Necesito solucion rapida please! Seguridad en mi postfix

[JuancaDJ]

He hallado un problema grabe en mi postfix y se trata sobre la suplantación de identidad e encontrado varios post en la internet pero ninguno me soluciona el problema esto es lo que sucede

Código:

Código: Seleccionar todo

# telnet localhost 25
Trying ::1...
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
220 xxx.xx.xxx ESMTP Postfix (Debian/GNU)
helo xxx.xx.xxx
250 xxx.xx.xxx
mail from: intruso@intruso.com
250 2.1.0 Ok

Como pueden ver mi postfix simplemente acepta cualquier dirección sea valida o no y desde ahi se puede enviar correos libremente sin estar registrado propiamente en el sistema. Alguna idea o solución rápida please!. Gracias

[hugo]

El tema es que si tu Postfix está funcionando como MX, usualmente se permiten los correos entrantes de cualquier dirección, si es que deseas tener servicio de correo, aunque hay formas de restringir esto por dominios y demás.

Otra cosa es si recoges el correo de un buzón corporativo con algo como getmail o fetchmail, y solo utilizas postfix para enviar, en ese caso si tienes una vulnerabilidad.

[JuancaDJ]

No mi postfix no esta funsionando como MX es un servidor con usuarios creados virtualmente y entrega los correos mediate relayhost
y no logro detener ese fallo y nadie ha logrado darme respuesta y necesito solucionar eso rapido pues es un fallo grave para la seguridad del servidor como tal

[hugo]

Algunas entradas (no son las únicas) que podrías revisar en el archivo main.cf para que queden aproximadamente así:

Código: Seleccionar todo

disable_vrfy_command = yes
smtpd_helo_required = yes
smtpd_delay_reject = yes
strict_rfc821_envelopes = yes
mynetworks = 127.0.0.0/8 192.168.0.0/24
mydomain = midominio.cu
myhostname = miservidor.$mydomain
myorigin = $myhostname
mydestination = $myhostname, localhost.$mydomain $mydomain
relayhost = [elservidor.eldominiodelrelayhost.cu]
smtpd_client_restrictions = permit_mynetworks, reject
smtpd_helo_restrictions = reject_invalid_helo_hostname, reject_non_fqdn_helo_hostname, reject_unknown_helo_hostname
smtpd_sender_restrictions = reject_non_fqdn_sender, reject_unknown_sender_domain
smtpd_recipient_restrictions = permit_mynetworks, reject_unauth_destination, reject_non_fqdn_sender
submission_recipient_restrictions = permit_mynetworks, reject_non_fqdn_sender, reject_non_fqdn_recipient, reject
smtpd_data_restrictions = reject_unauth_pipelining

Para más detalles, revisa la documentación de Postfix.

[JuancaDJ]

Esta es mi configuracionde postfix hechale un vistaso y dime que le puede estar faltando para denegar eso:

Código: Seleccionar todo

# postconf -n
alias_database = hash:/etc/aliases
alias_maps = hash:/etc/aliases
append_dot_mydomain = no
biff = no
broken_sasl_auth_clients = yes
config_directory = /etc/postfix
disable_vrfy_command = yes
dovecot_destination_recipient_limit = 1
inet_interfaces = all
inet_protocols = ipv4
internat = permit
mailbox_size_limit = 0
message_size_limit = 10240000
milter_default_action = accept
mydestination =
myhostname = xxx.xxx.xx
mynetworks = 127.0.0.0/8 xxx.xxx.xxx.xx/xx xxx.xxx.xxx.xx/xx
myorigin = xxx.xxx.xxx
national = check_recipient_access regexp:/etc/postfix/lists/filtro_nac reject
readme_directory = no
recipient_delimiter = +
relay_domains = proxy:mysql:/etc/postfix/virtual/relay_domains.cf
relayhost = xxx.xxx.xxx.xxx
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
smtpd_data_restrictions = permit_mynetworks,reject_unauth_pipelining,reject_multi_recipient_bounce,permit
smtpd_helo_required = yes
smtpd_helo_restrictions = permit_mynetworks,reject_invalid_helo_hostname
smtpd_milters = unix:/clamav/clamav-milter.ctl, unix:/spamass/spamass.sock
smtpd_recipient_restrictions = permit_mynetworks,reject_authenticated_sender_login_mismatch,reject_non_fqdn_recipient,permit_sasl_authenticated,reject_unauth_destination,reject_rbl_client zen.spamhaus.org,reject_rhsbl_helo dbl.spamhaus.org,reject_rhsbl_sender dbl.spamhaus.org
smtpd_restriction_classes = internat, national,
smtpd_sasl_auth_enable = no
smtpd_sasl_exceptions_networks = $mynetworks
smtpd_sasl_local_domain =
smtpd_sasl_path = private/auth
smtpd_sasl_security_options = noanonymous
smtpd_sasl_tls_security_options = noanonymous
smtpd_sasl_type = dovecot
smtpd_sender_restrictions = permit_auth_destination, check_recipient_access hash:/etc/postfix/lists/domain_users check_sender_access hash:/etc/postfix/lists/domain_users reject
smtpd_tls_auth_only = yes
smtpd_tls_cert_file = /etc/ssl/certs/ssl-cert-snakeoil.pem
smtpd_tls_key_file = /etc/ssl/private/ssl-cert-snakeoil.key
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtpd_use_tls = yes
transport_maps = hash:/etc/postfix/transport
virtual_alias_maps = proxy:mysql:/etc/postfix/virtual/alias_maps.cf
virtual_gid_maps = static:8
virtual_mailbox_base = /var/mail/vmail
virtual_mailbox_domains = proxy:mysql:/etc/postfix/virtual/mailbox_domains.cf
virtual_mailbox_maps = proxy:mysql:/etc/postfix/virtual/mailbox_maps.cf
virtual_minimum_uid = 8
virtual_transport = dovecot
virtual_uid_maps = static:8

[hugo]

En cuanto tenga una oportunidad estudio con mas atención tu configuración, de momento algunos cambios concretos que te sugiero:

Código: Seleccionar todo

# a menos que quieras hacer una consulta mx extra para cada mensaje saliente, pon la ip del relayhost entre corchetes.
relayhost = [xxx.xxx.xxx.xxx]

# insertar esta línea para permitir acceso al smtp solo desde tu red:
smtpd_client_restrictions = permit_mynetworks, reject

Prueba y nos comentas.

[JuancaDJ]

Muchas gracias por el dato del relay_host entre corchetes esa no me la sabia, ni en ningun tutorial que e leido lo han posteado asi, smtpd_client_restrictions = permit_mynetworks, reject
no me preocupa porque en mi firewall ese puerto solo acepta conexiones de mi relay_host, los usuarios estan obrigados a recibir correo via webmail, imap, imaps o smtps solo desde los puertos seguros
El porque estoy apurado por solucionar ese tema en mi postfix es porque actualmente es practicamente un open_relay y mi root a cada rato esta automaticamente enviando notificaciones de las planificaciones en cron o cualquier error que tenga squid o cualquier software enseguida esta enviandolo por correo y aunque no llega a ningun buzon si esta en la cola de salida de postfix y a veces llego y tengo 20 correos de notificaciones que a enviado el root y no logro detener eso, he cambiado los alias del sistema e desabilitado los buzones de las cuentas fisicas usando webmin pero nada el muy jodido sigue enviando notificaciones diarias de mis planificaciones en cron
Alguna idea para solucionar mi problema?,. Gracias

[hugo]

Bueno, lo que describes no es un problema, es el comportamiento habitual de Linux: el administrador del sistema recibe una notificación por correo de todo lo importante que ocurre en el sistema, que es algo muy útil. Usualmente es suficiente con crear reglas en el cliente de correo que muevan todos esos mensajes a una bandeja creada por uno al efecto. Esto es lo que hago yo, y así luego reviso con calma dicha bandeja.

Otra cosa sería si ese tipo de mensajes se estén enviando a todo el mundo, eso si indica un problema de configuración, que podría solucionarse poniendo en el archivo de configuración algo como esto:

Código: Seleccionar todo

notify_classes = bounce,2bounce,delay,policy,resource,software

Luego en /etc/aliases declaras algo como esto:

Código: Seleccionar todo

root:superusuario@midominio.cu
hostmaster:root
postmaster:root
webmaster:root
abuse:root

Finalmente ejecutas el comando newaliases y recargas/reinicias postfix.

De esta manera, todos los mensajes administrativos irán solamente hacia la cuenta que hayas definido como root (en este ejemplo, sería superusuario@midominio.cu).

[hugo]

Estuve revisando con más calma tu configuración. Prueba insertando o modificando estas líneas, creo que con eso deberías obtener el comportamiento que deseas:

Código: Seleccionar todo

smtpd_client_restrictions =
 permit_mynetworks,
 permit_sasl_authenticated,
 reject_unknown_client_hostname,
 reject
smtpd_relay_restrictions =
 permit_mynetworks,
 permit_sasl_authenticated,
 reject_unauth_destination
smtpd_sender_restrictions =
 reject_non_fqdn_sender,
 reject_unknown_sender_domain,
 check_sender_access hash:/etc/postfix/lists/domain_users,
 reject_unlisted_sender,
 reject_sender_login_mismatch
smtpd_recipient_restrictions =
 reject_non_fqdn_recipient,
 check_recipient_access hash:/etc/postfix/lists/domain_users, 
 reject_unlisted_recipient,
 reject_rbl_client zen.spamhaus.org,
 reject_rhsbl_helo dbl.spamhaus.org,
 reject_rhsbl_sender dbl.spamhaus.org

[JuancaDJ]

Bueno aqui estan los errores una vez que agregue lo que me dijiste

Código: Seleccionar todo

[....] Stopping Postfix Mail Transport Agent: postfixpostmulti: fatal: /etc/postfix/main.cf, line 125: missing '=' after attribute name: "reject_sender_login_mismatch     reject"
. ok 
[....] Starting Postfix Mail Transport Agent: postfixpostmulti: fatal: /etc/postfix/main.cf, line 125: missing '=' after attribute name: "reject_sender_login_mismatch     reject"
. ok 
root@grm:/home/administrador# service postfix restart
[....] Stopping Postfix Mail Transport Agent: postfix/usr/sbin/postconf: warning: /etc/postfix/main.cf: unused parameter: smtpd_relay_restrictions=permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination
. ok 
[....] Starting Postfix Mail Transport Agent: postfixpostconf: warning: /etc/postfix/main.cf: unused parameter: smtpd_relay_restrictions=permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination
postconf: warning: /etc/postfix/main.cf: unused parameter: smtpd_relay_restrictions=permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination
postconf: warning: /etc/postfix/main.cf: unused parameter: smtpd_relay_restrictions=permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination
postconf: warning: /etc/postfix/main.cf: unused parameter: smtpd_relay_restrictions=permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination
postconf: warning: /etc/postfix/main.cf: unused parameter: smtpd_relay_restrictions=permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination
postconf: warning: /etc/postfix/main.cf: unused parameter: smtpd_relay_restrictions=permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination
/usr/sbin/postconf: warning: /etc/postfix/main.cf: unused parameter: smtpd_relay_restrictions=permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination
/usr/sbin/postconf: warning: /etc/postfix/main.cf: unused parameter: smtpd_relay_restrictions=permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination
/usr/sbin/postconf: warning: /etc/postfix/main.cf: unused parameter: smtpd_relay_restrictions=permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination
/usr/sbin/postconf: warning: /etc/postfix/main.cf: unused parameter: smtpd_relay_restrictions=permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination
/usr/sbin/postconf: warning: /etc/postfix/main.cf: unused parameter: smtpd_relay_restrictions=permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination
/usr/sbin/postconf: warning: /etc/postfix/main.cf: unused parameter: smtpd_relay_restrictions=permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination
/usr/sbin/postconf: warning: /etc/postfix/main.cf: unused parameter: smtpd_relay_restrictions=permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination
/usr/sbin/postconf: warning: /etc/postfix/main.cf: unused parameter: smtpd_relay_restrictions=permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination
/usr/sbin/postconf: warning: /etc/postfix/main.cf: unused parameter: smtpd_relay_restrictions=permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination
/usr/sbin/postconf: warning: /etc/postfix/main.cf: unused parameter: smtpd_relay_restrictions=permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination
/usr/sbin/postconf: warning: /etc/postfix/main.cf: unused parameter: smtpd_relay_restrictions=permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination
/usr/sbin/postconf: warning: /etc/postfix/main.cf: unused parameter: smtpd_relay_restrictions=permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination
/usr/sbin/postconf: warning: /etc/postfix/main.cf: unused parameter: smtpd_relay_restrictions=permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination
/usr/sbin/postconf: warning: /etc/postfix/main.cf: unused parameter: smtpd_relay_restrictions=permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination
/usr/sbin/postconf: warning: /etc/postfix/main.cf: unused parameter: smtpd_relay_restrictions=permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination
/usr/sbin/postconf: warning: /etc/postfix/main.cf: unused parameter: smtpd_relay_restrictions=permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination

Y con respecto a los aliases ya eso lo habia hecho y sigue haciendo lo mismo