[Postfix-es] Suplantación de Identidad

Bhean listas en canal21.com
Vie Oct 7 16:25:53 CEST 2005 

Hola Ricardo,

Vaya una auditoria de seguridad que os han hecho, jejejeje
Vamos a ver, la suplantación de identidad es a dia de hoy ABSOLUTAMENTE
imposible de evitar en un servidor de correo, a no ser que se utilizen
sistemas "externos", como son los registros SPF en los DNS de tu
dominio, o se firmen los mensajes con GnuPG, pero esto son otros temas,
y por ejemplo en el caso de la utilizacion de GnuPG todos los
destinatarios de los mensajes que envies deben tener firmada tu clave
publica... lo cual no es siempre posible)

Al fin y al cabo, el "remite" de un email es tan solo una cabecera del
propio mensaje, que se puede modificar a tu antojo para "simular" que el
mensaje procede de una cuenta de correo falsa (hay formas de "averiguar"
si realmente la cuenta "remitente" es correcta o no, pero una vez
recibido el mensaje. No puedes evitar que en un principio se envie dicho
correo)

En cuanto a lo de enviar correo desde una cuenta falsa desde tu servidor
a cualquier cuenta de internet, hay 2 cosas que decir:

1.- Esto es realmente grave si CUALQUIER usuario (es decir, cualquiera
que se pueda conectar a tu servidor desde internet) puede enviar
mensajes a cualquier usuario (sea o no gestionado por tu Postfix). Si
esto es así, no tardaras en comprobar como la cola de tu Postfix esta
completamente llena de mensajes SPAM hacia miles de usuarios. Los
SPAMMERS analizan constantemente rangos de IP's en busca de servidores
de correo mal configurados o que permitan el relay de correo. Para
evitar esto, DEBES autentificar tu servidor para que solo usuarios de tu
confianza (los que tienen login/password) puedan enviar mensajes al
"exterior". Para autentificar Postfix te recomiendo SASL, aunque hay
algunas otras maneras (pop-before-smtp, etc...)

2.- En cuanto a lo de enviar correo desde una cuenta falsa, estamos en
las mismas que antes. NO puedes garantizar que el correo proceda de la
dirección que viene en la cabecera FROM, a no ser que por ejemplo los
firmes con PGP (o GnuPG).

Hay muchas formas de proteger Postfix, pero por muy protegido que este,
si un usuario valido cambia la cabecera FROM, no podras evitar que ese
mensaje se envie...

Un saludo,

On Fri, 2005-10-07 at 09:42 -0400, Ricardo Gutiérrez J. wrote:
> Hola a todos, en donde trabajo tenemos implementado fedora core 1 con
> postfix, hace poco realizarón
> una auditoria de seguridad y encontraron 2 fallas en el servidor de correo,
> las cuales son las siguientes:
> 
> 1.- Pueden enviar correos desde una cuenta falsa (user en dominio.com) a
> cualquier usuario del dominio (ricardo en dominio.com),
> como aparece abajo, esto es desde fuera de la lan.
> 
> telnet mail.dominio.com 25
> Trying 200.75.2.74...
> Connected to mail.dominio.com.
> Escape character is '^]'.
> 220 mail.dominio.com ESMTP Postfix
> helo dominio.com
> 250 mail.dominio.com
> mail from: user en dominio.com
> 250 Ok
> rcpt to: ricardo en dominio.com
> 250 Ok
> data
> 354 End data with <CR><LF>.<CR><LF>
> prueba
> .
> 250 Ok: queued as 968CC4B8EA
> 
> 2.- Pueden enviar correos desde un correo y dominio falso (pp en pp.com) hacia
> un cuenta real en internet (mailprueba en gmail.com),
> como aparece abajo, esta prueba fue realizada en forma interna:
> 
> 220 mail.dominio.com ESMTP Postfix
> helo dominio.com
> 250 mail.dominio.com
> mail from: pp en pp.com
> 250 Ok
> rcpt to: mailprueba en gmail.com
> 250 Ok
> data
> 354 End data with <CR><LF>.<CR><LF>
> prueba de correo
> .
> 250 Ok: queued as DF70E4B8E4
> 
> La pregunta es: De que forma podria bloquear en el postfix para que no
> puedan enviar ese tipo de correos?
> 
> Gracias...
> 
> Atte.,
> 
> Ricardo G.
> 
> _______________________________________________
> List de correo Postfix-es
> Postfix-es en lists.wl0.org
> http://lists.wl0.org/mailman/listinfo/postfix-es
------------ próxima parte ------------
Se ha borrado un mensaje que no está en formato texto plano...
Nombre     : no disponible
Tipo       : application/pgp-signature
Tamaño     : 189 bytes
Descripción: This is a digitally signed message part
Url        : http://lists.wl0.org/pipermail/postfix-es/attachments/20051007/c4db5044/attachment.bin

Más información sobre la lista de distribución Postfix-es