[Postfix-es] Consulta sobre SMTP y telnet

CEduardo® carlos.eduardo.virgen en gmail.com
Vie Feb 9 16:46:42 CET 2007 

Hola de nuevo.
He estado investigando sobre el tema mas a fondo y he encontrado algo
que me ha dado mayor entendimiento sobre el tema, en este link
http://llistes.bulma.net/pipermail/bulmailing/Week-of-Mon-20051121/073845.html
habla sobre el parametro del postfix llamado
"smtpd_helo_restrictions", aquí la explicación en el mensaje citado:

"smtpd_helo_restrictions =       permit_mynetworks,
                                permit_sasl_authenticated,
                                reject_invalid_hostname,
                                check_helo_access
hash:/etc/postfix/helo_access_external,
                                permit

En /etc/postfix/helo_access_external hay:

pirispons.net 504 Hostname invalid

Segun estas restricciones (aplicadas al "comando" helo tendriamos):

1.- Si es un cliente de mi red: se acepta (da igual el helo que haya mandado)
    Si no seguimos comprobando
2.- Si es un cliente autentificado con sasl: se acepta (da igual el
helo que haya mandado)
    Si no seguimos comprobando
3.- Si el hostname mandado en el helo es invalido: se rechaza
    Si no seguimos comprobando
4.- Si el hostname mandado en el helo es `pirispons.net': se rechaza
con error `504 Hostname invalid'
    Si no seguimos comprobando
5.- Se acepta independiente del helo que haya mandado (que habrá
superado las restricciones anteriores)

Se entiende el ejemplo?

Para los curiososos, la restricción 4 es para evitar el gusano sobber
(creo recordar), cuyo motor smtp se presenta en el helo como el dominio
de la "víctima" (cosa que no haría nunca un servidor smtp "en su sano
juicio")."

Mi server solo tiene esto configurado:
# Para anadir soporte de SASL en la autenticacion
smtpd_sasl_auth_enable = yes
smtpd_sasl_application_name = smtpd
broken_sasl_auth_clients = yes
smtpd_sasl_security_options = noanonymous
smtp_sasl_security_options = noanonymous
smtpd_sasl_local_domain = $mydestination
smtpd_delay_reject = yes
message_size_limit = 12582912

Pero no tiene el "smtpd_helo_restrictions" configurado.¿Por motivos de
seguridad es necesario configurar la variable del l
"smtpd_helo_restrictions"  o con las líneas vistas anteriormente basta
para ser un servidor "seguro"?
Gracias.

El 9/02/07, CEduardo(r) <carlos.eduardo.virgen en gmail.com> escribió:
> Hola Santiago gracias por tu respuesta.
>
> Ok, entiendo que el servidor SMTP usa una conexión usando el telnet
> por el puerto 25, el servidor de correo estaba configurado de tal
> manera que solo desde la red corporativa se pudieran hacer los envíos
> de correo, se monto SALS para que se pudiera hacer uso del servidor
> desde la red externa (Relay externo, -creo que se llama eso), lo que
> me tiene pensativo es que si una persona con mucha curiosidad puede
> hacer  lo que hice yo desde mi red interna,  pero ubicado
> remotamente(¿Si quiere hacer eso el SALS lo debe de autenticar para
> que haga su operación?), puede diseñar un programa que ejecute los
> comandos de envió de correo, yo intente hacer la misma prueba con el
> smtp de uno de los proveedores de correo gratuito, pero me salieron
> validaciones de "HELO dominio.com" , luego de que me aceptara la
> validación intente hacer " RCPT TO:<dervaterwolf en gmail.com >"  y me
> salio que no era valido, luego cuando volví a intentar la misma prueba
> me mandaba un "550 5.0.0 Command rejected
> " por que sabe que lo que le estoy enviando es falso, por lo que yo
> veo mi server tiene un nivel de valuación de los correos básico( nada
> de helo ni d esas cosas, si tiene autenticación por el SALS para envio
> de correo externo) y por eso es que me genero la duda, no tanto de que
> el SMTP fuera inseguro si no que de mi configuración le falte algo
> para se óptima y segura.
>
> Gracias por tu aporte.
>
> PD: Yo administro esl servidor de correo de la empresa donde trabajo,
> el que ha realizado los montajes ha sido un tercero no yo, estoy medio
> novato en esto y cada día aprendo muchas cosas sobre postfix y Linux,
> por eso esta prueba me ha generado mucha incertidumbre y confusión
> sobre el tema, así que perdonen mi ignorancia.
>
> El 8/02/07, Santiago Vila <sanvila en unex.es> escribió:
> > On Thu, 8 Feb 2007, CEduardo(r) wrote:
> >
> > > ¿Es posible que se conecten a mi servidor por telnet desde la red
> > > externa por el puesto 25?
> >
> > Es que el correo funciona haciendo una conexión al puerto 25.
> >
> > Fíjate que estás preguntando en realidad que si te pueden enviar
> > correo (!). Si es un servidor de correo me imagino que lo querrás para
> > recibir correo, ¿no?
> >
> > > ¿Es posible que usen mi servidor de correo para envió de  spam si
> > > tengo el sals para la validación el envió por SMTP?
> >
> > Sí, es posible que tus usuarios reciban spam del exterior.
> >
> > > ¿Si puedo hacer eso desde mi consola de Linux otro lo puede hacer
> > > desde la de el?
> >
> > Sí, si tú puedes verificar que tu máquina recibe correo, cualquier
> > otro te puede enviar correo también. Es lo que tiene el SMTP, una vez
> > que tienes un servidor de correo estás abierto a que cualquiera te
> > envíe mensajes.
> >
> > > Si todas las respuestas tienden a que mi Server tiene un hoyo de
> > > seguridad, ¿Qué hago para solucionar esto?
> >
> > No veo el agujero de seguridad por ninguna parte.
> >
> > Lo único que has puesto de manifiesto con el test es que tu máquina es
> > capaz de recibir correo, pero eso era lo que pretendías, ¿no?
> >
> > ¿O es que tal vez el protocolo SMTP te parece intrínsicamente peligroso?
> > _______________________________________________
> > List de correo Postfix-es para tratar temas del MTA postfix en español
> > Postfix-es en lists.wl0.org
> > http://lists.wl0.org/mailman/listinfo/postfix-es
> >
>
>
> --
> CEduardo(r)
> Carlos Eduardo Virgen Londoño (c)1980-2007
> Link: http://www.geocities.com/cevlco/
>


-- 
CEduardo(r)
Carlos Eduardo Virgen Londoño (c)1980-2007
Link: http://www.geocities.com/cevlco/

Más información sobre la lista de distribución Postfix-es