Suplantacion de Identidad en Postfix
Publicado: Jue, 27 Jun 2013, 14:35
Después de no pocos quebraderos de cabeza en postfix para resolver lo de la suplantación de identidad de usuario de coreo electrónico consegui prevenir dicha vulnerabilidad de la siguiente manera:
Primero que todo tengo instalado Postfix en Debian 6 (squeeze) en mi postfix tengo SASL implementado para autenticar SMTP (con esto prevenimos que nuestro servidor este Open Relay) al poner en el main.cf en la opción smtp_sender_restrictions la línea permit_sasl_authenticated para que el servidor permita el envío de correo a los usuarios autenticados a través de SASLAUTH estamos permitiendo que los usuarios autenticados puedan enviar correos a nombre de otro usuario cualquiera existente o no. Para prevenir esta suplantación de identidad necesitamos instalar postfix-pcre.
Desde consola de root en Debian o con sudo en Ubuntu
#Aptitude install postfix-pcre
Luego crearemos el archivo /etc/postfix/sender_login.pcre en el cual escribimos una sola línea:
/(.*)@.*/ $1
Guardamos y cerramos el archivo y editamos el main.cf del Postfix, en el mismo vamos a agregar dos líneas, primero agregamos:
smtpd_sender_login_maps = pcre:/etc/postfix/sender_login.pcre
Luego en smtp_sender_restrictions:
Ponemos como primera línea reject_authenticated_sender_login_mismatch recalco que debe ponerse antes que cualquier otra cosa sobre todo antes que permit_sasl_authenticated... hasta Aquí la modificación del main.cf de nuestro Postfix.
Nuevamente en consola #postfix reload para que Postfix recargue la nueva configuración y si no da errores acaba UD de prevenir la suplantación de ID de usuarios del Correo Electrónico.
Es muy importante para el caso de los que usan SASL no poner la línea: reject_sender_login_mismatch en lugar de: reject_authenticated_sender_login_mismatch
Pues como es lógico los usuarios van a estar autenticados por SASL ergo son usuarios authenticated
Primero que todo tengo instalado Postfix en Debian 6 (squeeze) en mi postfix tengo SASL implementado para autenticar SMTP (con esto prevenimos que nuestro servidor este Open Relay) al poner en el main.cf en la opción smtp_sender_restrictions la línea permit_sasl_authenticated para que el servidor permita el envío de correo a los usuarios autenticados a través de SASLAUTH estamos permitiendo que los usuarios autenticados puedan enviar correos a nombre de otro usuario cualquiera existente o no. Para prevenir esta suplantación de identidad necesitamos instalar postfix-pcre.
Desde consola de root en Debian o con sudo en Ubuntu
#Aptitude install postfix-pcre
Luego crearemos el archivo /etc/postfix/sender_login.pcre en el cual escribimos una sola línea:
/(.*)@.*/ $1
Guardamos y cerramos el archivo y editamos el main.cf del Postfix, en el mismo vamos a agregar dos líneas, primero agregamos:
smtpd_sender_login_maps = pcre:/etc/postfix/sender_login.pcre
Luego en smtp_sender_restrictions:
Ponemos como primera línea reject_authenticated_sender_login_mismatch recalco que debe ponerse antes que cualquier otra cosa sobre todo antes que permit_sasl_authenticated... hasta Aquí la modificación del main.cf de nuestro Postfix.
Nuevamente en consola #postfix reload para que Postfix recargue la nueva configuración y si no da errores acaba UD de prevenir la suplantación de ID de usuarios del Correo Electrónico.
Es muy importante para el caso de los que usan SASL no poner la línea: reject_sender_login_mismatch en lugar de: reject_authenticated_sender_login_mismatch
Pues como es lógico los usuarios van a estar autenticados por SASL ergo son usuarios authenticated