[postfix-es] Inquietud sobre telnet 25
Hernán Agretti
hagretti en yahoo.com.ar
Mie Oct 24 12:59:27 CEST 2012
Intenta con esto:
smtpd_helo_required = yes
smtpd_helo_restrictions =
permit_mynetworks,
permit_sasl_authenticated,
reject_invalid_hostname
Esto debería rechazarlo directamente al momento de helo.
Saludos
Hernán Gabriel Agretti
=====
________________________________
De: Carlos Bernat <cabo81 en gmail.com>
Para: Lázaro <netadmin en lex-sa.cu>
CC: postfix-es en lists.wl0.org
Enviado: martes, 23 de octubre de 2012 14:07
Asunto: Re: [postfix-es] Inquietud sobre telnet 25
Hola Grupo
Lamento mi demora en contestar. Gracias a todos por sus respuestas son muy amables. No se si tal vez no me he hecho entender. Entiendo que para enviar correos no debe ser necesaria la autenticacion, sino todos los sistemas de correo necesitarian password para lograr la conexion por el puerto 25. El problema es que mis usuarios de mi red LAN o que estan detras de midominio.com no utilicen mi propio mail server como open relay. Es decir:
pedro en midominio.com es una cuenta que existe y esta en midominio.com
cabo81 en gmail.com es mi cuenta personal
Si pedro en midominio.com quiere enviarme un correo a cabo81 en gmail.com a traves de un webmail instalado como Roundcube, lo puede hacer siempre y cuando ingrese su login y password. Eso es correcto.
Pero si pedro en midominio.com quiere usar una conexion Telnet dentro de mi LAN por el puerto 25 para enviar un correo a cabo81 en gmail.com, pues tambien lo puede hacer!! eso me tiene loco y no se como tapar esa vulnerabilidad.
Es mas, si una persona dentro de mi LAN tiene conocimientos de smtp, puede usar la cuenta pedro en midominio.com para enviar SPAM a quien quiera sin requerir password.
Tengo entendido que gmail pide autenticacion para este caso. Si uno prueba telnet smtp.gmail.com 25 (los invito a que lo prueben) te va a salir un mensaje indicando que requieres autenticacion como en el ejemplo siguiente:
220 mx.google.com ESMTP o13sm11111133ang.1
ehlo midominio.com
502 5.5.1 Unrecognized command. o13sm11111133ang.1
ehlo midominio.com
250-mx.google.com at your service, [mi ip de conexion]
250-SIZE 35882577
250-8BITMIME
250-AUTH LOGIN PLAIN XOAUTH XOAUTH2
250-ENHANCEDSTATUSCODES
250 STARTTLS
mail from: cabo81 en gmail.com
530-5.5.1 Authentication Required. Learn more at
530 5.5.1 http://support.google.com/mail/bin/answer.py?answer=14257 o13sm11111133ang.1
Alguien ha podido autenticar el puerto 25 de la forma como gmail lo hace? o es un desarrollo propio de gmail para evitar que lo hagan. Este ejemplo de gmail ,es lo que necesito para tapar mi vulnerabilidad.
Disculpen mi falta de comprension y agradezco de antemano cualquier informacion que me guie en mi problema.
Saludos
Carlos Bernat
El 18 de octubre de 2012 16:15, Lázaro <netadmin en lex-sa.cu> escribió:
Disuclpen, no recuerdo si ya respondi este correo pero no deja de captar
>mi atencion:
>
>Cuando haces drop, es decir, cuando el correo que entra, nuestro
>servidor es el destino final, no se pide password. Pero cuando trata de
>hacer relay y tiene una restriccion que pida autenticacion, entonces o
>te autenticas o NO haces relay...
>
>
>
>On Wed, Oct 17, 2012 David González wrote:
>>
>
>> Saludos,
>> Si no he entendido mal, lo que usted llama poder enviar solo dentro de su
>> dominio, otros lo llaman poder recibir correos para su dominio.
>> Es decir, si yo tengo un correo para una cuenta de su dominio, mi servidor debe
>> ser capaz de conectar con el suyo sin usar ninguna password y entregarle dicho
>> correo.
>> Si esto no funcionara asi, nadie podria enviarle correos, tendria usted que dar
>> un usuario y password a los miles de servidores que pueda haber... es por ello,
>> que si yo quiero mandar algo a alguien a traves de su servidor necesitare
>> password, pero si yo quiero mandarle algo, su servidor debe aceptarme sin
>> autentificar
>>
>> Espero haber podido aportar algo de luz....
>>
>> El 17/10/2012 17:26, "Carlos Bernat" <cabo81 en gmail.com> escribió:
>
>>
>> Buenos dias grupo
>>
>> Ya he probado las diferentes recetas que ustedes amablemente me han
>> brindado pero aun sigo con inconvenientes. Creo que tengo un problema de
>> conceptos y me gustaria me aclararan lo siguiente:
>>
>> En algun lado del extenso tutorial de postfix, lei que cuando se trabaja
>> con SMTP autenticado, esta la opcion de autenticar o no. Es decir, que al
>> momento de iniciar la negociacion por telnet, yo puedo ingresar el comando:
>>
>> AUTH LOGIN mipassword
>>
>> Y al quedar autenticado puedo enviar correos. Si no ingreso ese comando,
>> entonces simplemente no puedo hacer relay sino de forma local, es decir,
>> solo puedo enviar correos entre mi propio dominio, no hacia fuera.
>>
>> Entonces, el SMTP autenticado es un metodo para evitar correos spam fuera
>> de mi dominio. Pero dentro de mi dominio voy a tener problemas.
>>
>> Estoy equivocado?
>>
>> Gracias por cualquier aclaracion que puedan darme.
>>
>> Saludos
>>
>>
>>
>
>> 2012/10/8 Lázaro <netadmin en lex-sa.cu>
>>
>> elimina permit_mynetwork
>>
>> > smtpd_recipient_restrictions = permit_sasl_authenticated,
>> permit_mynetworks,
>>
>> por:
>>
>> smtpd_recipient_restrictions = permit_sasl_authenticated
>>
>>
>> yo tengo mynetwork declarado como nulo para que o se autentican o no
>> hay relay
>>
>>
>> Thread name: "Re: [postfix-es] Inquietud sobre telnet 25"
>> Mail number: 1
>> Date: Sun, Oct 07, 2012
>> In reply to: Carlos Bernat
>> >
>> > Hola Sejo, grupo
>> >
>> > Gracias por tu rapida respuesta.
>> >
>> > Aun configurando postfix con el parametro mynetworks en localhost, no
>> funciono.
>> > Sigo enviando correos sin necesidad de password.
>> >
>> > alias_database = hash:/etc/aliases
>> > alias_maps = hash:/etc/aliases
>> > append_dot_mydomain = no
>> > biff = no
>> > config_directory = /etc/postfix
>> > inet_interfaces = all
>> > mailbox_command = procmail -a "$EXTENSION"
>> > mailbox_size_limit = 0
>> > mydestination = mi.server.com, localhost.mi.server.com, , localhost
>> > myhostname = mi.server.com
>> > mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
>> > myorigin = /etc/mailname
>> > readme_directory = no
>> > recipient_delimiter = +
>> > relayhost =
>> > smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
>> > smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
>> > smtpd_recipient_restrictions = permit_sasl_authenticated,
>> permit_mynetworks,
>> > reject_unauth_destination
>> > smtpd_sasl_auth_enable = yes
>> > smtpd_sasl_path = private/auth
>> > smtpd_sasl_type = dovecot
>> > smtpd_tls_cert_file = /etc/ssl/certs/ssl-cert-snakeoil.pem
>> > smtpd_tls_key_file = /etc/ssl/private/ssl-cert-snakeoil.key
>> > smtpd_tls_session_cache_database = btree:${data_directory}/
>> smtpd_scache
>> > smtpd_use_tls = yes
>> > virtual_alias_maps = mysql:/etc/postfix/mysql-virtual-alias-maps.cf
>
>> > virtual_mailbox_domains = mysql:/etc/postfix/
>> mysql-virtual-mailbox-domains.cf
>> > virtual_mailbox_maps = mysql:/etc/postfix/
>> mysql-virtual-mailbox-maps.cf
>> > virtual_transport = dovecot
>> >
>> >
>> > Saludos
>> >
>> >
>> >
>> > El 7 de octubre de 2012 20:42, <j.sejo1 en gmail.com> escribió:
>> >
>> > Â Â El smtp autenticado es lo que se recomienda para evitar de
>> plano el
>> > Â Â openrelay, solo quedan de libre envÃo los que declares en
>> mynetworks, la
>> >   mejor práctica autenticando el smtp es que solo localhost
>> envie. Todo lo
>
>> > Â Â demas se debe autenticar. Es lo mas sano y mejor controlado.
>> >
>> > Â Â Enviado desde mi celular
>> >
>> > Â Â -----Original Message-----
>> > Â Â From: Carlos Bernat <cabo81 en gmail.com>
>> > Â Â Sender: postfix-es-bounces+j.sejo1=gmail.com en lists.wl0.orgDate:
>> Sun, 7 Oct
>
>> > Â Â 2012 20:31:16
>> > Â Â To: Foro Postfix<postfix-es en lists.wl0.org>
>> > Â Â Subject: [postfix-es] Inquietud sobre telnet 25
>> >
>> > Â Â _______________________________________________
>> > Â Â List de correo postfix-es para tratar temas del MTA postfix en
>> español
>> > Â Â postfix-es en lists.wl0.org
>> > Â Â http://lists.wl0.org/mailman/listinfo/postfix-es
>
>> >
>> >
>>
>> > _______________________________________________
>> > List de correo postfix-es para tratar temas del MTA postfix en
>> español
>
>> > postfix-es en lists.wl0.org
>> > http://lists.wl0.org/mailman/listinfo/postfix-es
>>
>>
>> --
>> -------- Warning! ------------
>> 100'000 pelos de escoba fueron
>> introducidos satisfactoriamente
>> en su puerto USB.
>>
>>
>>
>>
>>
>> _______________________________________________
>> List de correo postfix-es para tratar temas del MTA postfix en español
>> postfix-es en lists.wl0.org
>> http://lists.wl0.org/mailman/listinfo/postfix-es
>>
>>
>>
>> _______________________________________________
>> List de correo postfix-es para tratar temas del MTA postfix en español
>
>> postfix-es en lists.wl0.org
>> http://lists.wl0.org/mailman/listinfo/postfix-es
>>
>
>_______________________________________________
>List de correo postfix-es para tratar temas del MTA postfix en español
>postfix-es en lists.wl0.org
>http://lists.wl0.org/mailman/listinfo/postfix-es
>
_______________________________________________
List de correo postfix-es para tratar temas del MTA postfix en español
postfix-es en lists.wl0.org
http://lists.wl0.org/mailman/listinfo/postfix-es
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <http://lists.wl0.org/pipermail/postfix-es/attachments/20121024/b7f17129/attachment-0001.html>
Más información sobre la lista de distribución postfix-es