[postfix-es] SMPT autenticado, evita que me usen como open relay?

Federico Alberto Sayd fsayd en uncu.edu.ar
Lun Ene 11 18:15:15 CET 2010 

whilo en vcl.rimed.cu escribió:
> http://elblogdewhilo.blogspot.com
> busca ahi en mi blog, hablo de ello
>
> whilo
> ----- Original Message ----- From: "Jose Alberto" <josepertuz en gmail.com>
> To: "Yuniesky Machado" <ymachado en inivit.co.cu>
> Cc: "Foro Postfix" <postfix-es en lists.wl0.org>
> Sent: Monday, July 13, 2009 9:07 AM
> Subject: Re: [postfix-es] SMPT autenticado,evita que me usen como open 
> relay?
>
>
> Saludos.
>
> Ya he ido avanzando, ya logre autenticar smtp por medio de sasl,
> siguiendo varias guías que conseguí en internet.
>
> Caso numero 1: En la red interna ya pide autenticación cuando van a
> mandar un mensaje ya sea al mismo dominio (midominio.com) o dominios
> externos (gmail, hotmail, etc etc)
>
> PERO....
>
> Sigue siendo un Open-Relay ya que varias paginas que chequean el smtp
> me lo han dicho y una prueba mas para verificar es que configure un
> cliente de correo (thunderbird) usando como smtp mi servidor
> (mail.midominio.com) como servidor de salida, coloque que no pidiera
> autenticación y "PLASH" si envía el mensaje por medio del servidor.
>
> Por que para la red interna si utiliza la autenticación y para la red
> externa no?
> Sera algo es las reglas de control de acceso? aquí las pego para ver
> si es que tengo alguna con el orden incorrecto, espero me ayuden
> gracias.
>
> PD: el archivo access contiene los dominios que hasta ahora me
> utilizan como open-relay, ha sido la forma de evitar el colapso del
> servidor, pero vuelvo y repito, ya me pide la autenticación pero para
> los equipos de la red interna mas no para los del exterior.
>
> mi main.cf
>
> # Configuración de Postfix:
> smtpd_banner = V-7
> biff = no
> append_dot_mydomain = no
> mydomain = midominio.com
> smtpd_proxy_ehlo = $myhostname
> mynetworks = 127.0.0.0/8, 192.168.0.0/24
> relay_domains = midominio.com
> myorigin = /etc/mailname
> myhostname = mail.midominio.com
> alias_maps = hash:/etc/aliases
> mydestination = $myhostname, midominio.com
> mailbox_size_limit = 1000000000
> recipient_delimiter = +
> message_size_limit = 1000000000
> masquerade_domains = midominio.com
> mailbox_command = procmail -a "$EXTENSION"
> relayhost =
> inet_interfaces = all
>
> # Listas de Control de Acceso:
>
> smtpd_helo_required = yes
> disable_vrfy_command = no
>
> smtpd_client_restrictions =
>                permit_mynetworks,
> reject_maps_rbl,
> check_relay_domains
>
> smtpd_helo_restrictions =
>                permit_mynetworks,
> reject_invalid_helo_hostname,
> reject_non_fqdn_helo_hostname
>
> smtpd_sender_restrictions =
>                check_sender_access hash:/etc/postfix/access,
> reject_non_fqdn_sender,
> reject_unknown_sender_domain,
> permit_mynetworks
>
> smtpd_recipient_restrictions =
>                check_recipient_access hash:/etc/postfix/access,
> reject_non_fqdn_recipient,
>                reject_unknown_recipient_domain,
>                permit_mynetworks,
>                permit_sasl_authenticated,
>                reject_unauth_destination,
>                reject_unlisted_recipient,
>                reject_maps_rbl,
> check_policy_service inet:127.0.0.1:60000,
>                permit
>
> smtpd_data_restrictions =
>                reject_multi_recipient_bounce,
>                reject_unauth_pipelining
>
> maps_rbl_domains =
>                rbl.maps.vix.com,
>                dul.maps.vix.com,
>                ralays.ordb.org,
>                list.dsbl.org,
>                blackholes.mail-abuse.org,
>                dialups.mail-abuse.org,
>                relays.mail-abuse.org
>
> #SASL (SMTP Autenticado)
> smtpd_sasl_auth_enable = yes
> smtpd_sasl_security_options = noanonymous
> smtpd_sasl_local_domain =
> broken_sasl_auth_clients = yes
>
>
>
>
>
>
>
>
>
>
>
>
>
>
>
>
>
>
>
>
>
>
>
>
>
>
¿En el fichero access tienes alguna regla específica que pueda estarse 
"saltando" la configuración que tu quieres?

Fijate en este link: http://www.postfix.org/SMTPD_ACCESS_README.html#danger

Lo ideal es que limites al máximo las redes o números ip del parámetro 
mynetworks y que todo lo demás lo hagas pasar por sasl. Los test de open 
relay además suelen decirte cómo se identifica el host y a quién trata 
de enviar y en base a eso muestra si el servidor lo dejó relayar o no. 
Si algunos intentos son exitosos y otros  no de ahí puedes identificar 
por dónde está abierto tu servidor.

Saludos

More information about the postfix-es mailing list