Necesito solucion rapida please! Seguridad en mi postfix

[hugo]

Yo hasta ahora no he necesitado hacer ese tipo de separaciones, y realmente he trabajado poco con las clases para restricciones, pero se que en la lista hay quienes tienen esta separación, probablemente sería mejor que preguntaras allí. En cuanto a la configuración que te puse, ten presente que es como dirían en ínglés, "an educated guess" basándome en la documentación oficial, pero sería bueno revisar los logs, e incluso subir temporalmente el nivel de logueo de postfix al máximo para poder ubicar el problema.

[JuancaDJ]

Ah vale y no conoces entonces alguna forma de que todos los usuarios solo puedan enviar y recibir coreo nacionalmente?
Sobre eso de subir el nivel de logueo de los usuarios no se como se hace, soy relativamente nuevo usando postfix y todavia me falta mucho camino por recorrrer

[hugo]

Lo que deseas efectivamente puede hacerse con las restriction classes, solo que yo no tengo experiencia con eso, pues nunca lo he necesitado.

En cuanto al nivel de logueo, creo que con esto deberías obtener más información:

Código: Seleccionar todo

debug_peer_list = 127.0.0.1
debug_peer_list = midominio.cu
debug_peer_level = 2
smtpd_tls_loglevel = 2
lmtp_tls_loglevel = 2
tlsproxy_tls_loglevel = 2

[salbi]

Lo que deseas efectivamente puede hacerse con las restriction classes, solo que yo no tengo experiencia con eso, pues nunca lo he necesitado.

En cuanto al nivel de logueo, creo que con esto deberías obtener más información:

Código: Seleccionar todo

debug_peer_list = 127.0.0.1
debug_peer_list = midominio.cu
debug_peer_level = 2
smtpd_tls_loglevel = 2
lmtp_tls_loglevel = 2
tlsproxy_tls_loglevel = 2

Podías explicarme lo que significa estas lineas.


Saludos

[hugo]

Ejecuta este comando:

Código: Seleccionar todo

man 5 postconf

[Nelo]

yo también tengo problemas con la suplantación de identidad en mi server postfix y necesito ayuda ya que al igual que nuestro amigo, he hecho todo lo que me he encontrado y nada, lo que a diferencia de él, mi server no entrega paquetes a ningún server por arriba, sino directo a etecsa con un MX. Hugo, si pudieras explicarme mejor qué hacer?
saludos

[hugo]

Postfix tiene ligeras diferencias en la configuración en dependencia de la versión, pero la documentación es muy buena y la configuración no suele ser particularmente compleja.

Dicho esto, puedo colocar aqui una parte de mi archivo de configuración actual con algunos valores probablemente interesantes (hay otras cosas que no he puesto como los usuarios virtuales via ldap y cosas por el estilo que no son realmente relevantes aqui, o relativamente simples de establecer como el tamaño máximo de los mensajes, etc.):

Código: Seleccionar todo

# tipos de errores notificados a postmasters
notify_classes = bounce,2bounce,delay,policy,protocol,resource,software

# Algunos parámetros de seguridad y optimizaciones
smtpd_client_connection_count_limit = ${stress?4}${stress:12}
smtpd_policy_service_max_idle = ${stress?20}${stress:120}s
smtpd_error_sleep_time = ${stress?2}${stress:20}s
smtpd_junk_command_limit = ${stress?1}${stress:2}
smtpd_soft_error_limit = ${stress?1}${stress:3}
smtpd_hard_error_limit = ${stress?1}${stress:5}
smtpd_timeout = ${stress?20}${stress:180}s
strict_rfc821_envelopes = yes
disable_vrfy_command = yes
smtpd_helo_required = yes
bounce_size_limit = 8192
smtpd_delay_reject = no
fast_flush_domains =
biff = no

# agregar .dominio is tarea del MUA
append_dot_mydomain = no

# variables
myhostname = mail.midominio.cu
myorigin = $mydomain
mydestination = $myhostname, localhost, localhost.$mydomain
smtp_helo_name = $myhostname

# saludo de bienvenida
smtpd_banner = $myhostname ESMTP $mail_name

# no utilizo un relayhost
relayhost =

# permitir enviar libremente solo al equipo local
mynetworks = 127.0.0.0/8

# restricciones de identificacion
smtpd_helo_restrictions = reject_invalid_helo_hostname

# restricciones de remitentes (verificaciones de MAIL FROM)
smtpd_sender_restrictions =
  permit_mynetworks,
  reject_non_fqdn_sender,
  reject_unknown_sender_domain,
  permit_sasl_authenticated,
  reject_non_fqdn_helo_hostname,
  reject_unknown_helo_hostname,
  reject_unknown_client_hostname,
  reject_sender_login_mismatch

# restricciones de destinatarios (verificaciones de RCPT TO y relay)
smtpd_recipient_restrictions =
  permit_mynetworks,
  reject_non_fqdn_recipient,
  reject_unknown_recipient_domain,
  permit_sasl_authenticated,
  reject_unauth_destination,
  check_helo_access pcre:/etc/postfix/helo_checks.pcre,
  check_policy_service unix:private/policy-spf,
  reject_unlisted_recipient,
  reject_rbl_client zen.spamhaus.org

# restricciones de datos
smtpd_data_restrictions =
  reject_unauth_pipelining,
  reject_multi_recipient_bounce

El contenido de mi helo_checks.pcre:

Código: Seleccionar todo

/^([^.]+\.)?midominio\.cu$/ 501 Dont use my own domain/hostname
/^(.+\.)?(corp|domain|example|home|host|invalid|lan|local|localdomain|localhost|priv|test)(\.[^.]+)?$/ 501 Invalid domain/hostname

El SPF lo implementé usando la variante PERL

[Nelo]

Socio, yo tengo zimbra 8.0.3, no se como saber la versión de postfix, pero ya por el zimbra sabrás cual es, el problema es que instalé una aplicación llamada swaks y al hacerle prueba a mi postfix, los correos son recibidos sin problemas, no importa de donde vengan, dijiste al principio que si el Postfix está funcionando como MX entonces puede que reciba correos de cualquier dirección, pero creo que en mi caso debe haber algún problema porque cuando escribo la siguiente línea de comando:
swaks --server IP_miservidor --body punto --helo=correo.midominio --to mi_correo --from yo@el_loco.com
el correo llega sin problemas como si me escribieran de la dirección yo@el_loco.com
Dime cómo resolver este problema, estoy preocupado.

[hugo]

Nelo, si utilizas Postfix solo como SMTP para mensajes salientes mediante un relayhost en Etecsa, no te queda otra que revisar tus archivos de configuración.

Como sugerencia, probablemente esto te ayude:

Código: Seleccionar todo

mynetworks = 127.0.0.0/8

smtpd_sender_restrictions =
  reject_unverified_sender,
  reject_authenticated_sender_login_mismatch,
  permit_sasl_authenticated,
  permit_mynetworks