global_access
reject_invalid_hostname
reject_non_fqdn_hostname
reject_unknown_sender_domain
reject_unknown_recipient_domain
reject_non_fqdn_sender
reject_non_fqdn_recipient
reject_maps_rbl
check_relay_domains
El hecho que uso ldap en vez de un un fichero hash da un poco igual.
En sí las _reglas_ no estaban mal. Lo que me pilló era la siguiente
prueba que me hicieron (y que útil que postfix te lo cuenta todo):
--- snip ---
Date: Fri, 1 Feb 2002 09:50:46 +0100 (CET)
From: Mail Delivery System <MAILER-DAEMON en unicorn.ea4els.ampr.org>
To: Postmaster <postmaster en unicorn.ea4els.ampr.org>
Subject: Postfix SMTP server: errors from sender.orbz.org[205.231.149.53]
Transcript of session follows.
Out: 220 unicorn.ea4els.ampr.org ESMTP Postfix
In: HELO orbz.org
Out: 250 unicorn.ea4els.ampr.org
In: MAIL FROM:<bounce-zWzuCPFN en orbz.org>
Out: 250 Ok
In: RCPT TO:<relay en orbz.org>
Out: 554 <relay en orbz.org>: Recipient address rejected: Relay access denied
In: RSET
Out: 250 Ok
In: MAIL FROM:<bounce-zWzuCPFN> <<---------- AQUI
Out: 250 Ok
In: RCPT TO:<relay en orbz.org>
Out: 250 Ok
In: DATA
Out: 354 End data with <CR><LF>.<CR><LF>
Out: 250 Ok: queued as 354743164
In: RSET
...
--- snip ---
Estaba aceptando correo sin cualificar (si el @...) enviado a
una dirección externa de mi maquina.
Realmente postfix no comprueba la dirección así: lo comprueba como:
bounce-zWzuCPFN@$myhostname
(en mi caso unicorn.ea4els.ampr.org)
Luego vi que efectivamente en las listas "ldap_global_access" tenía un:
unicorn.ea4els.ampr.org OK
Cuando postfix usa el fichero access, sin más comprueba varias cosas, pero
una lo comprueba utilizando el dominio del sender address. BINGO!!!
Estaba aceptando el correo porque lo había dicho que sí.
Conclusion:
-----------
Ten mucho cuidado con las reglas globales en el fichero access, cuando son
reglas "positivas" (un OK), porque sin querer puedes aceptar correo no
querido.
Solución:
He movido mis maquinas internas para que solo hago una comprobación
con check_client_access ldap:ldap_client_access así tengo unas reglas OK
para mis clientes.
Espero que este mensaje sirve para otros. En postfix-users se ha
comentado un par de veces del peligro del "OK" en las mapas access: yo
acabo de pillarlo.
Espero que ya me habrán quitado de la lista y todo volverá a la
normalidad.
Un saludo,
Simon
--
Simon J Mudd, Tel: +34-91-408 4878, Mobile: +34-605-085 219
Madrid, Spain. email: sjmudd en pobox.com, Postfix RPM Packager
-
Para quitarte de la lista enviar la linea "unsubscribe postfix-espanol" en
el cuerpo de un mensaje a majordomo en ea4els.ampr.org
Más información sobre la lista de distribución Postfix-es