[postfix-es] Consulta seguridad

Jose Alberto j.sejo1 en gmail.com
Lun Abr 4 16:51:28 CEST 2016 

Las ACL de Postfix tienen muchas bondades.

Actualmente uso un software de hosting que es Postfix por debajo, claro
aqui no hice nada manual, ya que el te configura todo.

Lo cierto del caso, es el software, deja el puerto 465 y 587 para
autenticar el smtp, es decir yo para enviar correo a traves del servidor,
debo usar dichos puertos para autenticar, aun si coloco el 25 me da error.

El 25 queda solo como transporte, lo que entra, y lo que sale, claro, lo
que sale, primero paso la auth por los puertos antes mencionado.

Ya lo demas es apoyar en herrmaientas de monitoreo para no estar a ciegas,
fail2ban etc.



2016-04-01 12:39 GMT-04:30 Memo Robles <kinr_cs89 en hotmail.com>:

> Gracias cesar con esto check_helo_access hash:/etc/postfix/helo_access se
> resolvio mi problema.
>
>
> Muchas gracias y saludos
>
>
> el Fail2ban ya lo tengo instalado
>
>
> ------------------------------
> *De:* Cesar Peschiera <brain en click.com.py>
> *Enviado:* jueves, 31 de marzo de 2016 07:24 p. m.
> *Para:* Memo Robles; postfix-es en lists.wl0.org
> *Asunto:* Re: [postfix-es] Consulta seguridad
>
> Es correcto que la mayoría de los servidores necesitan una configuración
> adicional para protegerse de las conexiones telnet por el puerto 25.
>
> Yo he aplicado esta solución a mi servidor de Correo, y "nadie" puede
> enviar correos por una conexión telnet:
>
> En el archivo "main.cf", agregué estas 4 líneas (aclaro, son solo 4
> líneas, incluyendo la comentada):
>
> #Restricciones HELO:
>
> smtpd_delay_reject = yes
>
> smtpd_helo_required = yes
>
> smtpd_helo_restrictions = check_helo_access hash:/etc/postfix/helo_access,
> permit_sasl_authenticated, permit_mynetworks, reject_non_fqdn_recipient,
> reject_unknown_recipient_domain, reject_unauth_destination,
> reject_unlisted_recipient, reject_unlisted_sender, permit
>
> Notas de cuidado:
> 1- Debo aclararte que la directiva que dice "check_helo_access
> hash:/etc/postfix/helo_access" es la importante para lo que tu has
> consultado.
> 2- El resto de directivas que empiezan con "permit" ó "reject", se adecuan
> a una configuración personalizada en mi servidor de correo, y las
> necesidades puede variar en tu servidor (deberás consultar para que sirve
> cada directiva antes de aplicarla, pues debes saber bien lo que estás
> haciendo).
> 3- El orden en que se introducen las directivas es tan importante como las
> directivas en si. Por ejemplo, si empiezas con una directiva "permit ,"
> (con una coma después), las siguientes directivas restrictivas no surtirán
> ningún efecto debido a que la primera directiva permitirá todo.
> 4- En mi caso, mi servidor de correo tiene configurado SASL (ó cifrado), y
> fuerzo a mis usuarios a autenticar contra el servidor de correo, ya sea por
> conexión cifrada ó sin cifrar según como se los permita por Firewall
> (iptables), es decir, en mi LAN no los obligo a usar conexión cifrada, pero
> eso es otra historia. Solo lo comento por que si quieres ser altamente
> restrictivo, pues esta fue para mi la configuración perfecta para mi
> estrategia de seguridad con lo que se puede hacer con "postfix" he
> "iptables".
>
> Una Sugerencia:
> Deberías estudiar "Fail2ban", que es un sistema de detección y prevención
> de intrusiones no autorizadas que modifica en caliente el Firewall
> (iptables), a mi me funciona perfecto, tiene todo tipo de directivas
> personalizables.
> Por ejemplo mi estrategia es así: si un "hacker" intenta autenticar por
> los protocolos "POP" , IMAP", "SMTP", cifrado ó sin cifrar, después de 10
> intentos fallidos dentro de un lapso de 24 Hrs,. automáticamente "Fail2ban"
> bloquea la dirección IP del atacante por una semana, entonces, con tan
> pocas posibilidades que tiene el atacante de acertar con la contraseña,
> sumado al largo periodo de bloqueo por Firewall, de seguro que este
> "hacker" se desilusionará y buscará otra victima que tenga menos defensas.
>
> Saludos cordiales, y espero haberte sido útil.
> Cesar
>
>
>
>
> ----- Original Message -----
> *From:* Memo Robles <kinr_cs89 en hotmail.com>
> *To:* postfix-es en lists.wl0.org
> *Sent:* Wednesday, March 30, 2016 9:00 PM
> *Subject:* [postfix-es] Consulta seguridad
>
> Buenas tardes.
>
>
> Me podrian apoyar por favor, mi servidor postfix no pide contraseña cuando
> me conecto por telnet, estos son los comandos que ejecuto:
>
>
> telnet 1.1.1.1 25
>
> EHLO mail.midominio.com.mx
> MAIL FROM:<micorreo en midiminio.com.mx>
> RCPT TO:<micorreo en midiminio.com.mx>
> DATA
> Hola yo
> .
>
> (el correo micorreo en midiminio.com.mx si existe en mi servidor)
>
> No es open reley, por que cuando le pongo un dominio que no existe en mi
> servidor si me dice relay acces denied.
>
> Gracias de antemano y saludos
>
> ------------------------------
>
> _______________________________________________
> List de correo postfix-es para tratar temas del MTA postfix en español
> postfix-es en lists.wl0.org
> http://lists.wl0.org/mailman/listinfo/postfix-es
>
>
> _______________________________________________
> List de correo postfix-es para tratar temas del MTA postfix en español
> postfix-es en lists.wl0.org
> http://lists.wl0.org/mailman/listinfo/postfix-es
>



-- 
#############################
#   Sistema Operativo: Debian      #
#        Caracas, Venezuela          #
#############################
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <http://lists.wl0.org/pipermail/postfix-es/attachments/20160404/115b9305/attachment.html>

Más información sobre la lista de distribución postfix-es