[postfix-es] Open Relay

José Luis Tallón jltallon en adv-solutions.net
Mar Feb 3 19:37:21 CET 2004 

At 17:49 03/02/2004, you wrote:
> > > > >smtpd_recipient_restrictions = reject_non_fqdn_sender,
> > > > >         reject_non_fqdn_recipient,
> > > >          check_sender_access hash:/etc/postfix/restricted_senders,
> > > >          permit_mynetworks,
> > > > >         reject_unauth_destination
> > > >
> > > > Contenido de "/etc/postfix/restricted_senders" ???
> > >
> > >------------
> > >usuario1 en ensi.com.ar      local_only
> > >usuario2 en ensi.com.ar      local_only
> > >ensi.com.ar               may_use_external_mail
> > >------------
> > >
> > > > En concreto, *no debe* contener ningún OK, sino como mucho
> > > > 'reject_unauth_destination'
> >
> > Entonces, el problema debe estar en estas "restricciones".
> > Por favor, envía
> > el contenido de las restricciones "local_only" y
> > "may_use_external_mail". Probablemente necesites mover el
> > 'check_sender_access' asociado a este
> > 'mapa' *después* de reject_unauth_destination.
>
>Estas son las restricciones:
>local_only = check_recipient_access
>hash:/etc/postfix/local_destinations,
>    reject
>
>may_use_external_mail = permit

TADA!!! Open Relay al instante !!

Una de dos, o lo pones después de "reject_unauth_destination", o cambias 
ese "permit" por "reject_unauth_destination", o ... (mira más abajo)

> > La idea de esta extraña config. Es que algunos usuarios
> > puedan enviar mails "solo internos", es decir solo a los destinos 
> autorizados en
> > >/etc/postfix/local_destinations que de momento solo contiene un
> > >dominio:
> > >------------
> > >ensi.com.ar             OK
> > >------------
> >
> > Si tienes un check_sender_access con estos datos, eres un
> > open relay para cualquiera que diga que procede de tu dominio :-O
> > Coloca esta restricción *después* de reject_unauth_destination.
>
>Ok, el cambio está hecho.
>
>[snip]

Veamos... Si no me dejo nada, tus smtpd_*_restrictions deberían tener esta 
pinta:

smtpd_restriction_classes = local_only

smtpd_client_restrictions = check_client_access hash:/etc/postfix/infectados

/etc/postfix/infectados
192.168.2.5     REJECT

smtpd_recipient_restrictions =
         reject_non_fqdn_sender,
         reject_non_fqdn_recipient,
         check_sender_access hash:/etc/postfix/restricted_senders,
         permit_mynetworks,
         reject_unauth_destination

/etc/postfix/restricted_senders
usuario1 en ensi.com.ar    local_only
usuario2 en ensi.com.ar    local_only

local_only = check_recipient_access hash:/etc/postfix/mi_dominio, reject

/etc/postfix/mi_dominio
ensi.com.ar     reject_unauth_destination


Fíjate que desaparece la línea de "may_use_external_mail"; Esto es, todo 
usuario que envíe desde $mynetworks y no esté en la lista de usuarios 
restringidos podrá enviar a donde quiera ( como debe ser ).
Puedes "desconectar" máquinas individuales que estén en tu subred ( y 
también de fuera, para pararle los pies a algunos /spammers/ cabezones ! )

Recuerda usar "postmap" para regenerar las bases de datos cada vez que 
hagas un cambio: 'postmap hash:/etc/postfix/infectados' por ejemplo.
( así los archivos de la lista guardan la "receta" :-)

>Ah, yo preguntaba porque tengo:
>smtpd_sender_restrictions = hash:/etc/postfix/access

Observa que eso está *mal*. Sería
smtpd_sender_restrictions = check_sender_access hash:/etc/postfix/access
( esto funciona porque hay un "DUNNO" implícito al final )

>Y la verdad que a esta altura no me queda claro porqué existen
>smtp_sender_restrictions y smtpd_recipient_restrictions si por ejemplo
>en recipient_restrictions puedo especificar algo como:
>check_sender_access ...

Cada una de las restricciones se aplica en una fase de la conversación 
SMTP, de forma que se pueda rechazar/aceptar la conexión en cuanto se 
tengan datos suficientes ( esto último no se aplica si 'smtpd_delay_reject 
= yes'  ).

>(si hay preguntas muy tontas o básicas, no tengo problema en que me lo
>digan y en todo caso que me indiquen qué leer :-/)

Para más información, la propia web de Postfix y las páginas de manual.
"My Understanding of How UCE restrictions actually work" es una lectura muy 
recomendable ...

> > en concreto, hay bastantes parámetros especificados que simplemente 
> copian el valor por defecto ...
> >
> > Para empezar, elimina todos los parámetros que cumplan
>'postconf -d parametro' == 'postconf -n parametro'
>
>Listo, esto lo estoy haciendo.

Espero que te sirva el resultado :)



Taluego...

         José Luis Tallón



-
Para ENVIAR mensajes a esta lista tienes que estar SUSCRITO a ella.
.
Envía la linea "unsubscribe postfix-es" en el cuerpo de un mensaje
a majordomo en WL0.org para quitarte de la lista.

Más información sobre la lista de distribución Postfix-es