[postfix-es] Inquietud sobre telnet 25

David González david en delpozo.org
Mar Oct 23 22:06:44 CEST 2012 

Lo que necesitas es autenticar postfix, aquí tienes varios ejemplos:

https://www.google.com/search?btnG=Google+Search&q=postfix+smtp+auth

El 23/10/2012 19:07, Carlos Bernat escribió:
> Hola Grupo
>
> Lamento mi demora en contestar. Gracias a todos por sus respuestas son 
> muy amables. No se si tal vez no me he hecho entender. Entiendo que 
> para enviar correos no debe ser necesaria la autenticacion, sino todos 
> los sistemas de correo necesitarian password para lograr la conexion 
> por el puerto 25. El problema es que mis usuarios de mi red LAN o que 
> estan detras de midominio.com <http://midominio.com> no utilicen mi 
> propio mail server como open relay. Es decir:
>
> pedro en midominio.com <mailto:pedro en midominio.com> es una cuenta que 
> existe y esta en midominio.com <http://midominio.com>
> cabo81 en gmail.com <mailto:cabo81 en gmail.com> es mi cuenta personal
>
> Si pedro en midominio.com <mailto:pedro en midominio.com> quiere enviarme un 
> correo a cabo81 en gmail.com <mailto:cabo81 en gmail.com> a traves de un 
> webmail instalado como Roundcube, lo puede hacer siempre y cuando 
> ingrese su login y password. Eso es correcto.
>
> Pero si pedro en midominio.com <mailto:pedro en midominio.com> quiere usar 
> una conexion Telnet dentro de mi LAN por el puerto 25 para enviar un 
> correo a cabo81 en gmail.com <mailto:cabo81 en gmail.com>, pues tambien lo 
> puede hacer!! eso me tiene loco y no se como tapar esa vulnerabilidad.
>
> Es mas, si una persona dentro de mi LAN tiene conocimientos de smtp, 
> puede usar la cuenta pedro en midominio.com <mailto:pedro en midominio.com> 
> para enviar SPAM a quien quiera sin requerir password.
>
> Tengo entendido que gmail pide autenticacion para este caso. Si uno 
> prueba telnet smtp.gmail.com <http://smtp.gmail.com> 25 (los invito a 
> que lo prueben) te va a salir un mensaje indicando que requieres 
> autenticacion como en el ejemplo siguiente:
>
> *220 mx.google.com <http://mx.google.com> ESMTP o13sm11111133ang.1*
> ehlo midominio.com <http://midominio.com>
> *502 5.5.1 Unrecognized command. o13sm11111133ang.1*
> ehlo midominio.com <http://midominio.com>
> *250-mx.google.com <http://250-mx.google.com> at your service, [mi ip 
> de conexion]*
> *250-SIZE 35882577
> 250-8BITMIME
> 250-AUTH LOGIN PLAIN XOAUTH XOAUTH2
> 250-ENHANCEDSTATUSCODES
> 250 STARTTLS*
> mail from: cabo81 en gmail.com <mailto:cabo81 en gmail.com>
> *530-5.5.1 Authentication Required. Learn more at
> 530 5.5.1 http://support.google.com/mail/bin/answer.py?answer=14257 
> o13sm11111133ang.1
> *
> Alguien ha podido autenticar el puerto 25 de la forma como gmail lo 
> hace? o es un desarrollo propio de gmail para evitar que lo hagan. 
> Este ejemplo de gmail ,es lo que necesito para tapar mi vulnerabilidad.
>
> Disculpen mi falta de comprension y agradezco de antemano cualquier 
> informacion que me guie en mi problema.
>
> Saludos
>
> Carlos Bernat
>
> El 18 de octubre de 2012 16:15, Lázaro <netadmin en lex-sa.cu 
> <mailto:netadmin en lex-sa.cu>> escribió:
>
>     Disuclpen, no recuerdo si ya respondi este correo pero no deja de
>     captar
>     mi atencion:
>
>     Cuando haces drop, es decir, cuando el correo que entra, nuestro
>     servidor es el destino final, no se pide password. Pero cuando
>     trata de
>     hacer relay y tiene una restriccion que pida autenticacion, entonces o
>     te autenticas o NO haces relay...
>
>
>     On Wed, Oct 17, 2012 David González wrote:
>     >
>     > Saludos,
>     > Si no he entendido mal, lo que usted llama poder enviar solo
>     dentro de su
>     > dominio, otros lo llaman poder recibir correos para su dominio.
>     > Es decir, si yo tengo un correo para una cuenta de su dominio,
>     mi servidor debe
>     > ser capaz de conectar con el suyo sin usar ninguna password y
>     entregarle dicho
>     > correo.
>     > Si esto no funcionara asi, nadie podria enviarle correos,
>     tendria usted que dar
>     > un usuario y password a los miles de servidores que pueda
>     haber... es por ello,
>     > que si yo quiero mandar algo a alguien a traves de su servidor
>     necesitare
>     > password, pero si yo quiero mandarle algo, su servidor debe
>     aceptarme sin
>     > autentificar
>     >
>     > Espero haber podido aportar algo de luz....
>     >
>     > El 17/10/2012 17:26, "Carlos Bernat" <cabo81 en gmail.com
>     <mailto:cabo81 en gmail.com>> escribió:
>     >
>     >     Buenos dias grupo
>     >
>     >     Ya he probado las diferentes recetas que ustedes amablemente
>     me han
>     >     brindado pero aun sigo con inconvenientes. Creo que tengo un
>     problema de
>     >     conceptos y me gustaria me aclararan lo siguiente:
>     >
>     >     En algun lado del extenso tutorial de postfix, lei que
>     cuando se trabaja
>     >     con SMTP autenticado, esta la opcion de autenticar o no. Es
>     decir, que al
>     >     momento de iniciar la negociacion por telnet, yo puedo
>     ingresar el comando:
>     >
>     >     AUTH LOGIN mipassword
>     >
>     >     Y al quedar autenticado puedo enviar correos. Si no ingreso
>     ese comando,
>     >     entonces simplemente no puedo hacer relay sino de forma
>     local, es decir,
>     >     solo puedo enviar correos entre mi propio dominio, no hacia
>     fuera.
>     >
>     >     Entonces, el SMTP autenticado es un metodo para evitar
>     correos spam fuera
>     >     de mi dominio. Pero dentro de mi dominio voy a tener problemas.
>     >
>     >     Estoy equivocado?
>     >
>     >     Gracias por cualquier aclaracion que puedan darme.
>     >
>     >     Saludos
>     >
>     >
>     >
>     >     2012/10/8 Lázaro <netadmin en lex-sa.cu
>     <mailto:netadmin en lex-sa.cu>>
>     >
>     >         elimina permit_mynetwork
>     >
>     >         > smtpd_recipient_restrictions = permit_sasl_authenticated,
>     >         permit_mynetworks,
>     >
>     >         por:
>     >
>     >         smtpd_recipient_restrictions = permit_sasl_authenticated
>     >
>     >
>     >         yo tengo mynetwork declarado como nulo para que o se
>     autentican o no
>     >         hay relay
>     >
>     >
>     >         Thread name: "Re: [postfix-es] Inquietud sobre telnet 25"
>     >         Mail number: 1
>     >         Date: Sun, Oct 07, 2012
>     >         In reply to: Carlos Bernat
>     >         >
>     >         > Hola Sejo, grupo
>     >         >
>     >         > Gracias por tu rapida respuesta.
>     >         >
>     >         > Aun configurando postfix con el parametro mynetworks
>     en localhost, no
>     >         funciono.
>     >         > Sigo enviando correos sin necesidad de password.
>     >         >
>     >         > alias_database = hash:/etc/aliases
>     >         > alias_maps = hash:/etc/aliases
>     >         > append_dot_mydomain = no
>     >         > biff = no
>     >         > config_directory = /etc/postfix
>     >         > inet_interfaces = all
>     >         > mailbox_command = procmail -a "$EXTENSION"
>     >         > mailbox_size_limit = 0
>     >         > mydestination = mi.server.com <http://mi.server.com>,
>     localhost.mi.server.com <http://localhost.mi.server.com>, , localhost
>     >         > myhostname = mi.server.com <http://mi.server.com>
>     >         > mynetworks = 127.0.0.0/8 <http://127.0.0.0/8>
>     [::ffff:127.0.0.0]/104 [::1]/128
>     >         > myorigin = /etc/mailname
>     >         > readme_directory = no
>     >         > recipient_delimiter = +
>     >         > relayhost =
>     >         > smtp_tls_session_cache_database =
>     btree:${data_directory}/smtp_scache
>     >         > smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
>     >         > smtpd_recipient_restrictions = permit_sasl_authenticated,
>     >         permit_mynetworks,
>     >         > reject_unauth_destination
>     >         > smtpd_sasl_auth_enable = yes
>     >         > smtpd_sasl_path = private/auth
>     >         > smtpd_sasl_type = dovecot
>     >         > smtpd_tls_cert_file = /etc/ssl/certs/ssl-cert-snakeoil.pem
>     >         > smtpd_tls_key_file =
>     /etc/ssl/private/ssl-cert-snakeoil.key
>     >         > smtpd_tls_session_cache_database =
>     btree:${data_directory}/
>     >         smtpd_scache
>     >         > smtpd_use_tls = yes
>     >         > virtual_alias_maps =
>     mysql:/etc/postfix/mysql-virtual-alias-maps.cf
>     <http://mysql-virtual-alias-maps.cf>
>     >         > virtual_mailbox_domains = mysql:/etc/postfix/
>     > mysql-virtual-mailbox-domains.cf
>     <http://mysql-virtual-mailbox-domains.cf>
>     >         > virtual_mailbox_maps = mysql:/etc/postfix/
>     > mysql-virtual-mailbox-maps.cf <http://mysql-virtual-mailbox-maps.cf>
>     >         > virtual_transport = dovecot
>     >         >
>     >         >
>     >         > Saludos
>     >         >
>     >         >
>     >         >
>     >         > El 7 de octubre de 2012 20:42, <j.sejo1 en gmail.com
>     <mailto:j.sejo1 en gmail.com>> escribió:
>     >         >
>     >         > Â  Â  El smtp autenticado es lo que se recomienda para
>     evitar de
>     >         plano el
>     >         >     openrelay, solo quedan de libre envío los que
>     declares en
>     >         mynetworks, la
>     >         >     mejor práctica autenticando el smtp es que solo
>     localhost
>     >         envie. Todo lo
>     >         > Â  Â  demas se debe autenticar. Es lo mas sano y mejor
>     controlado.
>     >         >
>     >         > Â  Â  Enviado desde mi celular
>     >         >
>     >         > Â  Â  -----Original Message-----
>     >         > Â  Â  From: Carlos Bernat <cabo81 en gmail.com
>     <mailto:cabo81 en gmail.com>>
>     >         > Â  Â  Sender:
>     postfix-es-bounces+j.sejo1=gmail.com en lists.wl0.orgDate:
>     >         Sun, 7 Oct
>     >         > Â  Â  2012 20:31:16
>     >         > Â  Â  To: Foro Postfix<postfix-es en lists.wl0.org
>     <mailto:postfix-es en lists.wl0.org>>
>     >         > Â  Â  Subject: [postfix-es] Inquietud sobre telnet 25
>     >         >
>     >         > Â  Â _______________________________________________
>     >         > Â  Â  List de correo postfix-es para tratar temas del
>     MTA postfix en
>     >         español
>     >         > Â  Â postfix-es en lists.wl0.org
>     <mailto:postfix-es en lists.wl0.org>
>     >         > Â  Â http://lists.wl0.org/mailman/listinfo/postfix-es
>     >         >
>     >         >
>     >
>     >         > _______________________________________________
>     >         > List de correo postfix-es para tratar temas del MTA
>     postfix en
>     >         español
>     >         > postfix-es en lists.wl0.org <mailto:postfix-es en lists.wl0.org>
>     >         > http://lists.wl0.org/mailman/listinfo/postfix-es
>     >
>     >
>     >         --
>     >         -------- Warning! ------------
>     >         100'000 pelos de escoba fueron
>     >         introducidos satisfactoriamente
>     >         en su puerto USB.
>     >
>     >
>     >
>     >
>     >
>     >         _______________________________________________
>     >         List de correo postfix-es para tratar temas del MTA
>     postfix en español
>     > postfix-es en lists.wl0.org <mailto:postfix-es en lists.wl0.org>
>     > http://lists.wl0.org/mailman/listinfo/postfix-es
>     >
>     >
>     >
>     >     _______________________________________________
>     >     List de correo postfix-es para tratar temas del MTA postfix
>     en español
>     > postfix-es en lists.wl0.org <mailto:postfix-es en lists.wl0.org>
>     > http://lists.wl0.org/mailman/listinfo/postfix-es
>     >
>
>     _______________________________________________
>     List de correo postfix-es para tratar temas del MTA postfix en español
>     postfix-es en lists.wl0.org <mailto:postfix-es en lists.wl0.org>
>     http://lists.wl0.org/mailman/listinfo/postfix-es
>
>


-- 
David González
david en delpozo.org

------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <http://lists.wl0.org/pipermail/postfix-es/attachments/20121023/bd783c47/attachment-0001.html>

Más información sobre la lista de distribución postfix-es