[postfix-es] Open Relay

Mar Feb 3 13:52:00 CET 2004

At 12:42 03/02/2004, you wrote:
> > >smtpd_recipient_restrictions = reject_non_fqdn_sender,
> > >         reject_non_fqdn_recipient,
> >          check_sender_access hash:/etc/postfix/restricted_senders,
> >          permit_mynetworks,
> > >         reject_unauth_destination
> >
> > Contenido de "/etc/postfix/restricted_senders" ???
>Este es el contenido:
>/etc/postfix/restricted_senders
>------------
>usuario1 en ensi.com.ar      local_only
>usuario2 en ensi.com.ar      local_only
>ensi.com.ar               may_use_external_mail
>------------
>
> > En concreto, *no debe* contener ningún OK, sino como mucho
> > 'reject_unauth_destination'

Entonces, el problema debe estar en estas "restricciones". Por favor, envía 
el contenido de las restricciones "local_only" y "may_use_external_mail".
Probablemente necesites mover el 'check_sender_access' asociado a este 
'mapa' *después* de reject_unauth_destination.

>La idea de esta extraña config. Es que algunos usuarios puedan enviar
>mails "solo internos", es decir solo a los destinos autorizados en
>/etc/postfix/local_destinations que de momento solo contiene un dominio:
>------------
>ensi.com.ar             OK
>------------

Si tienes un check_sender_access con estos datos, eres un open relay para 
cualquiera que diga que procede de tu dominio :-O
Coloca esta restricción *después* de reject_unauth_destination.

> > Lo demás parece estar en orden.
> >
> > >smtpd_restriction_classes = local_only, may_use_external_mail
> > >smtpd_sender_restrictions = hash:/etc/postfix/access
> >
> > Esto no tiene sentido... supongo que lo que quieres es:
> > smtpd_sender_restrictions = check_sender_access
> > hash:/etc/postfix/access
> >
> > Necesitamos el contenido de este fichero también.
>
>El contenido de /etc/postfix/access es nulo (en realidad solo tiene
>comentarios con #) esto está simplemente porque lo heredé en la config
>que exisitía pero no sé usarlo, tal vez sea como decís y con este
>fichero se pueda hacer lo que necesito.

los ficheros "access" no tienen nada de particular... ya lo estás usando ( 
sólo que el fichero con los datos en cuestión se llama 
'restricted_recipients' ). Es la restricción 'check_*_access' la que tiene 
importancia.

> > Parece una configuración muy compleja considerando el error en
> > "check_sender_access"... seguro que necesitas todo eso? en
> > concreto, hay
> > bastantes parámetros especificados que simplemente copian el
> > valor por defecto ...
>
>Si es este el caso, podrías por favor darme alguna explicación de cómo
>puedo hacerlo más simple?

Para empezar, elimina todos los parámetros que cumplan 'postconf -d 
parametro' == 'postconf -n parametro'

> > >strict_rfc821_envelopes = no
> > >transport_maps = hash:/etc/postfix/transport
> > >virtual_maps = hash:/etc/postfix/virtual
>
>De paso y referido al mismo problema que dio origen a mi primer mail (el
>famoso mydoom) van saliendo algunas máquinas que pertenecen a mynetworks
>que envían spam, y hasta que las limpiamos me llenan el servidor smtp de
>mails spam e infectados. La pregunta es entonces tengo alguna manera
>rápida de excluir algunas direcciones IP para el envío de mails? La idea
>es denegar el envío de mails a esas estaciones hasta que las vaya
>limpiando.

Tienes 2 opciones:
a) quitarlas de mynetworks ( mira en el manual )
b) smtpd_client_restrictions = check_client_access hash:/etc/postfix/client

/etc/postfix/client
192.168.3.2     REJECT

         José Luis Tallón 

-
Para ENVIAR mensajes a esta lista tienes que estar SUSCRITO a ella.
.
Envía la linea "unsubscribe postfix-es" en el cuerpo de un mensaje
a majordomo en WL0.org para quitarte de la lista.