Fw: [Postfix-es] verificar remitente

Freddy Marín Hernández fmarin en cfg.etecsa.cu
Jue Feb 22 20:00:36 CET 2007 

Hola José Armando y gracias por la respuesta. Me gusta mucho la idea, sólo 
alguna que otra pregunta:
En mi caso necesito que cada usuario envía estrictamente como él. osea: 
userx como userx en midominio.com y nada mas. Mi entorno es semieducacional, 
por lo que tengo bastante inestabilidad con los usuarios (altas y bajas 
frecuentes). Me parece que mantener un fichero con una lista actualizada de 
todos mis senders contra su usuario sasl será bastante agobiante. Mi 
autenticación es cotra Passwords y Shadow. ¿Es posible especificar en 
smtpd_sender_login_maps alguna configuración que fije usuariox en midominio.com 
a usuariox estrictamente para todos mis usuarios sin necesidad de editar 
todo un fichero de lista y además de eso mantenerlo actualizado?
Saludos y desde ya, gracias
Freddy


Date: Thu, 22 Feb 2007 08:53:32 -0800
From: Jorge Armando Medina <jmedina en calcom.com.mx>
Subject: Re: Fw: [Postfix-es] verificar remitente
To: postfix-es en lists.wl0.org
Message-ID: <200702220853.32854.jmedina en calcom.com.mx>
Content-Type: text/plain;  charset="iso-8859-1"

On Thursday 22 February 2007 08:21, Freddy Marín Hernández wrote:
>  Hola.

Hola

>  A propósito de este hilo. Aún verificando que el usuario que envía el
> correo  sea válido, aún me quedaría la vulnerabilidad de la suplantación 
> de
> identidad contra otro usuario con cuenta válida. Me explico:
>
>  Sean dos usuarios válidos usuario1 en midominio.com con contraseña1
>                                         usuario2 en midominio.com con
> contraseña2
>
>  Supongamos que usuario1 se configura una cuenta en su MUA donde se
> autentica  mediante sasl como usuario1/contraseña1, o sea, sus datos
> reales, sin embargo pone como su dirección usuario2 en midominio.com, lo cual
> no es real  pero el servidor se lo traga porque usuario2 es válido. El
> destinatario  recibiría el mensaje como si lo enviara usuario2 (de hecho 
> es
> lo que aparece  en el campo from: ). De esta forma habría que ir a las
> trazas del sistema  para llegar al origen real.  La vulnerabilidad se
> vuelve más peligrosa si  todos los usuarios no tienen los mismos derechos
> al relay del servidor.
>  Mi pregunta es ¿Existe posibilidad de eliminar esta vulnerabilidad? o 
> sea,
> exigir que si un usuario se autenticó smtp+sasl como usuario1, el el from
> de su mensaje solo debe aparecer usuario1 en midominio.com y nada diferente.
> Saludos

Claro que se puede con postfix

http://www.postfix.org/postconf.5.html#smtpd_sender_login_maps


la cosa es que hagas un mapeo de la direccion del sender con el usuario que
hace login via SASL.

y despues usar la restriccion de reject_sender_login_mismatch (por ejemplo 
en
recipient_restrictions para que se use el mapa anterior

Yo tengo un documento que no he terminado explicando ese caso.

lo hice obteniendo la informacion de un directorio LDAP.

Saludos.


>
>  Freddy

Más información sobre la lista de distribución Postfix-es