Necesito solucion rapida please! Seguridad en mi postfix

Todos los comentarios sobre redes y servidores en linux y su interacción con otros sistemas operativos.

Moderadores: doc, Kde_Tony, ps-ax

Responder
JuancaDJ
Forista Nuevo
Forista Nuevo
Mensajes: 19
Registrado: Mar Nov 22, 2011 4:38 pm

Necesito solucion rapida please! Seguridad en mi postfix

Mensaje por JuancaDJ » Vie May 30, 2014 9:55 pm

He hallado un problema grabe en mi postfix y se trata sobre la suplantación de identidad e encontrado varios post en la internet pero ninguno me soluciona el problema esto e slo que sucede

Código: Seleccionar todo

# telnet localhost 25
Trying ::1...
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
220 xxx.xx.xxx ESMTP Postfix (Debian/GNU)
helo xxx.xx.xxx
250 xxx.xx.xxx
mail from: intruso@intruso.com
250 2.1.0 Ok
Como pueden ver mji postfix simplemente acepta cualquier direccion sea valida o no y desde ahi se puede enviar correos libremente sin estar registrado propiamente en el sistema. Alguna idea o solucion rapida please!. Gracias
Avatar de Usuario
EINOM
Forista Menor
Forista Menor
Mensajes: 71
Registrado: Sab Jun 14, 2008 7:00 am
Contactar:

Re: Necesito solucion rapida please! Seguridad en mi postfix

Mensaje por EINOM » Sab May 31, 2014 10:42 pm

esto podría solucionarse usando la opción smtpd_sender_restrictions. a la que le añadirías la siguiente linea:

smtpd_reject_unlisted_sender

la documentación de esta opción esta en el siguiente enlace:
http://www.postfix.org/postconf.5.html

si no te funciona de esta manera digita en la terminal de tu server como root "postconf -n" y copia la salida de ese comando para validar que podría estar faltando.

espero te sea de utilidad el aporte y poder ayudarte en caso de necesitar algo mas!.
JuancaDJ
Forista Nuevo
Forista Nuevo
Mensajes: 19
Registrado: Mar Nov 22, 2011 4:38 pm

Re: Necesito solucion rapida please! Seguridad en mi postfix

Mensaje por JuancaDJ » Dom Jun 01, 2014 5:00 am

que va no di con el asunto de momento, aqui te pongo la salida del postconf -n

Código: Seleccionar todo

# postconf -n
alias_database = hash:/etc/aliases
alias_maps = hash:/etc/aliases
append_dot_mydomain = no
biff = no
broken_sasl_auth_clients = yes
config_directory = /etc/postfix
disable_vrfy_command = yes
dovecot_destination_recipient_limit = 1
inet_interfaces = all
inet_protocols = ipv4
internat = permit
mailbox_size_limit = 0
message_size_limit = 10240000
milter_default_action = accept
mydestination =
myhostname = xxx.xxx.xx
mynetworks = 127.0.0.0/8 xxx.xxx.xxx.xx/xx xxx.xxx.xxx.xx/xx
myorigin = xxx.xxx.xxx
national = check_recipient_access regexp:/etc/postfix/lists/filtro_nac reject
readme_directory = no
recipient_delimiter = +
relay_domains = proxy:mysql:/etc/postfix/virtual/relay_domains.cf
relayhost = xxx.xxx.xxx.xxx
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
smtpd_data_restrictions = permit_mynetworks,reject_unauth_pipelining,reject_multi_recipient_bounce,permit
smtpd_helo_required = yes
smtpd_helo_restrictions = permit_mynetworks,reject_invalid_helo_hostname
smtpd_milters = unix:/clamav/clamav-milter.ctl, unix:/spamass/spamass.sock
smtpd_recipient_restrictions = permit_mynetworks,reject_authenticated_sender_login_mismatch,reject_non_fqdn_recipient,permit_sasl_authenticated,reject_unauth_destination,reject_rbl_client zen.spamhaus.org,reject_rhsbl_helo dbl.spamhaus.org,reject_rhsbl_sender dbl.spamhaus.org
smtpd_restriction_classes = internat, national,
smtpd_sasl_auth_enable = no
smtpd_sasl_exceptions_networks = $mynetworks
smtpd_sasl_local_domain =
smtpd_sasl_path = private/auth
smtpd_sasl_security_options = noanonymous
smtpd_sasl_tls_security_options = noanonymous
smtpd_sasl_type = dovecot
smtpd_sender_restrictions = permit_auth_destination, check_recipient_access hash:/etc/postfix/lists/domain_users check_sender_access hash:/etc/postfix/lists/domain_users reject
smtpd_tls_auth_only = yes
smtpd_tls_cert_file = /etc/ssl/certs/ssl-cert-snakeoil.pem
smtpd_tls_key_file = /etc/ssl/private/ssl-cert-snakeoil.key
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtpd_use_tls = yes
transport_maps = hash:/etc/postfix/transport
virtual_alias_maps = proxy:mysql:/etc/postfix/virtual/alias_maps.cf
virtual_gid_maps = static:8
virtual_mailbox_base = /var/mail/vmail
virtual_mailbox_domains = proxy:mysql:/etc/postfix/virtual/mailbox_domains.cf
virtual_mailbox_maps = proxy:mysql:/etc/postfix/virtual/mailbox_maps.cf
virtual_minimum_uid = 8
virtual_transport = dovecot
virtual_uid_maps = static:8
Avatar de Usuario
EINOM
Forista Menor
Forista Menor
Mensajes: 71
Registrado: Sab Jun 14, 2008 7:00 am
Contactar:

Re: Necesito solucion rapida please! Seguridad en mi postfix

Mensaje por EINOM » Dom Jun 01, 2014 7:46 pm

setea la opción smtpd_sender_restrictions así:

smtpd_sender_restrictions = permit_auth_destination, check_recipient_access hash:/etc/postfix/lists/domain_users check_sender_access hash:/etc/postfix/lists/domain_users, smtpd_reject_unlisted_sender, reject

y valida que al intentar enviar un correo como mail from: intruso@intruso.com te retorne error de user unknow

me cuentas!!.
JuancaDJ
Forista Nuevo
Forista Nuevo
Mensajes: 19
Registrado: Mar Nov 22, 2011 4:38 pm

Re: Necesito solucion rapida please! Seguridad en mi postfix

Mensaje por JuancaDJ » Lun Jun 02, 2014 3:34 pm

Igual me sigue dejando autenticarme con usuarios inválidos y escribir a usuarios reales de mi dominio :(
Avatar de Usuario
EINOM
Forista Menor
Forista Menor
Mensajes: 71
Registrado: Sab Jun 14, 2008 7:00 am
Contactar:

Re: Necesito solucion rapida please! Seguridad en mi postfix

Mensaje por EINOM » Mar Jun 03, 2014 9:52 pm

saludos

te cuento tengo esta configuración a modo de prueba.

postconf -n | grep smtpd_sender_restrictions

Código: Seleccionar todo

smtpd_sender_restrictions = reject_unlisted_sender, check_sender_access hash:/etc/postfix/lists/domain_users, reject_unknown_sender_domain, permit_auth_destination, reject
en el archivo /etc/postfix/lists/domain_users tengo:

Código: Seleccionar todo

xxxxx@example.local	OK
hago la prueba de envío con la cuenta no existente:

Código: Seleccionar todo

telnet localhost 25
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
220 xxxx ESMTP Postfix
helo attaker
250 xxxxxxxxxxxx
mail from: intruso@intruso.com
250 2.1.0 Ok
RCPT TO: xxxxx@hotmail.com
554 5.7.1 <intruso@intruso.com>: Sender address rejected: Access denied
y sale esto en el log:

Código: Seleccionar todo

Sender address rejected: Access denied; from=<intruso@intruso.com> to=<xxxxxxx@hotmail.com> proto=SMTP helo=<attaker>
hago la prueba con la cuenta seteada en el archivo etc/postfix/lists/domain_users y envía el correo sin problema.

valida que el reject_unlisted_sender este de primero en el sender_restrictions.

espero te sea de utilidad la ayuda.
JuancaDJ
Forista Nuevo
Forista Nuevo
Mensajes: 19
Registrado: Mar Nov 22, 2011 4:38 pm

Re: Necesito solucion rapida please! Seguridad en mi postfix

Mensaje por JuancaDJ » Mié Jun 04, 2014 2:29 pm

hago la prueba de envío con la cuenta no existente:
Código:
telnet localhost 25
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
220 xxxx ESMTP Postfix
helo attaker
250 xxxxxxxxxxxx
mail from: intruso@intruso.com
250 2.1.0 Ok
RCPT TO: xxxxx@hotmail.com
554 5.7.1 <intruso@intruso.com>: Sender address rejected: Access denied
Como puedes darte cuenta aun te sigue dejando autenticar con un usuario falso y eso es lo que yo no quiero, ya que el clamav, el root y unas cuantas apliaciones mas cada vez que tienen errores o sucede algo con sistema me envian correos automaticos y no es lo que deceo pues cuando revizo tengo 30 correos de boberias del sistema y no logro detener eso y eso lo pueden hacer porque mi smtp no autentica el envio de mensajes de salida
Otra cosa cuando yo monte una vez el servidor de correo con iRedMail este una vez termina la configuracion de postfix tiene solucionado ese problema, como lo hace no tengo idea, pero por problemas que me dio el iRedMail tuve que montar mi postfix manualmente y ahora no logro solucionar ese problema y como yo hay unos cuantos mas :(
Alguna idea de otra solucion?
Avatar de Usuario
Kde_Tony
Moderador
Moderador
Mensajes: 3866
Registrado: Mié Jul 20, 2005 7:00 am
Ubicación: /home/Peru/Lima/La Molina
Contactar:

Re: Necesito solucion rapida please! Seguridad en mi postfix

Mensaje por Kde_Tony » Mié Jun 04, 2014 11:32 pm

podrias probar autenticandolo con openldap ... una opcion un poco mas "rapida" seria migrar tus usarios a una base de datos mysql o postgres, con eso podras hacer lo que deseas, otra opcion es que autentiques postfix contra un Active Directory y/o OpenLdap para la validacion de usuarios

sls

P.D
Creo que con cyrus se podia hacer tambien la validacion de usuarios, pero no recuerdo, hace tiempo que no veo postfix a ese nivel de requerimiento
"Quiero cambiar al mundo pero no me dan los RPM"
----------------------------
Tony Blair
Linux User # 433253
Ubuntu User # 9562
-----------------------------
Avatar de Usuario
EINOM
Forista Menor
Forista Menor
Mensajes: 71
Registrado: Sab Jun 14, 2008 7:00 am
Contactar:

Re: Necesito solucion rapida please! Seguridad en mi postfix

Mensaje por EINOM » Jue Jun 05, 2014 2:36 am

concuerdo con Kde_Tony.

la unica en este caso es forzar la autenticacion y preferiblemente para una DB como mysql.

para el caso de cyrus no es mas que habilitar el smtpd_sasl_auth_enable ya que es la opcion por defecto pero te aconsejo usa mejor el smtp_sasl_type = dovecot.

a modo de guia te dejo este enlace.
http://jonsview.com/how-to-setup-email- ... nd-dovecot.


saludos!.
JuancaDJ
Forista Nuevo
Forista Nuevo
Mensajes: 19
Registrado: Mar Nov 22, 2011 4:38 pm

Re: Necesito solucion rapida please! Seguridad en mi postfix

Mensaje por JuancaDJ » Jue Jun 05, 2014 3:43 pm

Yo tengo mis usuarios en una base de datos mysql, ahora como logro ese tipo de autenticacion al que se refieren ustedes?
porque mi postfix tiene que autenticarlos para que puedan recibir correos, esa parte la administro con postfixadmin
Responder
  • Similar Topics
    Respuestas
    Vistas
    Último mensaje