[postfix-es] Fwd: Re: Rechazar correos salientes donde el correo electrónico de envío no se corresponde con el correo usuado en login ni asociado a dicho usuario

Salvador Guzman - Salman PSL ListasCorreo en salman.net
Mie Abr 2 14:22:21 CEST 2014 

    :: Creo que la lista no admite adjuntos, asi que lo dejo unos dias
    en dropbox:

    https://www.dropbox.com/s/bztie0boipn4z1h/Comprueba_usuario_cuenta.cgi

    En el mismo script, va no solo la comprobacion usuario / e-mail sino
    tambien otra de mis "chapuzas" que creo que se comento hace unas
    semanas o meses.

    Se trata de controlar desde que pais se autentifica un usuario para
    enviar correo, en funcion del numero de paises distintos en un
    determinado periodo de tiempo, bloquea al usuario.

    Si eres ingeniero de soft, no tendras problemas en coger la idea en
    PERL y trasladarla a Python o al lenguaje que mas te guste.

    Y sobre el check_policy_service unix:private/usuariocuenta lo
    ejecuto independiente de cualquier otra comprobacion.

    El orden en que tengo todas las comprobaciones son:

        # 1 Conexión smtpd_client_restrictions
        # 2 HELO/EHLO smtpd_helo_restrictions
        # 3 MAIL FROM smtpd_sender_restrictions
        # 4 RCPT TO smtpd_recipient_restrictions

        Restringido_Autentificados =
             check_sender_access hash:/etc/postfix/HOLD_Direccion_Envia.ini,
             check_policy_service unix:private/usuariocuenta,
             permit_sasl_authenticated,
             reject

        smtpd_client_restrictions =

        smtpd_helo_restrictions =
             check_client_access hash:/etc/postfix/KO_a_Helo.ini,
             permit

        smtpd_sender_restrictions =
             check_policy_service unix:private/usuariocuenta,
             permit_sasl_authenticated,
             check_client_access hash:/etc/postfix/KO_a_Helo.ini,
             check_client_access hash:/etc/postfix/OK_a_Tipo_Servidor.ini,
             check_sender_access hash:/etc/postfix/OK_a_Direccion_Envia.ini,
              check_client_access hash:/etc/postfix/KO_a_Tipo_Servidor.ini,
             check_sender_access hash:/etc/postfix/KO_a_Direccion_Envia.ini,
             reject_non_fqdn_helo_hostname,
             reject_invalid_helo_hostname,
              permit


        smtpd_recipient_restrictions =
             check_recipient_access
        hash:/etc/postfix/OK_a_Direccion_Recibe.ini,
             check_recipient_access
        hash:/etc/postfix/KO_a_Direccion_Recibe.ini,
             check_policy_service unix:private/tiposervidor,
             permit_mynetworks,
             permit_sasl_authenticated,
             reject_unlisted_recipient,
             reject_non_fqdn_recipient,
             reject_unauth_pipelining,
             reject_unauth_destination,
             reject_invalid_hostname,
             reject_non_fqdn_hostname,
             reject_non_fqdn_sender,
             reject_unknown_sender_domain,
             reject_unknown_recipient_domain,
             check_client_access
        hash:/etc/postfix/OK_a_Servidores_Envian.ini,
             check_sender_access hash:/etc/postfix/OK_a_Direccion_Envia.ini,
             reject_rbl_client bl.spamcop.net,
             reject_rbl_client zen.spamhaus.org,
             check_policy_service unix:private/comprobarspf,
             permit


    Espero que te sirva, a ti y a cualquiera que lo pueda
    aprovechar/entender.

    P.D. Yo no soy ingeniero, ni tan siquiera hice mis estudios sobre
    informatica, en la Universidad, estudie Biologicas ... :D , explico
    esto por que todo lo que se, es autodidacta y las estructuras de mis
    programaciones siempre son mejorables.


    *>>>>>>>>>>>>>> ******* Fin del mensaje ******* <<<<<<<<<<<<<< *


El 02/04/2014 12:10, Pau Peris escribió:
> Buenos días a todos,
>
> muchas gracias por vuestras aportaciones. Al final el hilo ha cogido 
> empuje!
>
> Volviendo al asunto inicial, David y Salvador, os agradezco mucho 
> vuestras aportaciones.
>
> Respecto al webmail, mencionar que existe la opción de eliminar la 
> posibilidad de edición de Identidades pero lo que estoy buscando es 
> una solución definitiva que actúe sobre el servidor SMTP y por lo 
> tanto no deje fallos de seguridad en este sentido. Es decir, si 
> finalmente existe la posibilidad de mantener el campo From vinculado 
> al return-path/envelope sender, quisiera estar seguro que así es 
> independientemente del cliente de email que el usuario final decida usar.
>
> Salvador, podrías facilitarme el script que comentas porfavor? Si la 
> compartes le echaré un vistazo y veré que hago finalmente. De 
> profesión soy ingeniero del software así que aunque no programo en 
> Perl imagino que no sería complicado entender lo que has hecho y 
> trasladarlo a otro lenguaje. Actualmente la solución para las 
> validaciones SPF que estoy usando es Python ya que bajo mi punto de 
> vista es algo mas completa. El caso es que estaba buscando una 
> solución sencilla que no implicará cambios en el paradigma de trabajo 
> que usa Postfix. La verdad que sigo con muchas dudas
>
> Salvador, si entiendo correctamente la siguiente restricción 
> "check_policy_service unix:private/usuariocuenta" la ejecutas 
> conjuntamente con SPF, DKIM, etc. correcto?
>
> Muchas gracias a todos.
>
> Atentamente
>

------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <http://lists.wl0.org/pipermail/postfix-es/attachments/20140402/affa56b5/attachment-0001.html>

Más información sobre la lista de distribución postfix-es