[postfix-es] Rechazar correos salientes donde el correo electrónico de envío no se corresponde con el correo usuado en login ni asociado a dicho usuario
Pau Peris
pau en webeloping.es
Mar Abr 1 15:48:32 CEST 2014
Buenas tardes,
actualmente me encuentro en la situación que después de haber configurado
Postfix 2.11 para rechazar correos salientes donde la dirección de correo
electrónico usada para enviar no se corresponde con la dirección de correo
electrónico usada para realizar login en el sistema SMTP - mediante
saslauth - ni tampoco con otras direcciones de correo relacionadas con
dicha dirección de email.
Para prevenir la suplantación o edición del correo electrónico usado para
enviar, principalmente, he añadido la siguiente configuración:
## La siguiente consulta devuelve las direcciones de correo electrónico a
las que tiene acceso el usuario en cuestión.
smtpd_sender_login_maps = proxy:mysql:/etc/postfix/
mysql_sender_login_maps.cf
smtpd_sender_restrictions =
...
reject_unlisted_sender,
reject_authenticated_sender_login_mismatch,
...
A través de la configuración actual si un usuario decide editar su
Identidad - Roundcube, rainLoop, Mozilla Thunderbird, etc. permiten hacerlo
- y cambiar la dirección de correo electrónico usada para enviar la
siguiente restricción es lanzada y no se permite enviar el correo
electrónico, lo cual es exactamente lo que estoy buscando.
Nota: foobar en foobar.com es la dirección de correo electrónico que no poseo
y a través e la cual estoy intentando enviar. pau en ejemplo.es es la
dirección que si poseo y he usado para autenticarme en el sistema.
<foobar en foobar.com>: Sender address rejected: not owned by user
ws en webeloping; from=<foobar en foobar.com> to=<pau en ejemplo.es> proto=ESMTP
helo=<host.ejemplo.es>
Aquí aparece el conjunto relevante completo mostrado en mail.log
https://gist.github.com/sibok/efb72be811a51691913a
Aunque el comportamiento anterior parece funcionar correctamente, existe
una excepción cuando la identidad es editada a través de AfterLogic
Webmail. Entendiendo que ese es un caso no controlado, este es el
Caso/Problema que estoy intentando resolver. Resulta que cuando envío a
través de este último cliente en lugar de cambiar las cabeceras from tal y
como se muestra en el anterior Gist el cambio lo hace mediante otro
mecanismo/propiedad que desconozco ya que la dirección foobar en foobar.com en
la línia de log correspondiente a opendkim.
opendkim[17106]: 72C664232B: no signing table match for 'foobar en foobar.com'
Aquí está la salida de log completa
https://gist.github.com/sibok/8d453626d72ce16ef7de
Aquí están las cabeceras del correo electrónico, una vez recibido en Google
Apps. https://gist.github.com/sibok/4cff4c5865ea868181e7
Veréis que el from: pertenece a foobar en foobar.com mientras que return-path
es correcto.
From: "test" <foobar en foobar.com>
Return-Path: <pau en dominio-valido-usado-para-autenticar.es>
En el siguiente Gist encontrareis la configuración actual en uso de
Postfix, sin editar. https://gist.github.com/sibok/e66a5e3d84811c7afc98
Alguien sabría explicar que puede estar pasando y cómo resolverlo?
Gracias de ante mano!
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <http://lists.wl0.org/pipermail/postfix-es/attachments/20140401/f37bd49c/attachment.html>
Más información sobre la lista de distribución postfix-es