[postfix-es] RE Error del servidor: '454 4.7.1 <XXXX en gmail.com>:, Relay access denied'

Cesar Peschiera brain en click.com.py
Jue Oct 1 03:57:46 CEST 2015 

@Henry:

Por favor permíteme disentir con tu concejo en beneficio de Oscar...

Se que tu recomendación es viable para que funcione el envío de emails, pero tal configuración no es lo ideal en lo absoluto desde el punto de vista de la seguridad.

Vuelvo a fundamentar el ¿por qué? en otras palabras:
Supongamos que alguna estación de trabajo de la empresa contrae algún malware he intenta enviar SPAM haciendo uso del servidor de correo de Oscar, entonces,
¿que ocurriría después?...
Muy simple, como el Servidor de Correo no pedirá autenticación (usuario y contraseña), el Malware (troyano SPAM ó lo que fuere) no tendrá ninguna dificultad en enviar los correos SPAM, y esto producirá como efecto colateral que la dirección IP del Servidor de Correo aparecerá muy pronto en varias listas negras de servidores de correo SPAM, además de consumir todo el ancho de banda disponible de la WAN para la red LAN de Oscar, y además que cuando algún usuario legitimo quiera enviar un correo, si es que llega el mensaje al Servidor de Correo (pues tenemos un ancho de banda saturado con tantos SPAMs enviándose), este mensaje de seguro que estará en cola de espera detrás de los 15 mil correos SPAM que deberán enviarse previamente.

Ahora te consulto Henry, sabiendo que los Malwares están a la orden de día (e inclusive sin tal orden), y con tantos estragos que causa el dejar que libremente cualquier PC de la LAN de Oscar envíe correos sin autenticar (es decir, sin decirle al Servidor de Correo el nombre de usuario y la contraseña respectiva), ¿crees tú que sería una configuración optima desde el punto de vista de la seguridad?

Ahora respondo yo, y expongo mi sugerencia:
Definitivamente no, con tanto malware que existe en el mundo, tu sugerencia sería equivalente a dejar la casa sola, con la puerta abierta, y decirle al guardián que se vaya. O dicho en otras palabras, encender la bomba de tiempo, y rogarle a Dios que la bomba no explote.

Mi primera sugerencia: Dejar la configuración así: mynetworks =  127.0.0.1/32
Con ello, se obliga a autenticar a cualquiera que quiera enviar correos, incluso al Malware (ó troyano SPAM ó lo que fuere), por lo que será importante tener contraseñas robustas configuradas.

Mi segunda sugerencia: Detectar y resolver el problema sin modificar la directiva "mynetworks", será talvez para Oscar un poco más trabajoso, pero estoy seguro que luego, disfrutará de grandes satisfacciones.

Adicionalmente, puedo decir y preguntar algunas cosas más:
1) ¿Está configurado tu Outlook (ó programa cliente de correo que sea que uses) para recordar la contraseña?
2) ¿Está bloqueando tu proveedor de Internet a tu LAN el puerto 25? (es una practica muy común entre ISPs).
Si es así, deberías configurar a tu postfix para que reciba mails por otro puerto (muy común es usar el puerto 465 para conexiones cifradas y 587 para conexiones sin cifrar, en ambos casos, yo configuro el archivo master.cf para que inclusive exija autenticación).
3) A fin de que podamos ayudarte, creo que adicionalmente sería bueno que ejecutaras por CLI esto (nótese que al final de la línea no hay una "w", sino más bien una doble "v"):
# postconf -vv
Pero al publicar el resultado de este comando al foro, asegúrate de que no haya ninguna dirección IP que pueda comprometerte.

Finalmente, todas las sugerencias vertidas arriba, son practicas que yo he realizado hace mucho tiempo, y como hace mucho tiempo que no toco un servidor de correo, ya me olvidé cuales son las directivas claves que hay que tocar para que funcione tu Servidor de Correo de forma básica, pero ya que hablamos de configuración básica, estoy más que seguro que muchos compañeros de este foro podrán decirte con precisión y facilidad lo que debes modificar, siempre y cuando publiques el resultado del comando expuesto arriba.

El mejor de los éxitos
Cesar

  ----- Original Message ----- 
  From: Henry Seron 
  To: Postfix 
  Sent: Wednesday, September 30, 2015 4:32 PM
  Subject: Re: [postfix-es] RE Error del servidor: '454 4.7.1 <XXXX en gmail.com>:, Relay access denied'


  2015-09-30 15:34 GMT-04:00 Óscar Triana <oscar.triana en suportium.es>:

    Creo que no me estoy explicando bien, tengo una vps contratada en una empresa de hosting, es decir que físicamente no está en mis instalaciones, siempre lo había configurado todo a través de webmin sin problemas, y estaba funcionando todo bien, pero por una reinstalación de la vps y configurando todo de nuevo sin datos de la antigua es cuando nos a pasado este problema, la cuestión es que por ejemplo le digo a Outlook que mi servidor me pide autentificación me pide todo el rato usuario y contraseña.


  César, gracias por la respuesta.


  Volviendo ahora al tema inicial, Oscar, con qué IP pública se conectan tus usuarios hacia el server? Esa ip deberías agregarla en mynetworks.


  Saludos.





  -- 

  Atte,
  Henry Seron


  http://www.shakingweb.com






------------------------------------------------------------------------------


  _______________________________________________
  List de correo postfix-es para tratar temas del MTA postfix en español
  postfix-es en lists.wl0.org
  http://lists.wl0.org/mailman/listinfo/postfix-es
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <http://lists.wl0.org/pipermail/postfix-es/attachments/20150930/64d5b6c2/attachment-0001.html>

Más información sobre la lista de distribución postfix-es