Fw: [Postfix-es] verificar remitente

Jorge Armando Medina jmedina en calcom.com.mx
Jue Feb 22 21:14:20 CET 2007 

On Thursday 22 February 2007 11:00, Freddy Marín Hernández wrote:
> Hola José Armando y gracias por la respuesta. Me gusta mucho la idea, sólo
> alguna que otra pregunta:
> En mi caso necesito que cada usuario envía estrictamente como él. osea:
> userx como userx en midominio.com y nada mas. Mi entorno es semieducacional,
> por lo que tengo bastante inestabilidad con los usuarios (altas y bajas
> frecuentes). Me parece que mantener un fichero con una lista actualizada de
> todos mis senders contra su usuario sasl será bastante agobiante. Mi
> autenticación es cotra Passwords y Shadow. ¿Es posible especificar en
> smtpd_sender_login_maps alguna configuración que fije
> usuariox en midominio.com a usuariox estrictamente para todos mis usuarios sin
> necesidad de editar todo un fichero de lista y además de eso mantenerlo
> actualizado?
> Saludos y desde ya, gracias
> Freddy

No se si haya algo automatico, pero pues seria cosa de hacer un script
que cuando crees la contrasenia automaticamente agregue la linea al mapa y lo 
mismo cuando la eliminas, por ejemplo si usas adduser (un script en bash) ahi 
al final le puedes agregar una linea para que lo agregue al map, y para 
eliminarla, pues hacer algo como

#!/bin/bash

userdel -r $1
cat /etc/postfix/sender_login_maps | grep -v $1 > /etc/sender_login_maps.tmp
mv /etc/postfix/sender_login_maps.tmp /etc/postfix/sender_login_maps
postmap /etc/postfix/sender_login_maps

tu script lo ejecutarias algo asi:

# ./remuser username


igual y se puede hacer con sed masf acil, solo era para que veas la idea de 
como automatizarlo.

para agregar usuarios pues algo similar.

#!/bin/bash

useradd -m -d /home/$1 $1

echo "$1 en domain.tld $1"  >> /etc/postfix/sender_login_maps
postmap /etc/postfix/sender_login_maps

y pues igual lo llamas con algo como 

# ./createuser username

Saludos.
>
>
> Date: Thu, 22 Feb 2007 08:53:32 -0800
> From: Jorge Armando Medina <jmedina en calcom.com.mx>
> Subject: Re: Fw: [Postfix-es] verificar remitente
> To: postfix-es en lists.wl0.org
> Message-ID: <200702220853.32854.jmedina en calcom.com.mx>
> Content-Type: text/plain;  charset="iso-8859-1"
>
> On Thursday 22 February 2007 08:21, Freddy Marín Hernández wrote:
> >  Hola.
>
> Hola
>
> >  A propósito de este hilo. Aún verificando que el usuario que envía el
> > correo  sea válido, aún me quedaría la vulnerabilidad de la suplantación
> > de
> > identidad contra otro usuario con cuenta válida. Me explico:
> >
> >  Sean dos usuarios válidos usuario1 en midominio.com con contraseña1
> >                                         usuario2 en midominio.com con
> > contraseña2
> >
> >  Supongamos que usuario1 se configura una cuenta en su MUA donde se
> > autentica  mediante sasl como usuario1/contraseña1, o sea, sus datos
> > reales, sin embargo pone como su dirección usuario2 en midominio.com, lo
> > cual no es real  pero el servidor se lo traga porque usuario2 es válido.
> > El destinatario  recibiría el mensaje como si lo enviara usuario2 (de
> > hecho es
> > lo que aparece  en el campo from: ). De esta forma habría que ir a las
> > trazas del sistema  para llegar al origen real.  La vulnerabilidad se
> > vuelve más peligrosa si  todos los usuarios no tienen los mismos derechos
> > al relay del servidor.
> >  Mi pregunta es ¿Existe posibilidad de eliminar esta vulnerabilidad? o
> > sea,
> > exigir que si un usuario se autenticó smtp+sasl como usuario1, el el from
> > de su mensaje solo debe aparecer usuario1 en midominio.com y nada diferente.
> > Saludos
>
> Claro que se puede con postfix
>
> http://www.postfix.org/postconf.5.html#smtpd_sender_login_maps
>
>
> la cosa es que hagas un mapeo de la direccion del sender con el usuario que
> hace login via SASL.
>
> y despues usar la restriccion de reject_sender_login_mismatch (por ejemplo
> en
> recipient_restrictions para que se use el mapa anterior
>
> Yo tengo un documento que no he terminado explicando ese caso.
>
> lo hice obteniendo la informacion de un directorio LDAP.
>
> Saludos.
>
> >  Freddy
>
> _______________________________________________
> List de correo Postfix-es para tratar temas del MTA postfix en espaol
> Postfix-es en lists.wl0.org
> http://lists.wl0.org/mailman/listinfo/postfix-es

-- 
Jorge Armando Medina 
Calcom de México S.A de C.V. 
Telefono: 01 (664) 6238311 
Email: jmedina en calcom.com.mx

Más información sobre la lista de distribución Postfix-es