[postfix-es] Inquietud sobre telnet 25

Carlos Bernat cabo81 en gmail.com
Mar Oct 23 19:07:53 CEST 2012 

Hola Grupo

Lamento mi demora en contestar. Gracias a todos por sus respuestas son muy
amables. No se si tal vez no me he hecho entender. Entiendo que para enviar
correos no debe ser necesaria la autenticacion, sino todos los sistemas de
correo necesitarian password para lograr la conexion por el puerto 25. El
problema es que mis usuarios de mi red LAN o que estan detras de
midominio.com no utilicen mi propio mail server como open relay. Es decir:

pedro en midominio.com es una cuenta que existe y esta en midominio.com
cabo81 en gmail.com es mi cuenta personal

Si pedro en midominio.com quiere enviarme un correo a cabo81 en gmail.com a
traves de un webmail instalado como Roundcube, lo puede hacer siempre y
cuando ingrese su login y password. Eso es correcto.

Pero si pedro en midominio.com quiere usar una conexion Telnet dentro de mi
LAN por el puerto 25 para enviar un correo a cabo81 en gmail.com, pues tambien
lo puede hacer!! eso me tiene loco y no se como tapar esa vulnerabilidad.

Es mas, si una persona dentro de mi LAN tiene conocimientos de smtp, puede
usar la cuenta pedro en midominio.com para enviar SPAM a quien quiera sin
requerir password.

Tengo entendido que gmail pide autenticacion para este caso. Si uno prueba
telnet smtp.gmail.com 25 (los invito a que lo prueben) te va a salir un
mensaje indicando que requieres autenticacion como en el ejemplo siguiente:

*220 mx.google.com ESMTP o13sm11111133ang.1*
ehlo midominio.com
*502 5.5.1 Unrecognized command. o13sm11111133ang.1*
ehlo midominio.com
*250-mx.google.com at your service, [mi ip de conexion]*
*250-SIZE 35882577
250-8BITMIME
250-AUTH LOGIN PLAIN XOAUTH XOAUTH2
250-ENHANCEDSTATUSCODES
250 STARTTLS*
mail from: cabo81 en gmail.com
*530-5.5.1 Authentication Required. Learn more at
530 5.5.1 http://support.google.com/mail/bin/answer.py?answer=14257o13sm11111133ang.1
*
Alguien ha podido autenticar el puerto 25 de la forma como gmail lo hace? o
es un desarrollo propio de gmail para evitar que lo hagan. Este ejemplo de
gmail ,es lo que necesito para tapar mi vulnerabilidad.

Disculpen mi falta de comprension y agradezco de antemano cualquier
informacion que me guie en mi problema.

Saludos

Carlos Bernat

El 18 de octubre de 2012 16:15, Lázaro <netadmin en lex-sa.cu> escribió:

> Disuclpen, no recuerdo si ya respondi este correo pero no deja de captar
> mi atencion:
>
> Cuando haces drop, es decir, cuando el correo que entra, nuestro
> servidor es el destino final, no se pide password. Pero cuando trata de
> hacer relay y tiene una restriccion que pida autenticacion, entonces o
> te autenticas o NO haces relay...
>
>
> On Wed, Oct 17, 2012 David González wrote:
> >
> > Saludos,
> > Si no he entendido mal, lo que usted llama poder enviar solo dentro de su
> > dominio, otros lo llaman poder recibir correos para su dominio.
> > Es decir, si yo tengo un correo para una cuenta de su dominio, mi
> servidor debe
> > ser capaz de conectar con el suyo sin usar ninguna password y entregarle
> dicho
> > correo.
> > Si esto no funcionara asi, nadie podria enviarle correos, tendria usted
> que dar
> > un usuario y password a los miles de servidores que pueda haber... es
> por ello,
> > que si yo quiero mandar algo a alguien a traves de su servidor necesitare
> > password, pero si yo quiero mandarle algo, su servidor debe aceptarme sin
> > autentificar
> >
> > Espero haber podido aportar algo de luz....
> >
> > El 17/10/2012 17:26, "Carlos Bernat" <cabo81 en gmail.com> escribió:
> >
> >     Buenos dias grupo
> >
> >     Ya he probado las diferentes recetas que ustedes amablemente me han
> >     brindado pero aun sigo con inconvenientes. Creo que tengo un
> problema de
> >     conceptos y me gustaria me aclararan lo siguiente:
> >
> >     En algun lado del extenso tutorial de postfix, lei que cuando se
> trabaja
> >     con SMTP autenticado, esta la opcion de autenticar o no. Es decir,
> que al
> >     momento de iniciar la negociacion por telnet, yo puedo ingresar el
> comando:
> >
> >     AUTH LOGIN mipassword
> >
> >     Y al quedar autenticado puedo enviar correos. Si no ingreso ese
> comando,
> >     entonces simplemente no puedo hacer relay sino de forma local, es
> decir,
> >     solo puedo enviar correos entre mi propio dominio, no hacia fuera.
> >
> >     Entonces, el SMTP autenticado es un metodo para evitar correos spam
> fuera
> >     de mi dominio. Pero dentro de mi dominio voy a tener problemas.
> >
> >     Estoy equivocado?
> >
> >     Gracias por cualquier aclaracion que puedan darme.
> >
> >     Saludos
> >
> >
> >
> >     2012/10/8 Lázaro <netadmin en lex-sa.cu>
> >
> >         elimina permit_mynetwork
> >
> >         > smtpd_recipient_restrictions = permit_sasl_authenticated,
> >         permit_mynetworks,
> >
> >         por:
> >
> >         smtpd_recipient_restrictions = permit_sasl_authenticated
> >
> >
> >         yo tengo mynetwork declarado como nulo para que o se autentican
> o no
> >         hay relay
> >
> >
> >         Thread name: "Re: [postfix-es] Inquietud sobre telnet 25"
> >         Mail number: 1
> >         Date: Sun, Oct 07, 2012
> >         In reply to: Carlos Bernat
> >         >
> >         > Hola Sejo, grupo
> >         >
> >         > Gracias por tu rapida respuesta.
> >         >
> >         > Aun configurando postfix con el parametro mynetworks en
> localhost, no
> >         funciono.
> >         > Sigo enviando correos sin necesidad de password.
> >         >
> >         > alias_database = hash:/etc/aliases
> >         > alias_maps = hash:/etc/aliases
> >         > append_dot_mydomain = no
> >         > biff = no
> >         > config_directory = /etc/postfix
> >         > inet_interfaces = all
> >         > mailbox_command = procmail -a "$EXTENSION"
> >         > mailbox_size_limit = 0
> >         > mydestination = mi.server.com, localhost.mi.server.com, ,
> localhost
> >         > myhostname = mi.server.com
> >         > mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
> >         > myorigin = /etc/mailname
> >         > readme_directory = no
> >         > recipient_delimiter = +
> >         > relayhost =
> >         > smtp_tls_session_cache_database =
> btree:${data_directory}/smtp_scache
> >         > smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
> >         > smtpd_recipient_restrictions = permit_sasl_authenticated,
> >         permit_mynetworks,
> >         > reject_unauth_destination
> >         > smtpd_sasl_auth_enable = yes
> >         > smtpd_sasl_path = private/auth
> >         > smtpd_sasl_type = dovecot
> >         > smtpd_tls_cert_file = /etc/ssl/certs/ssl-cert-snakeoil.pem
> >         > smtpd_tls_key_file = /etc/ssl/private/ssl-cert-snakeoil.key
> >         > smtpd_tls_session_cache_database = btree:${data_directory}/
> >         smtpd_scache
> >         > smtpd_use_tls = yes
> >         > virtual_alias_maps = mysql:/etc/postfix/
> mysql-virtual-alias-maps.cf
> >         > virtual_mailbox_domains = mysql:/etc/postfix/
> >         mysql-virtual-mailbox-domains.cf
> >         > virtual_mailbox_maps = mysql:/etc/postfix/
> >         mysql-virtual-mailbox-maps.cf
> >         > virtual_transport = dovecot
> >         >
> >         >
> >         > Saludos
> >         >
> >         >
> >         >
> >         > El 7 de octubre de 2012 20:42, <j.sejo1 en gmail.com> escribió:
> >         >
> >         > Â  Â  El smtp autenticado es lo que se recomienda para evitar
> de
> >         plano el
> >         >     openrelay, solo quedan de libre envío los que declares
> en
> >         mynetworks, la
> >         >     mejor práctica autenticando el smtp es que solo
> localhost
> >         envie. Todo lo
> >         > Â  Â  demas se debe autenticar. Es lo mas sano y mejor
> controlado.
> >         >
> >         > Â  Â  Enviado desde mi celular
> >         >
> >         > Â  Â  -----Original Message-----
> >         > Â  Â  From: Carlos Bernat <cabo81 en gmail.com>
> >         > Â  Â  Sender:
> postfix-es-bounces+j.sejo1=gmail.com en lists.wl0.orgDate:
> >         Sun, 7 Oct
> >         > Â  Â  2012 20:31:16
> >         > Â  Â  To: Foro Postfix<postfix-es en lists.wl0.org>
> >         > Â  Â  Subject: [postfix-es] Inquietud sobre telnet 25
> >         >
> >         > Â  Â  _______________________________________________
> >         > Â  Â  List de correo postfix-es para tratar temas del MTA
> postfix en
> >         español
> >         > Â  Â  postfix-es en lists.wl0.org
> >         > Â  Â  http://lists.wl0.org/mailman/listinfo/postfix-es
> >         >
> >         >
> >
> >         > _______________________________________________
> >         > List de correo postfix-es para tratar temas del MTA postfix en
> >         español
> >         > postfix-es en lists.wl0.org
> >         > http://lists.wl0.org/mailman/listinfo/postfix-es
> >
> >
> >         --
> >         -------- Warning! ------------
> >         100'000 pelos de escoba fueron
> >         introducidos satisfactoriamente
> >         en su puerto USB.
> >
> >
> >
> >
> >
> >         _______________________________________________
> >         List de correo postfix-es para tratar temas del MTA postfix en
> español
> >         postfix-es en lists.wl0.org
> >         http://lists.wl0.org/mailman/listinfo/postfix-es
> >
> >
> >
> >     _______________________________________________
> >     List de correo postfix-es para tratar temas del MTA postfix en
> español
> >     postfix-es en lists.wl0.org
> >     http://lists.wl0.org/mailman/listinfo/postfix-es
> >
>
> _______________________________________________
> List de correo postfix-es para tratar temas del MTA postfix en español
> postfix-es en lists.wl0.org
> http://lists.wl0.org/mailman/listinfo/postfix-es
>
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <http://lists.wl0.org/pipermail/postfix-es/attachments/20121023/4615b076/attachment.html>

Más información sobre la lista de distribución postfix-es