[postfix-es] Open Relay

Leonardo Tourn leonardo.tourn en ensi.com.ar
Mar Feb 3 17:49:04 CET 2004 

> > > >smtpd_recipient_restrictions = reject_non_fqdn_sender,
> > > >         reject_non_fqdn_recipient,
> > >          check_sender_access hash:/etc/postfix/restricted_senders,
> > >          permit_mynetworks,
> > > >         reject_unauth_destination
> > >
> > > Contenido de "/etc/postfix/restricted_senders" ???
> >Este es el contenido:
> >/etc/postfix/restricted_senders
> >------------
> >usuario1 en ensi.com.ar      local_only
> >usuario2 en ensi.com.ar      local_only
> >ensi.com.ar               may_use_external_mail
> >------------
> >
> > > En concreto, *no debe* contener ningún OK, sino como mucho 
> > > 'reject_unauth_destination'
> 
> Entonces, el problema debe estar en estas "restricciones". 
> Por favor, envía 
> el contenido de las restricciones "local_only" y 
> "may_use_external_mail". Probablemente necesites mover el 
> 'check_sender_access' asociado a este 
> 'mapa' *después* de reject_unauth_destination.

Estas son las restricciones:
local_only = check_recipient_access
hash:/etc/postfix/local_destinations,
   reject

may_use_external_mail = permit

> 
> >La idea de esta extraña config. Es que algunos usuarios 
> puedan enviar 
> >mails "solo internos", es decir solo a los destinos autorizados en 
> >/etc/postfix/local_destinations que de momento solo contiene un 
> >dominio:
> >------------
> >ensi.com.ar             OK
> >------------
> 
> Si tienes un check_sender_access con estos datos, eres un 
> open relay para 
> cualquiera que diga que procede de tu dominio :-O
> Coloca esta restricción *después* de reject_unauth_destination.

Ok, el cambio está hecho.

> 
> > > Lo demás parece estar en orden.
> > >
> > > >smtpd_restriction_classes = local_only, may_use_external_mail 
> > > >smtpd_sender_restrictions = hash:/etc/postfix/access
> > >
> > > Esto no tiene sentido... supongo que lo que quieres es: 
> > > smtpd_sender_restrictions = check_sender_access 
> > > hash:/etc/postfix/access
> > >
> > > Necesitamos el contenido de este fichero también.
> >
> >El contenido de /etc/postfix/access es nulo (en realidad solo tiene 
> >comentarios con #) esto está simplemente porque lo heredé en 
> la config 
> >que exisitía pero no sé usarlo, tal vez sea como decís y con este 
> >fichero se pueda hacer lo que necesito.
> 
> los ficheros "access" no tienen nada de particular... ya lo 
> estás usando ( 
> sólo que el fichero con los datos en cuestión se llama 
> 'restricted_recipients' ). Es la restricción 'check_*_access' 
> la que tiene 
> importancia.

Ah, yo preguntaba porque tengo: 
smtpd_sender_restrictions = hash:/etc/postfix/access

Y la verdad que a esta altura no me queda claro porqué existen
smtp_sender_restrictions y smtpd_recipient_restrictions si por ejemplo
en recipient_restrictions puedo especificar algo como:
check_sender_access ... 
(si hay preguntas muy tontas o básicas, no tengo problema en que me lo
digan y en todo caso que me indiquen qué leer :-/)

> 
> > > Parece una configuración muy compleja considerando el error en 
> > > "check_sender_access"... seguro que necesitas todo eso? 
> en concreto, 
> > > hay bastantes parámetros especificados que simplemente copian el
> > > valor por defecto ...
> >
> >Si es este el caso, podrías por favor darme alguna 
> explicación de cómo 
> >puedo hacerlo más simple?
> 
> Para empezar, elimina todos los parámetros que cumplan 'postconf -d 
> parametro' == 'postconf -n parametro'

Listo, esto lo estoy haciendo.

> 
> > > >strict_rfc821_envelopes = no
> > > >transport_maps = hash:/etc/postfix/transport
> > > >virtual_maps = hash:/etc/postfix/virtual
> >
> >De paso y referido al mismo problema que dio origen a mi primer mail 
> >(el famoso mydoom) van saliendo algunas máquinas que pertenecen a 
> >mynetworks que envían spam, y hasta que las limpiamos me llenan el 
> >servidor smtp de mails spam e infectados. La pregunta es 
> entonces tengo 
> >alguna manera rápida de excluir algunas direcciones IP para 
> el envío de 
> >mails? La idea es denegar el envío de mails a esas 
> estaciones hasta que 
> >las vaya limpiando.
> 
> Tienes 2 opciones:
> a) quitarlas de mynetworks ( mira en el manual )
> b) smtpd_client_restrictions = check_client_access 
> hash:/etc/postfix/client
> 
> /etc/postfix/client
> 192.168.3.2     REJECT
> 

De las dos me gusta esta segunda opción, ya que en mi caso mynetworks,
tiene mis subredes directamente.

Leo Tourn

-
Para ENVIAR mensajes a esta lista tienes que estar SUSCRITO a ella.
.
Envía la linea "unsubscribe postfix-es" en el cuerpo de un mensaje
a majordomo en WL0.org para quitarte de la lista.

Más información sobre la lista de distribución Postfix-es