[postfix-es] Limite de cantidad de mensajes de correo
Jose Alberto
j.sejo1 en gmail.com
Lun Nov 12 00:39:29 CET 2018
Buenos mi formula ha sido sencilla, tanto para evitar el OpenRelay, como
para tener buena reputación asi como de implementar centinelas de
seguridad.
-Postfix Autenticado con SASL+TLS
-Postgrey ListasGrises.
-Policyd-Weigth https://packages.debian.org/buster/policyd-weight
-Sorbs como RBL.
-Política de claves robusta (OpenLDAP o Active Directory)
-Amavis (spamassasin, clamav)
Con lo anterior evito el Relay, evito ataques de diccionario y protejo mi
servidor de correos o IP no deseadas.
Estándares: Dmarc, DKIM, SPF, PTR (ISP), programas bulksender con yahoo,
gmail, y hotmail. (en caso de que sea enviador de notificaciones masiva)
Centinelas de Seguridad: fail2ban. Es simple, intentos de autenticación
en los umbrales definidos, son bloqueados.
y adicional para dormir tranquilo, Bacula me respalda, Pfsense es mi
firewall UTM perimetral de preferencia, apoyado con Snort como IPS y
Pfblocker para bloqueo de IP malas por paises y continente.
Y para no estar pegado del servidor viendo todo en vivo..... Nagios o
Zabbix para monitorear por lo menos la cola de correos entre otras cosas.
Hoy en dia a nivel profesional a los clientes les instalo: Zimbra, Sogos o
ireadmail, dependiendo también de lo que quiera el cliente.
Pero yo vengo de la vieja escuela, muchas noches sin dormir en aquellos
tiempos, pero logre armar mi frankesteins:
Debian, postfix, openldap, dovecot, amavis, clamav, spamassasin, postgrey,
policyd-weith, sasl, pam, roundcube o egroupware, quota-tools y ponerlo a
rodar.
Este proyecto me gusta: Proxmox Mailgateway:
https://www.proxmox.com/en/proxmox-mail-gateway
Saludos.
On Sat, Nov 10, 2018 at 12:52 AM Carlos Martinez <camarti en gmail.com> wrote:
> Saludos.
>
> Me he dado a la tarea de hacer una nueva búsqueda de herramientas para
> este tema y estas son las que he encontrado que siguen activas:
>
> * Policyd (https://wiki.policyd.org/)
> * Postfwd (https://postfwd.org/)
> * Valvula (https://www.aspl.es)
>
> Policyd y postfwd son las que recomiendan para crear cuotas de correo.
>
> Valvula es el nuevo chico en la cuadra pero aparte de la página
> oficial, no veo ningún tutorial donde alguien lo haya probado
> previamente. Las reglas de control de cuotas prometen... hasta que
> dicen que toca ingresar datos directamente a la base de datos para
> crear excepciones.
>
> La sintaxis de postfwd es interesante pero parece que no permite crear
> [fácilmente] excepciones a las reglas y en las listas terminan
> recomendando que se use policyd para esto
> (
> https://www.howtoforge.com/community/threads/solved-limiting-sent-emails-per-month-day.74843/
> ).
>
> La pregunta es la siguiente: ¿alguien ha logrado hacer en postfwd algo
> como lo siguiente?:
>
> a) definir una lista de dominios externos EXT_DOMAINS (a estos se les
> envía mucho correo)
> b) definir una lista de dominios internos INT_DOMAINS (los dominios de
> postfix)
> c) definir una lista de usuarios/cuentas VIP (usuarios que envían más
> mensajes que el resto de los usuarios).
>
> d) permitir que entre las cuentas de INT_DOMAINS se envíen una
> cantidad grande de mensajes por día (p. ej. 1000 msgs por usuario)
> e) permitir que desde INT_DOMAINS hacia EXT_DOMAINS se envíen una
> cantidad grande de mensajes por día (p. ej. 500 msgs por usuario)
> f) permitir que desde las cuentas/usuarios de INT_DOMAINS hacia
> cualquier otro dominio externo se envíen máximo 200 mensajes cada 24
> horas y no más de 50 mensajes en una hora.
> g) permitir que desde las cuentas/usuarios de INT_DOMAINS que están
> VIP hacia cualquier otro dominio se envíen 400 mensajes cada 24 horas
> y no más de 100 mensajes en una hora.
>
> los contadores para d,e,f y g son contadores diferentes. Así que, por
> ejemplo, los mensajes enviados a INT_DOMAINS (regla d) no cuentan
> para la regla e o la regla f. Las cuotas especificadas son por usuario
> (no por dominio).
>
> Gracias por sus respuestas.
>
> Atte.,
> Carlos Martínez.
>
> On Fri, Nov 9, 2018 at 4:04 PM Emiliano Vazquez
> <emilianovazquez en gmail.com> wrote:
> >
> > Hola a todos, les dejo una herramienta que estoy probando con buenos
> resultados:
> >
> > https://postfwd.org/
> >
> > Un saludo!
> >
> > Emiliano.
> >
> > On Fri, Nov 9, 2018 at 4:41 PM Carlos Martinez <camarti en gmail.com>
> wrote:
> >>
> >> Saludos.
> >>
> >> Me parece muy interesante lo de GeoIP para controlar los mensajes y
> >> las cuentas. He considerado usarlo para bloquear a nivel de firewall
> >> (con shorewall) países a los cuales se que mis usuarios nunca van a
> >> ir. Finalmente con policyd + pflogsumm (+ fail2ban) resolví el
> >> problema. El Policyd mitiga las tormentas de SPAM. pflogsumm me
> >> permite ver comportamientos anormales de las cuentas si el usuario no
> >> se da cuenta primero, y tomar acciones correctivas. He encontrado que
> >> en mi caso, los ataques mencionados provienen de Brasil y hay usuarios
> >> que viajan de forma continua a ese país, así que ni modo de hacer el
> >> bloqueo correspondiente con GeoIP. También he visto ataques desde VMs
> >> en Amazon WS.
> >>
> >> Un tercer complemento para mitigar el robo de credenciales es
> >> fail2ban, el cual ha resultado ser muy efectivo para mitigar los
> >> ataques de diccionario. No soluciona el problema, pero sí le hace la
> >> tarea a los spammers mucho más difícil.
> >>
> >> Ahora tengo una tarea pendiente que es el "Display Name Spoofing" pero
> >> mejor la planteo en otro hilo.
> >>
> >> Atte.,
> >> Carlos A. Martínez.
> >>
> >> On Fri, Nov 9, 2018 at 2:00 PM L.C. - Salman PSL
> >> <listascorreo en salman.net> wrote:
> >> >
> >> > Saludos.
> >> >
> >> > Para controlar a los spammers una vez han conseguido las credenciales
> >> > de una cuenta (habiendo configurado postfix adecuadamente para que no
> >> > sea open relay y se use SSL, lo cual son requisitos básicos hoy en
> >> > día) lo único que hay gratis (free) es policyd (mas el monitoreo
> >> > constante con herramientas como pflogsumm).
> >> >
> >> > Y otras herramientas "inventadas" ...
> >> >
> >> > Si un colistero, conoce otra herramienta free que permita implementar
> >> > cuotas de mensajes enviados por usuario en postfix y que sea mejor que
> >> > policyd me comprometo ...
> >> >
> >> >
> >> > Yo he padecido el robo de credenciales a alguno de mis usuarios,
> y he padecido el bloqueo de IPs por su causa.
> >> >
> >> > Desde hace mucho yo me he escrito mis propios scripts, que
> controlan determinadas cosas.
> >> >
> >> > No son perfectas ni mucho menos, pero desde que las he
> implementado, nunca me han vuelto a bloquear una IP en ninguna RBL
> >> >
> >> > Al grano ...
> >> >
> >> > Lo normal es que una vez que roben unas credenciales validas,
> estas se repartan por todo el mundo, y a mi se me ocurrio aprovechar GeoIP
> para detectar desde que paises se conectaban a mi servidor para enviar
> basura.
> >> >
> >> > Tengo por asi decirlo 3 pasos.
> >> >
> >> > 1.- 2 paises distintos en menos de 24 horas
> >> > 2.- Mas de 2 paises distintos en menos de 24 horas
> >> > 3.- Mas de 4 paises distintos en menos de 24 horas
> >> >
> >> > Alguno ya se imaginara por donde van los tiros.
> >> >
> >> > En el primer paso, recibo un aviso pero no hago nada, el usuario
> puede estar de viaje y enviar en el mismo dia desde 2 o 3 paises distintos
> >> > En el segundo caso recibo un aviso y retengo "HOLD" todo lo que
> envie ese usuario
> >> > En el tercer caso por supuesto que recibo un aviso, pero el
> sistema cambia inmediatamente la clave del usuario aleatoriamente e
> igualmente retengo todos los correos en cola.
> >> >
> >> > A mi personalmente me encanta PERL ( y practicamente odio PHP )
> :D y a partir de la implementacion del policy para comprobar el SPF, me he
> creado varios scripts que controlan determinados detalles.
> >> >
> >> > Para empezar comentar que uso Postfix por supuesto, pero ... en
> 2 instancias y 2 IPs diferentes una solo para el correo entrante por el
> puerto 25 y con determinados controles y otra instancia para el correo
> saliente, autentificado con TLS y en el que hago otras comprobaciones y que
> no admite correo por el puerto 25 solo correo saliente, autentificado por
> el 587.
> >> >
> >> > Incluso el sistema de ListaGris, lo escribi yo desde cero.
> >> >
> >> > No son programas "free" que se puedan encontrar en ningun sitio,
> pero no tengo inconveniente alguno, en compartir mis scripts con algun guru
> de Postfix y PERL que este interesado, seguro que los pueden mejorar, pero
> a mi, me estan dando muy buenos resultados.
> >> >
> >> >
> >> > a hacer un laboratorio y les publico un
> >> > [mini]-tutorial al respecto (me tardaré unas semanas pero lo haré).
> >> >
> >> >
> >> > Tu has lanzado el reto Carlos :D
> >> >
> >> > -limit-sending-message-on-policyd/
> >> >
> >> > Hasta la próxima.
> >> > Carlos Martínez
> >> >
> >> > Saludos
> >> > Salvador Guzman
> >> > Salman PSL
> >> > Vigo, Galicia, España
> >> > +34 986.21.30.27
> >> > Salman.ES
> >> >
> >> > _______________________________________________
> >> > List de correo postfix-es para tratar temas del MTA postfix en español
> >> > postfix-es en de.postfix.org
> >> > https://de.postfix.org/cgi-bin/mailman/listinfo/postfix-es
> >> _______________________________________________
> >> List de correo postfix-es para tratar temas del MTA postfix en espaol
> >> postfix-es en de.postfix.org
> >> https://de.postfix.org/cgi-bin/mailman/listinfo/postfix-es
> _______________________________________________
> List de correo postfix-es para tratar temas del MTA postfix en espaol
> postfix-es en de.postfix.org
> https://de.postfix.org/cgi-bin/mailman/listinfo/postfix-es
>
--
#############################
# Sistema Operativo: Debian #
# Caracas, Venezuela #
#############################
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://de.postfix.org/pipermail/postfix-es/attachments/20181111/3e991432/attachment.html>
Más información sobre la lista de distribución postfix-es