[postfix-es] En la lupa de un(os) Hacker(s)

Vie Jun 19 19:21:58 CEST 2015

Gracias Federico por el consejo, configuraré el filtro SPF en postfix (en 
DNS se encuentra restrictivo), y luego probaré y analizaré que tanto se 
quejarán mis usarios de correo por la falta de correos
entrantes legitimos a fin de hacer nuevas conclusiones

@A todos:
Quiero agradecer a todos los que ma han dado concejos, es realmente
agradable convivir en la comunidad postfix-es.

Dios los bendiga
Cesar

----- Original Message ----- 
From: "Federico Alberto Sayd" <fsayd en uncu.edu.ar>
To: <postfix-es en lists.wl0.org>
Sent: Friday, June 19, 2015 9:19 AM
Subject: Re: [postfix-es] En la lupa de un(os) Hacker(s)

On 18/06/15 17:58, Cesar Peschiera wrote:
> @Guido Ignacio:
> http://okean.com/antispam/iptables/iptables.html:
>
> Tu sugerencia solo será de utilidad si el objetivo fuera bloquear (DROP)
> mails por firewall a China y Korea, pero mi objetivo es otro.
> De hecho tengo en mi firewall un complemento AddOn donde puedo generar
> reglas por ciudades y/o paises, pero como ya dije, este no es el caso.
>
> @Antonio:
> Tu sugerencia de usar "fail2ban" solo será de utilidad si el objetivo
> fuera
> bloquear intentos fallidos de autenticación al Servidor de Correo, pero
> como
> en mi caso no hay autenticación, no me será de utilidad.
> De hecho tengo Fail2ban configurado correctamente, me parece una muy
> importante herramienta de protección, pero como ya dije, este no es el
> caso.
>
> @Federico Alberto Sayd, y
> @Emiliano Vazquez:
> SPF en DNS y Mailscanner esta bien configurado y testeado.
> De hecho, por esos mensajes indeseados que recibo, el reporte de mi filtro
> de correo lo muestra como SPAM de alto puntaje, a continuación muestro el
> reporte Anti-SPAM que le dió mi filtro de Correo a ese mensaje indeseado
> por
> que no corresponde el registro SPF:
>
Cesar:

Me parece que tienes que aclarar los conceptos de filtrado
"before-queue" y "after-queue". Lo que te proponía es un "before-queue",
o sea antes de que Postfix acepte el correo y lo encole. Una vez
encolado empiezan a funcionar los filtros "after-queue" como
SpamAssassin (Que como te han mencionado consumen más recursos y
funcionan por lo general en base a un puntaje agregado de varios chequeos)

La idea de SPF es que declares en tu DNS desde que ip's deberían los
demás servidores en Internet recibir correos a nombre de tu dominio. Eso
incluye a tu propio servidor, porque si llega un correo a nombre de tu
domino con una ip no publicada en tu registro SPF (Tu servidor hará el
chequeo de SPF incluso para tu propio domino) entonces lo lógico es
denegarlo si has declarado un "-all" al final del registro. Pero te
repito hazlo antes de que el correo sea encolado usando alguna filtro
"before-queue" implementado como una "policy check" de Postfix.

Aquí tienes dos "policy checks" de SPF, uno en Perl y otro en Phyton:
http://www.openspf.org/Software.

Mas info sobre los policy checks de Postfix:
http://www.postfix.org/SMTPD_POLICY_README.html

Y por último chequear SPF no rompe nada, si alguien configura mal su
registro SPF y luego su correo es denegado entonces tendrá que hacerse
cargo el admin de dicho dominio (A propósito, el conjunto recomendado al
día de hoy es SPF+DKIM+DMARC).

Saludos
_______________________________________________
List de correo postfix-es para tratar temas del MTA postfix en español
postfix-es en lists.wl0.org
http://lists.wl0.org/mailman/listinfo/postfix-es