[Postfix-es] Problema de seguridad en la configuración del postfix

Mar Oct 30 19:02:00 CET 2007

El Lunes, 29 de Octubre de 2007 17:20, CEduardo® escribió:
> Saludos a todos, tengo un Server con Linux Slackware al cual se le ha
> montado el Postfix, SASL, Courier IMAP, SpamAssassin, toda mi red interna y
> la de los usuarios son en Windows y el cliente POP es el Outlook. Miremos
> el escenario, tengo configurado el dominioa.com, donde dominioa.com es el
> dominio registrado en los servidores DNS, ahora medio por configurar un
> dominio en el Outlook que me invente loco.com y que no he registrado en
> ninguna parte y ho sorpresa mi servidor envía mails con dominios inventados
> a cualquier destinatario.
>
>  ¿Esta bien de que envié correos a dominios no registrados?
>
> Yo creo que tengo un problema de seguridad, tengo entendido que el
> parámetro myorigin = $mydomain es de donde el envía el correo, le configure
> que enviara desde el con el nombre de dominio, pero no entiendo entonces
> por que envía desde otro dominio que no es ni el nombre de la maquina ni
> nada.
>
>
>
> Gracias todos por su ayuda.

Dentro de main.cf, tendrías que configurar el parámetro 
smtpd_recipient_restrictions para que incluya reject_unknown_recipient_domain

Extraído de http://www.postfix.org/postconf.5.html:

Reject the request when Postfix is not final destination for the recipient 
address, and the RCPT TO address has no DNS A or MX record, or when it has a 
malformed MX record such as a record with a zero-length MX hostname (Postfix 
version 2.3 and later). 
 The unknown_address_reject_code parameter specifies the response code for 
rejected requests (default: 450). The response is always 450 in case of a 
temporary DNS error.

Con esto evitarías que se intente mandar un correo a un destino que no existe 
o que es imposible.

Luego, para evitar que alguien pueda enviar un correo a través de tu MTA desde 
un dominio inexistente, deberías poner en smtpd_client_restrictions el 
parámetro reject_unknown_client_hostname 

Reject the request when 1) the client IP address->name mapping fails, 2) the 
name->address mapping fails, or 3) the name->address mapping does not match 
the client IP address. 
 This is a stronger restriction than the 
reject_unknown_reverse_client_hostname feature, which triggers only under 
condition 1) above. 
 The unknown_client_reject_code parameter specifies the response code for 
rejected requests (default: 450). The reply is always 450 in case the 
address->name or name->address lookup failed due to a temporary problem.

El problema de este parámetro es que rechazará muchos correos supuestamente 
válidos desde servidores que no están correctamente configurados o no tienen 
su resolución inversa correcta.

Para probarlo antes de ponerlo crudo siempre utilizá el warn_if_reject.

Saludos.-

-- 
Federico Lazcano
[flazcano en rosario.gov.ar]
+54 (341) 4802 568
msn: flazcano en rosario.gov.ar

Área Tecnología
Dirección General de Informática
Municipalidad de Rosario

http://es.wikipedia.org/wiki/GPG
http://es.wikipedia.org/wiki/Firma_digital
http://wwwkeys.pgp.net:11371/pks/lookup?op=vindex&search=0x36B658A4F0190C0E
------------ próxima parte ------------
Se ha borrado un mensaje que no está en formato texto plano...
Nombre     : no disponible
Tipo       : application/pgp-signature
Tamaño     : 189 bytes
Descripción: no disponible
Url        : http://lists.wl0.org/pipermail/postfix-es/attachments/20071030/d2ef713d/attachment-0001.bin