[Postfix-es] Suplantación de Identidad
Bhean
listas en canal21.com
Sab Oct 8 20:38:51 CEST 2005
Ricardo,
Una buena forma de protegerlo es impedir que los usuarios sin
identificacion puedan hacer relay.
Para conseguir esta identificación, te recomiendo que uses SASL.
Hay muchos tutoriales/howtos sobre ese tema, seguro que Google te echará
una mano ;-)
Saludos!!
Ricardo Gutiérrez J. wrote:
>hola muchas gracias por tu respuesta, queria hacerte una consulta, a que
>muchas formas hay para proteger el postfix, me gustaria poder protegerlo.
>Si me puedes decir algunas para buscar buena documentación y hacerlo.
>
>Gracias.
>
>-----Mensaje original-----
>De: postfix-es-bounces en lists.wl0.org
>[mailto:postfix-es-bounces en lists.wl0.org]En nombre de Bhean
>Enviado el: Viernes, 07 de Octubre de 2005 10:26
>Para: postfix-es en lists.wl0.org
>Asunto: Re: [Postfix-es] Suplantación de Identidad
>
>
>Hola Ricardo,
>
>Vaya una auditoria de seguridad que os han hecho, jejejeje
>Vamos a ver, la suplantación de identidad es a dia de hoy ABSOLUTAMENTE
>imposible de evitar en un servidor de correo, a no ser que se utilizen
>sistemas "externos", como son los registros SPF en los DNS de tu
>dominio, o se firmen los mensajes con GnuPG, pero esto son otros temas,
>y por ejemplo en el caso de la utilizacion de GnuPG todos los
>destinatarios de los mensajes que envies deben tener firmada tu clave
>publica... lo cual no es siempre posible)
>
>Al fin y al cabo, el "remite" de un email es tan solo una cabecera del
>propio mensaje, que se puede modificar a tu antojo para "simular" que el
>mensaje procede de una cuenta de correo falsa (hay formas de "averiguar"
>si realmente la cuenta "remitente" es correcta o no, pero una vez
>recibido el mensaje. No puedes evitar que en un principio se envie dicho
>correo)
>
>En cuanto a lo de enviar correo desde una cuenta falsa desde tu servidor
>a cualquier cuenta de internet, hay 2 cosas que decir:
>
>1.- Esto es realmente grave si CUALQUIER usuario (es decir, cualquiera
>que se pueda conectar a tu servidor desde internet) puede enviar
>mensajes a cualquier usuario (sea o no gestionado por tu Postfix). Si
>esto es así, no tardaras en comprobar como la cola de tu Postfix esta
>completamente llena de mensajes SPAM hacia miles de usuarios. Los
>SPAMMERS analizan constantemente rangos de IP's en busca de servidores
>de correo mal configurados o que permitan el relay de correo. Para
>evitar esto, DEBES autentificar tu servidor para que solo usuarios de tu
>confianza (los que tienen login/password) puedan enviar mensajes al
>"exterior". Para autentificar Postfix te recomiendo SASL, aunque hay
>algunas otras maneras (pop-before-smtp, etc...)
>
>2.- En cuanto a lo de enviar correo desde una cuenta falsa, estamos en
>las mismas que antes. NO puedes garantizar que el correo proceda de la
>dirección que viene en la cabecera FROM, a no ser que por ejemplo los
>firmes con PGP (o GnuPG).
>
>Hay muchas formas de proteger Postfix, pero por muy protegido que este,
>si un usuario valido cambia la cabecera FROM, no podras evitar que ese
>mensaje se envie...
>
>Un saludo,
>
>On Fri, 2005-10-07 at 09:42 -0400, Ricardo Gutiérrez J. wrote:
>
>
>>Hola a todos, en donde trabajo tenemos implementado fedora core 1 con
>>postfix, hace poco realizarón
>>una auditoria de seguridad y encontraron 2 fallas en el servidor de
>>
>>
>correo,
>
>
>>las cuales son las siguientes:
>>
>>1.- Pueden enviar correos desde una cuenta falsa (user en dominio.com) a
>>cualquier usuario del dominio (ricardo en dominio.com),
>>como aparece abajo, esto es desde fuera de la lan.
>>
>>telnet mail.dominio.com 25
>>Trying 200.75.2.74...
>>Connected to mail.dominio.com.
>>Escape character is '^]'.
>>220 mail.dominio.com ESMTP Postfix
>>helo dominio.com
>>250 mail.dominio.com
>>mail from: user en dominio.com
>>250 Ok
>>rcpt to: ricardo en dominio.com
>>250 Ok
>>data
>>354 End data with <CR><LF>.<CR><LF>
>>prueba
>>.
>>250 Ok: queued as 968CC4B8EA
>>
>>2.- Pueden enviar correos desde un correo y dominio falso (pp en pp.com)
>>
>>
>hacia
>
>
>>un cuenta real en internet (mailprueba en gmail.com),
>>como aparece abajo, esta prueba fue realizada en forma interna:
>>
>>220 mail.dominio.com ESMTP Postfix
>>helo dominio.com
>>250 mail.dominio.com
>>mail from: pp en pp.com
>>250 Ok
>>rcpt to: mailprueba en gmail.com
>>250 Ok
>>data
>>354 End data with <CR><LF>.<CR><LF>
>>prueba de correo
>>.
>>250 Ok: queued as DF70E4B8E4
>>
>>La pregunta es: De que forma podria bloquear en el postfix para que no
>>puedan enviar ese tipo de correos?
>>
>>Gracias...
>>
>>Atte.,
>>
>>Ricardo G.
>>
>>_______________________________________________
>>List de correo Postfix-es
>>Postfix-es en lists.wl0.org
>>http://lists.wl0.org/mailman/listinfo/postfix-es
>>
>>
>
>
>
Más información sobre la lista de distribución Postfix-es