[postfix-es] Rechazar correos salientes donde el correo electrónico de envío no se corresponde con el correo usuado en login ni asociado a dicho usuario

Pau Peris pau en webeloping.es
Mar Abr 1 18:26:21 CEST 2014 

Muchas gracias Rodrigo,

si, las restricciones es lo que estoy usando para filtrar este tipo de
correos. Lo que me interesa es rechazar aquellos correos donde la dirección
de envió no concuerda con la usada para hacer login o sencillamente cuando
el usuario autenticado no es propietario de dicha dirección de envío.

Veo que no es muy activa esta lista, o si? Espero que haya por aquí algún
gurú del Postfix que pueda ayudar porqué a mi esto se me escapa.

Gracias de nuevo,


2014-04-01 18:06 GMT+02:00 Rodrigo Nicolas Gliksberg Diaz <xdieamd en gmail.com
>:
>
> Haber si entiendo queres que el usuario de login sea igual que el del
form?, si es asi tiene que tocar
http://www.postfix.org/postconf.5.html#smtpd_sender_restrictions
>
>
> El 1 de abril de 2014, 17:55, Pau Peris <pau en webeloping.es> escribió:
>
>> Buenas tardes Rodrigo,
>>
>> primeramente quiero agradecerte la intención y el tiempo dedicado! :D
>>
>> Respecto a SASL TLS comentar que no tiene conexión alguna con la
questión que he planteado. Si miras el enlace Gist donde aparece la
configuración actual verás que actualmente estoy usando SASL para los
puertos SMTP, SMTPS i Submission.
>>
>> Respecto al asunto que planteaba, lo resumo por si no he me he explicado
correctamente.
>>
>> Actualmente estoy rechazando los correos salientes - los enviados des de
mi servidor - únicamente en los casos la dirección from: no concuerda con
la dirección de autenticación y tampoco forma parte del conjunto de
direcciones válidas relacionadas con dicha dirección de correo electrónico.
>>
>>
>> smtpd_sender_login_maps = proxy:mysql:/etc/postfix/
mysql_sender_login_maps.cf
>>
>> smtpd_sender_restrictions =
>>                                 ...
>>                                 reject_unlisted_sender,
>>
reject_authenticated_sender_login_mismatch,
>>                                 ...
>>
>> Lo anterior funciona correctamente a excepción de los correos cuya
identidad - dirección de correo electrónico - ha sido alterada des de
AfterLogic Webmail. Al parecer - mirando los logs - la dirección from: es
la misma usada para autenticar pero si miramos la línea opendkim y las
cabeceras del correo una vez recibido en Google Apps encontraremos la
dirección foobar en foobar.com que es la que el usuario elegido a través del
selector de identidades. Es decir, cuando el correo se envía des de
AfterLogic Webmail Postfix no rechaza el correo electrónico porque la
dirección from: concuerda con el login pero no se refleja así una vez el
correo electrónico es distribuido a su recipiente.
>>
>> Espero que ahora esté todo mas claro. Entiendo que el caso no es
trivial, por ello he aportado la información publicada que debería ser de
ayuda para comprender minimamente el problema.
>>
>> Muchas gracias por vuestra ayuda,
>>
>>
>> 2014-04-01 17:36 GMT+02:00 Rodrigo Nicolas Gliksberg Diaz <
xdieamd en gmail.com>:
>>
>>> Querido no es la forma de hacer eso, tenes que meter SASL tls y poner
permit_sasl_authenticated
>>>
>>>
>>> El 1 de abril de 2014, 15:48, Pau Peris <pau en webeloping.es> escribió:
>>>>
>>>> Buenas tardes,
>>>>
>>>> actualmente me encuentro en la situación que después de haber
configurado Postfix 2.11 para rechazar correos salientes donde la dirección
de correo electrónico usada para enviar no se corresponde con la dirección
de correo electrónico usada para realizar login en el sistema SMTP -
mediante saslauth - ni tampoco con otras direcciones de correo relacionadas
con dicha dirección de email.
>>>>
>>>> Para prevenir la suplantación o edición del correo electrónico usado
para enviar, principalmente, he añadido la siguiente configuración:
>>>>
>>>> ## La siguiente consulta devuelve las direcciones de correo
electrónico a las que tiene acceso el usuario en cuestión.
>>>> smtpd_sender_login_maps = proxy:mysql:/etc/postfix/
mysql_sender_login_maps.cf
>>>>
>>>> smtpd_sender_restrictions =
>>>>                                 ...
>>>>                                 reject_unlisted_sender,
>>>>
reject_authenticated_sender_login_mismatch,
>>>>                                 ...
>>>> A través de la configuración actual si un usuario decide editar su
Identidad - Roundcube, rainLoop, Mozilla Thunderbird, etc. permiten hacerlo
- y cambiar la dirección de correo electrónico usada para enviar la
siguiente restricción es lanzada y no se permite enviar el correo
electrónico, lo cual es exactamente lo que estoy buscando.
>>>>
>>>> Nota: foobar en foobar.com es la dirección de correo electrónico que no
poseo y a través e la cual estoy intentando enviar. pau en ejemplo.es es la
dirección que si poseo y he usado para autenticarme en el sistema.
>>>> <foobar en foobar.com>: Sender address rejected: not owned by user
ws en webeloping; from=<foobar en foobar.com> to=<pau en ejemplo.es> proto=ESMTP
helo=<host.ejemplo.es>
>>>> Aquí aparece el conjunto relevante completo mostrado en mail.log
https://gist.github.com/sibok/efb72be811a51691913a
>>>>
>>>> Aunque el comportamiento anterior parece funcionar correctamente,
existe una excepción cuando la identidad es editada a través de AfterLogic
Webmail. Entendiendo que ese es un caso no controlado, este es el
Caso/Problema que estoy intentando resolver. Resulta que cuando envío a
través de este último cliente en lugar de cambiar las cabeceras from tal y
como se muestra en el anterior Gist el cambio lo hace mediante otro
mecanismo/propiedad que desconozco ya que la dirección foobar en foobar.com en
la línia de log correspondiente a opendkim.
>>>>
>>>> opendkim[17106]: 72C664232B: no signing table match for '
foobar en foobar.com'
>>>>
>>>> Aquí está la salida de log completa
https://gist.github.com/sibok/8d453626d72ce16ef7de
>>>>
>>>> Aquí están las cabeceras del correo electrónico, una vez recibido en
Google Apps. https://gist.github.com/sibok/4cff4c5865ea868181e7
>>>>
>>>> Veréis que el from: pertenece a foobar en foobar.com mientras que
return-path es correcto.
>>>>
>>>> From: "test" <foobar en foobar.com>
>>>>
>>>> Return-Path: <pau en dominio-valido-usado-para-autenticar.es>
>>>>
>>>> En el siguiente Gist encontrareis la configuración actual en uso de
Postfix, sin editar. https://gist.github.com/sibok/e66a5e3d84811c7afc98
>>>>
>>>> Alguien sabría explicar que puede estar pasando y cómo resolverlo?
>>>>
>>>> Gracias de ante mano!
>>>>
>>>> _______________________________________________
>>>> List de correo postfix-es para tratar temas del MTA postfix en español
>>>> postfix-es en lists.wl0.org
>>>> http://lists.wl0.org/mailman/listinfo/postfix-es
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <http://lists.wl0.org/pipermail/postfix-es/attachments/20140401/665b113d/attachment-0001.html>

Más información sobre la lista de distribución postfix-es