[postfix-es] Problemas con from=<>

Jesus Calvo jesus.calvo en cedex.es
Mar Oct 14 09:47:01 CEST 2003 

Muchas gracias por la ayuda, esto funciona de lujo y me parece que 
Sendmail va a pasar a la historia.

José Luis Tallón wrote:

> At 11:52 10/10/2003, Jesus Calvo wrote:
>
>> Hola Jose Luis, gracias por el interés mostrado, de todas formas me 
>> gustaría que me aclarases un poco mas los comentarios.
>>
>> Cuando dices "Que peligro", ¿te refieres a la configuración en 
>> estafetas, a la función que cumple cada una de ellas o a la 
>> utilización de Sendmail?
>
>
> A Sendmail, por sus muchos problemas de seguridad ;)
> El resto de la configuración, habría que evaluarla para ver si está 
> correctamente diseñada y dimensionada, pero no das datos suficientes :)
>
>> También, ¿me puedes aclarar como compatibilizar la aceptación del 
>> campo "from=<>" junto con la activación del relay interno?
>> por si te sirve de ayuda, esta es la configuración que utilizamos 
>> para evitar el relay interno.
>>
>> main.cf:
>> smtpd_restriction_classes = misremitentes
>> misremitentes = check_sender_access regexp:/etc/postfix/misremitentes
>> smtpd_sender_restrictions = check_client_access 
>> dbm:/etc/postfix/clientes, reject_unknown_sender_domain
>>
>> El archivo clientes contiene los dominios pertenecientes a la red y 
>> el archivo misremitentes contiene las expresiones regulares de dichos 
>> dominios
>>
>> clientes:
>> maquina_correo.dominio1.com                OK
>> dominio1.com                misremitentes
>> dominio2.com               misremitentes
>
>
> Aquí es donde se puede solucionar ( aunque no deja de ser un "apaño" 
> .... )
> Puesto que se trata de un mapa "regexp", que se evalúa de forma 
> secuencial, puedes modificarlo para que tenga esta pinta:
>
> misremitentes:
>         /^<>$/  DUNNO
>         /@dominio1\.com$/   OK
>         /@dominio2\.com$/   OK
>         /./ 554 La direccion remitente debe ser local
>
> dos comentarios:
>  - me imagino que el ".comg" final era un error de transcripción... 
> modificado
>  - /./ es la forma correcta de poner "cualquier cosa"
>
>
>
>
>> Muchas gracias.
>>
>> José Luis Tallón wrote:
>>
>>> At 11:12 09/10/2003, you wrote:
>>>
>>>> Hola a tod en s.
>>>>
>>>> Actualmente tenemos una configuración del servicio de correo 
>>>> electrónico con estafetas de primer y segundo nivel. La máquina 
>>>> existente en el segundo nivel posee los buzones de usuario y tiene 
>>>> instalado Sendmail, las máquinas de primer nivel se encargan de la 
>>>> recepción y envío de los correos tambien con Sendmail.
>>>
>>>
>>> Qué peligro ....
>>>
>>>> Actualmente estamos en un periodo de transición con la intención de 
>>>> sustituir las maquinas del primer nivel por unas nuevas con Postfix 
>>>> en las que ademas de evitar el relay externo tambien pretendemos 
>>>> evitar el relay interno, comprobando que los mensajes emitidos 
>>>> desde nuestra red salgan con dominios pertenecientes a la red.
>>>>
>>>> El problema que nos ocupa es el siguiente; anteriormente cuando un 
>>>> mensaje iva dirigido a un usuario desconocido, los servidores 
>>>> generaban mensaje de respuesta al emisor notificando la 
>>>> imposibilidad de envio del correo, con el campo from=<>.
>>>
>>>
>>> Si, así se especifica en los RFCs relevantes.
>>>
>>>> Cuando introducimos las nuevas máquinas con Postfix e 
>>>> imposibilitando el relay interno, dichos mensajes eran parados por 
>>>> los nuevos servidores y las notificaciones a los emisores no se 
>>>> producían debido a que el from=<> no pertenecia a ninguno de los 
>>>> dominios asociados a nuestra red. Tras revisar los logs, tanto de 
>>>> las máquinas con Postfix como de Sendmail en el primer y segundo 
>>>> nivel de la configuración arriba detallada, decidimos abrir el 
>>>> relay interno para permitir la emisión de estos mensajes, sin 
>>>> embargo es una solución transitoria ya que la situación ideal sería 
>>>> tener el control sobre los mensajes que salen de nuestra red.
>>>>
>>>> Como os podeis imaginar las dudas que nos surgen tienen que ver con 
>>>> que máquinas - primer y/o segundo nivel - son las que generan el 
>>>> campo from=<>, y si en Postfix es posible una configuración que 
>>>> permita controlar el relay interno, ademas de permitir la emisión 
>>>> de estos mensajes de notificacion al usuario.
>>>
>>>
>>> Si, es posible.
>>>
>>>> Muchas gracias por adelantado.
>>>
>>>
>>> No hay de qué darlas.
>>>
>>>
>>> Un saludo,
>>>         José Luis Tallón
>>
>
> -
> Para ENVIAR mensajes a esta lista tienes que estar SUSCRITO a ella.
> .
> Envía la linea "unsubscribe postfix-es" en el cuerpo de un mensaje
> a majordomo en WL0.org para quitarte de la lista.
>
>

-- 
---------------------------------------------------------
Jesús Calvo Urarte
Sector de Apoyo Informático
CEDEX
C/ Alfonso XII 3 y 5 28014 Madrid
Tel-91 335 72 72
jesus.calvo en cedex.es



-
Para ENVIAR mensajes a esta lista tienes que estar SUSCRITO a ella.
.
Envía la linea "unsubscribe postfix-es" en el cuerpo de un mensaje
a majordomo en WL0.org para quitarte de la lista.

Más información sobre la lista de distribución Postfix-es