[Postfix-es] Consulta sobre SMTP y telnet

dani en netsupport-si.net dani en netsupport-si.net
Vie Feb 9 20:19:12 CET 2007 

Primero de todo sería mas fácil decirte si eres un open-relay si mandas tu configuración.

Luego estaría bien que te mirases la documentación de postfix al respecto, en concreto
http://www.postfix.org/SMTPD_ACCESS_README.html
donde esta muy bien explicado el tema de las restricciones.



On Fri, 9 Feb 2007 10:46:42 -0500, "CEduardo®" <carlos.eduardo.virgen en gmail.com> wrote:
> Hola de nuevo.
> He estado investigando sobre el tema mas a fondo y he encontrado algo
> que me ha dado mayor entendimiento sobre el tema, en este link
> http://llistes.bulma.net/pipermail/bulmailing/Week-of-Mon-20051121/073845.html
> habla sobre el parametro del postfix llamado
> "smtpd_helo_restrictions", aquí la explicación en el mensaje citado:
> 
> "smtpd_helo_restrictions =       permit_mynetworks,
>                                 permit_sasl_authenticated,
>                                 reject_invalid_hostname,
>                                 check_helo_access
> hash:/etc/postfix/helo_access_external,
>                                 permit
> 
> En /etc/postfix/helo_access_external hay:
> 
> pirispons.net 504 Hostname invalid
> 
> Segun estas restricciones (aplicadas al "comando" helo tendriamos):
> 
> 1.- Si es un cliente de mi red: se acepta (da igual el helo que haya
> mandado)
>     Si no seguimos comprobando
> 2.- Si es un cliente autentificado con sasl: se acepta (da igual el
> helo que haya mandado)
>     Si no seguimos comprobando
> 3.- Si el hostname mandado en el helo es invalido: se rechaza
>     Si no seguimos comprobando
> 4.- Si el hostname mandado en el helo es `pirispons.net': se rechaza
> con error `504 Hostname invalid'
>     Si no seguimos comprobando
> 5.- Se acepta independiente del helo que haya mandado (que habrá
> superado las restricciones anteriores)
> 
> Se entiende el ejemplo?
> 
> Para los curiososos, la restricción 4 es para evitar el gusano sobber
> (creo recordar), cuyo motor smtp se presenta en el helo como el dominio
> de la "víctima" (cosa que no haría nunca un servidor smtp "en su sano
> juicio")."
> 
> Mi server solo tiene esto configurado:
> # Para anadir soporte de SASL en la autenticacion
> smtpd_sasl_auth_enable = yes
> smtpd_sasl_application_name = smtpd
> broken_sasl_auth_clients = yes
> smtpd_sasl_security_options = noanonymous
> smtp_sasl_security_options = noanonymous
> smtpd_sasl_local_domain = $mydestination
> smtpd_delay_reject = yes
> message_size_limit = 12582912
> 
> Pero no tiene el "smtpd_helo_restrictions" configurado.¿Por motivos de
> seguridad es necesario configurar la variable del l
> "smtpd_helo_restrictions"  o con las líneas vistas anteriormente basta
> para ser un servidor "seguro"?
> Gracias.
> 
> El 9/02/07, CEduardo(r) <carlos.eduardo.virgen en gmail.com> escribió:
>> Hola Santiago gracias por tu respuesta.
>>
>> Ok, entiendo que el servidor SMTP usa una conexión usando el telnet
>> por el puerto 25, el servidor de correo estaba configurado de tal
>> manera que solo desde la red corporativa se pudieran hacer los envíos
>> de correo, se monto SALS para que se pudiera hacer uso del servidor
>> desde la red externa (Relay externo, -creo que se llama eso), lo que
>> me tiene pensativo es que si una persona con mucha curiosidad puede
>> hacer  lo que hice yo desde mi red interna,  pero ubicado
>> remotamente(¿Si quiere hacer eso el SALS lo debe de autenticar para
>> que haga su operación?), puede diseñar un programa que ejecute los
>> comandos de envió de correo, yo intente hacer la misma prueba con el
>> smtp de uno de los proveedores de correo gratuito, pero me salieron
>> validaciones de "HELO dominio.com" , luego de que me aceptara la
>> validación intente hacer " RCPT TO:<dervaterwolf en gmail.com >"  y me
>> salio que no era valido, luego cuando volví a intentar la misma prueba
>> me mandaba un "550 5.0.0 Command rejected
>> " por que sabe que lo que le estoy enviando es falso, por lo que yo
>> veo mi server tiene un nivel de valuación de los correos básico( nada
>> de helo ni d esas cosas, si tiene autenticación por el SALS para envio
>> de correo externo) y por eso es que me genero la duda, no tanto de que
>> el SMTP fuera inseguro si no que de mi configuración le falte algo
>> para se óptima y segura.
>>
>> Gracias por tu aporte.
>>
>> PD: Yo administro esl servidor de correo de la empresa donde trabajo,
>> el que ha realizado los montajes ha sido un tercero no yo, estoy medio
>> novato en esto y cada día aprendo muchas cosas sobre postfix y Linux,
>> por eso esta prueba me ha generado mucha incertidumbre y confusión
>> sobre el tema, así que perdonen mi ignorancia.
>>
>> El 8/02/07, Santiago Vila <sanvila en unex.es> escribió:
>> > On Thu, 8 Feb 2007, CEduardo(r) wrote:
>> >
>> > > ¿Es posible que se conecten a mi servidor por telnet desde la red
>> > > externa por el puesto 25?
>> >
>> > Es que el correo funciona haciendo una conexión al puerto 25.
>> >
>> > Fíjate que estás preguntando en realidad que si te pueden enviar
>> > correo (!). Si es un servidor de correo me imagino que lo querrás
> para
>> > recibir correo, ¿no?
>> >
>> > > ¿Es posible que usen mi servidor de correo para envió de  spam si
>> > > tengo el sals para la validación el envió por SMTP?
>> >
>> > Sí, es posible que tus usuarios reciban spam del exterior.
>> >
>> > > ¿Si puedo hacer eso desde mi consola de Linux otro lo puede hacer
>> > > desde la de el?
>> >
>> > Sí, si tú puedes verificar que tu máquina recibe correo, cualquier
>> > otro te puede enviar correo también. Es lo que tiene el SMTP, una vez
>> > que tienes un servidor de correo estás abierto a que cualquiera te
>> > envíe mensajes.
>> >
>> > > Si todas las respuestas tienden a que mi Server tiene un hoyo de
>> > > seguridad, ¿Qué hago para solucionar esto?
>> >
>> > No veo el agujero de seguridad por ninguna parte.
>> >
>> > Lo único que has puesto de manifiesto con el test es que tu máquina
> es
>> > capaz de recibir correo, pero eso era lo que pretendías, ¿no?
>> >
>> > ¿O es que tal vez el protocolo SMTP te parece intrínsicamente
> peligroso?
>> > _______________________________________________
>> > List de correo Postfix-es para tratar temas del MTA postfix en
> español
>> > Postfix-es en lists.wl0.org
>> > http://lists.wl0.org/mailman/listinfo/postfix-es
>> >
>>
>>
>> --
>> CEduardo(r)
>> Carlos Eduardo Virgen Londoño (c)1980-2007
>> Link: http://www.geocities.com/cevlco/
>>
> 
> 
> -- 
> CEduardo(r)
> Carlos Eduardo Virgen Londoño (c)1980-2007
> Link: http://www.geocities.com/cevlco/
> _______________________________________________
> List de correo Postfix-es para tratar temas del MTA postfix en español
> Postfix-es en lists.wl0.org
> http://lists.wl0.org/mailman/listinfo/postfix-es

Más información sobre la lista de distribución Postfix-es