[postfix-es] Limite de cantidad de mensajes de correo

Carlos Martinez camarti en gmail.com
Sab Nov 10 05:45:53 CET 2018 

Saludos.

Me he dado a la tarea de hacer una nueva búsqueda de herramientas para
este tema y estas son las que he encontrado que siguen activas:

* Policyd (https://wiki.policyd.org/)
* Postfwd (https://postfwd.org/)
* Valvula (https://www.aspl.es)

Policyd y postfwd son las que recomiendan para crear cuotas de correo.

Valvula es el nuevo chico en la cuadra pero aparte de la página
oficial, no veo ningún tutorial donde alguien lo haya probado
previamente. Las reglas de control de cuotas prometen... hasta que
dicen que toca ingresar datos directamente a la base de datos para
crear excepciones.

La sintaxis de postfwd es interesante pero parece que no permite crear
[fácilmente] excepciones a las reglas y en las listas terminan
recomendando que se use policyd para esto
(https://www.howtoforge.com/community/threads/solved-limiting-sent-emails-per-month-day.74843/).

La pregunta es la siguiente: ¿alguien ha logrado hacer en postfwd algo
como lo siguiente?:

a) definir una lista de dominios externos EXT_DOMAINS (a estos se les
envía mucho correo)
b) definir una lista de dominios internos INT_DOMAINS (los dominios de postfix)
c) definir una lista de usuarios/cuentas VIP (usuarios que envían más
mensajes que el resto de los usuarios).

d) permitir que entre las cuentas de INT_DOMAINS se envíen una
cantidad grande de mensajes por día (p. ej. 1000 msgs por usuario)
e) permitir que desde INT_DOMAINS hacia EXT_DOMAINS se envíen una
cantidad grande de mensajes por día (p. ej. 500 msgs por usuario)
f) permitir que desde las cuentas/usuarios de INT_DOMAINS hacia
cualquier otro dominio externo se envíen máximo 200 mensajes cada 24
horas y no más de 50 mensajes en una hora.
g) permitir que desde las cuentas/usuarios de INT_DOMAINS que están
VIP hacia cualquier otro dominio se envíen 400 mensajes cada 24 horas
y no más de 100 mensajes en una hora.

los contadores para d,e,f y g son contadores diferentes. Así que, por
ejemplo, los mensajes enviados a INT_DOMAINS  (regla d) no cuentan
para la regla e o la regla f. Las cuotas especificadas son por usuario
(no por dominio).

Gracias por sus respuestas.

Atte.,
Carlos Martínez.

On Fri, Nov 9, 2018 at 4:04 PM Emiliano Vazquez
<emilianovazquez en gmail.com> wrote:
>
> Hola a todos, les dejo una herramienta que estoy probando con buenos resultados:
>
> https://postfwd.org/
>
> Un saludo!
>
> Emiliano.
>
> On Fri, Nov 9, 2018 at 4:41 PM Carlos Martinez <camarti en gmail.com> wrote:
>>
>> Saludos.
>>
>> Me parece muy interesante lo de GeoIP para controlar los mensajes y
>> las cuentas. He considerado usarlo para bloquear a nivel de firewall
>> (con shorewall) países a los cuales se que mis usuarios nunca van a
>> ir. Finalmente con policyd + pflogsumm (+ fail2ban) resolví el
>> problema. El Policyd mitiga las tormentas de SPAM. pflogsumm me
>> permite ver comportamientos anormales de las cuentas si el usuario no
>> se da cuenta primero, y tomar acciones correctivas. He encontrado que
>> en mi caso, los ataques mencionados provienen de Brasil y hay usuarios
>> que viajan de forma continua a ese país, así que ni modo de hacer el
>> bloqueo correspondiente con GeoIP. También he visto ataques desde VMs
>> en Amazon WS.
>>
>> Un tercer complemento para mitigar el robo de credenciales es
>> fail2ban, el cual ha resultado ser muy efectivo para mitigar los
>> ataques de diccionario. No soluciona el problema, pero sí le hace la
>> tarea a los spammers mucho más difícil.
>>
>> Ahora tengo una tarea pendiente que es el "Display Name Spoofing" pero
>> mejor la planteo en otro hilo.
>>
>> Atte.,
>> Carlos A. Martínez.
>>
>> On Fri, Nov 9, 2018 at 2:00 PM L.C. - Salman PSL
>> <listascorreo en salman.net> wrote:
>> >
>> > Saludos.
>> >
>> > Para controlar a los spammers una vez han conseguido las credenciales
>> > de una cuenta (habiendo configurado postfix adecuadamente para que no
>> > sea open relay y se use SSL, lo cual son requisitos básicos hoy en
>> > día) lo único que hay gratis (free) es policyd (mas el monitoreo
>> > constante con herramientas como pflogsumm).
>> >
>> >     Y otras herramientas "inventadas" ...
>> >
>> > Si un colistero, conoce otra herramienta free que permita implementar
>> > cuotas de mensajes enviados por usuario en postfix y que sea mejor que
>> > policyd  me comprometo ...
>> >
>> >
>> >     Yo he padecido el robo de credenciales a alguno de mis usuarios, y he padecido el bloqueo de IPs por su causa.
>> >
>> >     Desde hace mucho yo me he escrito mis propios scripts, que controlan determinadas cosas.
>> >
>> >     No son perfectas ni mucho menos, pero desde que las he implementado, nunca me han vuelto a bloquear una IP en ninguna RBL
>> >
>> >     Al grano ...
>> >
>> >     Lo normal es que una vez que roben unas credenciales validas, estas se repartan por todo el mundo, y a mi se me ocurrio aprovechar GeoIP para detectar desde que paises se conectaban a mi servidor para enviar basura.
>> >
>> >     Tengo por asi decirlo 3 pasos.
>> >
>> >     1.- 2 paises distintos en menos de  24  horas
>> >     2.- Mas de 2 paises distintos en menos de 24 horas
>> >     3.- Mas de 4 paises distintos en menos de 24 horas
>> >
>> >     Alguno ya se imaginara por donde van los tiros.
>> >
>> >     En el primer paso, recibo un aviso pero no hago nada, el usuario puede estar de viaje y enviar en el mismo dia desde 2 o 3 paises distintos
>> >     En el segundo caso recibo un aviso y retengo "HOLD" todo lo que envie ese usuario
>> >     En el tercer caso por supuesto que recibo un aviso, pero el sistema cambia inmediatamente la clave del usuario aleatoriamente e igualmente retengo todos los correos en cola.
>> >
>> >     A mi personalmente me encanta PERL ( y practicamente odio PHP ) :D y a partir de la implementacion del policy para comprobar el SPF, me he  creado varios scripts que controlan determinados detalles.
>> >
>> >     Para empezar comentar que uso Postfix por supuesto, pero  ... en 2 instancias y 2 IPs diferentes una solo para el correo entrante por el puerto 25 y con determinados controles y otra instancia para el correo saliente, autentificado con TLS y en el que hago otras comprobaciones y que no admite correo por el puerto 25 solo correo saliente, autentificado por el 587.
>> >
>> >     Incluso el sistema de ListaGris, lo escribi yo desde cero.
>> >
>> >     No son programas "free" que  se puedan encontrar en ningun sitio, pero no tengo inconveniente alguno, en compartir mis scripts con algun guru de Postfix y PERL que este interesado, seguro que los pueden mejorar, pero a mi, me estan dando muy buenos resultados.
>> >
>> >
>> > a hacer un laboratorio y les publico un
>> > [mini]-tutorial al respecto (me tardaré unas semanas pero lo haré).
>> >
>> >
>> >     Tu  has lanzado el reto Carlos :D
>> >
>> > -limit-sending-message-on-policyd/
>> >
>> > Hasta la próxima.
>> > Carlos Martínez
>> >
>> > Saludos
>> > Salvador Guzman
>> > Salman PSL
>> > Vigo, Galicia, España
>> >    +34 986.21.30.27
>> >    Salman.ES
>> >
>> > _______________________________________________
>> > List de correo postfix-es para tratar temas del MTA postfix en español
>> > postfix-es en de.postfix.org
>> > https://de.postfix.org/cgi-bin/mailman/listinfo/postfix-es
>> _______________________________________________
>> List de correo postfix-es para tratar temas del MTA postfix en espaol
>> postfix-es en de.postfix.org
>> https://de.postfix.org/cgi-bin/mailman/listinfo/postfix-es

Más información sobre la lista de distribución postfix-es