[postfix-es] Consulta seguridad
Cesar Peschiera
brain en click.com.py
Vie Abr 1 04:24:47 CEST 2016
Es correcto que la mayoría de los servidores necesitan una configuración adicional para protegerse de las conexiones telnet por el puerto 25.
Yo he aplicado esta solución a mi servidor de Correo, y "nadie" puede enviar correos por una conexión telnet:
En el archivo "main.cf", agregué estas 4 líneas (aclaro, son solo 4 líneas, incluyendo la comentada):
#Restricciones HELO:
smtpd_delay_reject = yes
smtpd_helo_required = yes
smtpd_helo_restrictions = check_helo_access hash:/etc/postfix/helo_access, permit_sasl_authenticated, permit_mynetworks, reject_non_fqdn_recipient, reject_unknown_recipient_domain, reject_unauth_destination, reject_unlisted_recipient, reject_unlisted_sender, permit
Notas de cuidado:
1- Debo aclararte que la directiva que dice "check_helo_access hash:/etc/postfix/helo_access" es la importante para lo que tu has consultado.
2- El resto de directivas que empiezan con "permit" ó "reject", se adecuan a una configuración personalizada en mi servidor de correo, y las necesidades puede variar en tu servidor (deberás consultar para que sirve cada directiva antes de aplicarla, pues debes saber bien lo que estás haciendo).
3- El orden en que se introducen las directivas es tan importante como las directivas en si. Por ejemplo, si empiezas con una directiva "permit ," (con una coma después), las siguientes directivas restrictivas no surtirán ningún efecto debido a que la primera directiva permitirá todo.
4- En mi caso, mi servidor de correo tiene configurado SASL (ó cifrado), y fuerzo a mis usuarios a autenticar contra el servidor de correo, ya sea por conexión cifrada ó sin cifrar según como se los permita por Firewall (iptables), es decir, en mi LAN no los obligo a usar conexión cifrada, pero eso es otra historia. Solo lo comento por que si quieres ser altamente restrictivo, pues esta fue para mi la configuración perfecta para mi estrategia de seguridad con lo que se puede hacer con "postfix" he "iptables".
Una Sugerencia:
Deberías estudiar "Fail2ban", que es un sistema de detección y prevención de intrusiones no autorizadas que modifica en caliente el Firewall (iptables), a mi me funciona perfecto, tiene todo tipo de directivas personalizables.
Por ejemplo mi estrategia es así: si un "hacker" intenta autenticar por los protocolos "POP" , IMAP", "SMTP", cifrado ó sin cifrar, después de 10 intentos fallidos dentro de un lapso de 24 Hrs,. automáticamente "Fail2ban" bloquea la dirección IP del atacante por una semana, entonces, con tan pocas posibilidades que tiene el atacante de acertar con la contraseña, sumado al largo periodo de bloqueo por Firewall, de seguro que este "hacker" se desilusionará y buscará otra victima que tenga menos defensas.
Saludos cordiales, y espero haberte sido útil.
Cesar
----- Original Message -----
From: Memo Robles
To: postfix-es en lists.wl0.org
Sent: Wednesday, March 30, 2016 9:00 PM
Subject: [postfix-es] Consulta seguridad
Buenas tardes.
Me podrian apoyar por favor, mi servidor postfix no pide contraseña cuando me conecto por telnet, estos son los comandos que ejecuto:
telnet 1.1.1.1 25
EHLO mail.midominio.com.mx
MAIL FROM:<micorreo en midiminio.com.mx>
RCPT TO:<micorreo en midiminio.com.mx>
DATA
Hola yo
.
(el correo micorreo en midiminio.com.mx si existe en mi servidor)
No es open reley, por que cuando le pongo un dominio que no existe en mi servidor si me dice relay acces denied.
Gracias de antemano y saludos
------------------------------------------------------------------------------
_______________________________________________
List de correo postfix-es para tratar temas del MTA postfix en español
postfix-es en lists.wl0.org
http://lists.wl0.org/mailman/listinfo/postfix-es
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <http://lists.wl0.org/pipermail/postfix-es/attachments/20160331/eef304a6/attachment-0001.html>
Más información sobre la lista de distribución postfix-es