[postfix-es] Fwd: Re: Rechazar correos salientes donde el correo electrónico de envío no se corresponde con el correo usuado en login ni asociado a dicho usuario

Pau Peris pau en webeloping.es
Jue Abr 3 10:40:21 CEST 2014 

Buenos días Salvador,

acabo de echarle un vistazo a tu script.cgi y creo que tienes el mismo
problema que vi ayer, y es que tal como se describe aquí
http://www.postfix.org/SMTPD_POLICY_README.html el atributo from no es
accesible, sender equivale a return-path.

Muchas gracias igualmente!


2014-04-03 10:31 GMT+02:00 Pau Peris <pau en webeloping.es>:
>
> Buenos días Salvador,
>
> acabo de encontrar este correo en la carpeta Spam de Google Apps.
>
> Voy a echarle un ojo.
>
> Saludos!
>
>
> 2014-04-02 14:22 GMT+02:00 Salvador Guzman - Salman PSL <
ListasCorreo en salman.net>:
>
> >
> >
> > :: Creo que la lista no admite adjuntos, asi que lo dejo unos dias en
dropbox:
> >
> > https://www.dropbox.com/s/bztie0boipn4z1h/Comprueba_usuario_cuenta.cgi
> >
> > En el mismo script, va no solo la comprobacion usuario / e-mail sino
tambien otra de mis "chapuzas" que creo que se comento hace unas semanas o
meses.
> >
> > Se trata de controlar desde que pais se autentifica un usuario para
enviar correo, en funcion del numero de paises distintos en un determinado
periodo de tiempo, bloquea al usuario.
> >
> > Si eres ingeniero de soft, no tendras problemas en coger la idea en
PERL y trasladarla a Python o al lenguaje que mas te guste.
> >
> > Y sobre el check_policy_service unix:private/usuariocuenta lo ejecuto
independiente de cualquier otra comprobacion.
> >
> > El orden en que tengo todas las comprobaciones son:
> >
> > # 1 Conexión smtpd_client_restrictions
> > # 2 HELO/EHLO smtpd_helo_restrictions
> > # 3 MAIL FROM smtpd_sender_restrictions
> > # 4 RCPT TO smtpd_recipient_restrictions
> >
> > Restringido_Autentificados =
> >     check_sender_access hash:/etc/postfix/HOLD_Direccion_Envia.ini,
> >     check_policy_service unix:private/usuariocuenta,
> >     permit_sasl_authenticated,
> >     reject
> >
> > smtpd_client_restrictions =
> >
> > smtpd_helo_restrictions =
> >     check_client_access hash:/etc/postfix/KO_a_Helo.ini,
> >     permit
> >
> >
> > smtpd_sender_restrictions =
> >     check_policy_service unix:private/usuariocuenta,
> >     permit_sasl_authenticated,
> >     check_client_access hash:/etc/postfix/KO_a_Helo.ini,
> >     check_client_access hash:/etc/postfix/OK_a_Tipo_Servidor.ini,
> >     check_sender_access hash:/etc/postfix/OK_a_Direccion_Envia.ini,
> >      check_client_access hash:/etc/postfix/KO_a_Tipo_Servidor.ini,
> >     check_sender_access hash:/etc/postfix/KO_a_Direccion_Envia.ini,
> >     reject_non_fqdn_helo_hostname,
> >     reject_invalid_helo_hostname,
> >      permit
> >
> >
> > smtpd_recipient_restrictions =
> >     check_recipient_access hash:/etc/postfix/OK_a_Direccion_Recibe.ini,
> >     check_recipient_access hash:/etc/postfix/KO_a_Direccion_Recibe.ini,
> >     check_policy_service unix:private/tiposervidor,
> >     permit_mynetworks,
> >     permit_sasl_authenticated,
> >     reject_unlisted_recipient,
> >     reject_non_fqdn_recipient,
> >     reject_unauth_pipelining,
> >     reject_unauth_destination,
> >     reject_invalid_hostname,
> >     reject_non_fqdn_hostname,
> >     reject_non_fqdn_sender,
> >     reject_unknown_sender_domain,
> >     reject_unknown_recipient_domain,
> >     check_client_access hash:/etc/postfix/OK_a_Servidores_Envian.ini,
> >     check_sender_access hash:/etc/postfix/OK_a_Direccion_Envia.ini,
> >     reject_rbl_client bl.spamcop.net,
> >     reject_rbl_client zen.spamhaus.org,
> >     check_policy_service unix:private/comprobarspf,
> >     permit
> >
> >
> > Espero que te sirva, a ti y a cualquiera que lo pueda
aprovechar/entender.
> >
> > P.D. Yo no soy ingeniero, ni tan siquiera hice mis estudios sobre
informatica, en la Universidad, estudie Biologicas ... :D , explico esto
por que todo lo que se, es autodidacta y las estructuras de mis
programaciones siempre son mejorables.
> >
> >
> >
> > >>>>>>>>>>>>>> ******* Fin del mensaje ******* <<<<<<<<<<<<<<
> >
> >
> > El 02/04/2014 12:10, Pau Peris escribió:
> >
> > Buenos días a todos,
> >
> > muchas gracias por vuestras aportaciones. Al final el hilo ha cogido
empuje!
> >
> > Volviendo al asunto inicial, David y Salvador, os agradezco mucho
vuestras aportaciones.
> >
> > Respecto al webmail, mencionar que existe la opción de eliminar la
posibilidad de edición de Identidades pero lo que estoy buscando es una
solución definitiva que actúe sobre el servidor SMTP y por lo tanto no deje
fallos de seguridad en este sentido. Es decir, si finalmente existe la
posibilidad de mantener el campo From vinculado al return-path/envelope
sender, quisiera estar seguro que así es independientemente del cliente de
email que el usuario final decida usar.
> >
> > Salvador, podrías facilitarme el script que comentas porfavor? Si la
compartes le echaré un vistazo y veré que hago finalmente. De profesión soy
ingeniero del software así que aunque no programo en Perl imagino que no
sería complicado entender lo que has hecho y trasladarlo a otro lenguaje.
Actualmente la solución para las validaciones SPF que estoy usando es
Python ya que bajo mi punto de vista es algo mas completa. El caso es que
estaba buscando una solución sencilla que no implicará cambios en el
paradigma de trabajo que usa Postfix. La verdad que sigo con muchas dudas
> >
> > Salvador, si entiendo correctamente la siguiente restricción
"check_policy_service unix:private/usuariocuenta" la ejecutas conjuntamente
con SPF, DKIM, etc. correcto?
> >
> > Muchas gracias a todos.
> >
> > Atentamente
> >
> >
> >
> > _______________________________________________
> > List de correo postfix-es para tratar temas del MTA postfix en español
> > postfix-es en lists.wl0.org
> > http://lists.wl0.org/mailman/listinfo/postfix-es
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <http://lists.wl0.org/pipermail/postfix-es/attachments/20140403/dc19c24e/attachment.html>

Más información sobre la lista de distribución postfix-es