Spoofing SMTP - Postfix

[elMor3no]

Hola gente:

Necesito saber como evitar el spoofing smtp. Uso zimbra, por lo cual mi server smtp es un postfix.

Si alguien sabe de esto por favor le agradecería la ayuda.

Saludos

[103]

¿Qué tal usar TLS con encriptación MD5?

Cuando la transmisión de las contraseñas se hace encriptada es un poco más difícil de capturar con sniffing y spoofing.

[hugo]

MD5 no es un mecanismo particularmente seguro para TLS (aunque evidentemente es mas seguro que no tener nada), pero Postfix soporta otros mecanismos que si son bastante seguros y se habilitan por defecto en cuanto se utiliza el parámetro smtp_tls_security_level = encrypt. El tema está en lograr que el resto de las herramientas utilizadas para procesar la mensajería sean capaces de asimilarlos.

[burjans]

@elMor3no
Necesito saber como evitar el spoofing smtp. Uso zimbra, por lo cual mi server smtp es un postfix.

La capa Simple Authentication and Security Layer (SASL) sirve para autenticar el correo y evitar el spoofing

En internet encontré un artículo de alguien que logró evitarlos usando smtp-auth .. dejo enlace (inglés)

http://www.felipe-alfaro.org/blog/2006/ ... smpt-auth/

http://jcsantiagous.wordpress.com/2009/ ... -iptables/

Información adicional sobre Postfix

http://ftp.wl0.org/postfix-doc-es/RELEASE_NOTES

Espero que alguna información ahi te sirva.

salu2

[103]

La idea es encriptar toda la transmisión de datos, con SASL, TLS y una buena configuración de Postifx se asegura una buena parte.

@hugo

¿Este parámetro de Postfix no hace que el uso de TLS sea obligatorio?
smtp_tls_security_level = encrypt

También acepta el valor may que es para cuando existen clientes que no soportan TLS.

[hugo]

Si, ese parámetro acepta varios valores, evidentemente que el valor encrypt hace que el uso de TLS sea obligatorio (de ahí mi observación al final). El problema es que al utilizar may las contraseñas se transmiten de manera insegura y pueden ser interceptadas, y además alguien podría enviar facilmente mensajes como si fuese otra persona, que es justamente lo que se pretende evitar.

[103]

Hablando del tema, cuando establezco encrypt en ese parámetro no puedo enviar mensajes desde Squirrelmail. El servidor POP3 e IMAP es Dovecot.
No sé si tenga que ver con la versión del Squirrelmail que es la 1.4.

Edición:

Según http://www.squirrelmail.org/docs/admin/ ... tml#toc8.2
The server you wish to use TLS on must have a dedicated port listening for TLS connections. (ie. port 993 for IMAP, 465 for SMTP).

Se necesita tener los puertos 993 y 465, los dos los tengo habilitado, pero sigue el problema y es específicamente con el SMTP.

[hugo]

El problema quizás es que SquirrelMail no soporta STARTTLS sino desde la versión 1.5.1

Por otra parte, Dovecot se utiliza para para la recepción, no para el envío, de ahi que en el mensaje de error que citas no se menciona POP3, solo SMTP e IMAP que serían gestionados por Postfix. Respecto a ese error, no basta con tener los puertos habilitados en el cortafuegos, es necesario lanzar el script de configuración /usr/share/squirrelmail/config/conf.pl y en la sección "Server settings" cambiar el puerto.

[103]

El problema quizás es que SquirrelMail no soporta STARTTLS sino desde la versión 1.5.1

Por otra parte, Dovecot se utiliza para para la recepción, no para el envío, de ahi que en el mensaje de error que citas no se menciona POP3, solo SMTP e IMAP que serían gestionados por Postfix. Respecto a ese error, no basta con tener los puertos habilitados en el cortafuegos, es necesario lanzar el script de configuración /usr/share/squirrelmail/config/conf.pl y en la sección "Server settings" cambiar el puerto.

Sí, esos puertos los habilité en la configuración del Squirrelmail con el script. Dovecot se utiliza para la recepción pero también actúa como servidor IMAP (Postfix solamente gestiona SMTP). Estoy convencido de que es la versión estable del Squirrelmail (1.4), no tengo pensado actualizar a la inestable (1.5)

[hugo]

Sí, esos puertos los habilité en la configuración del Squirrelmail con el script. Dovecot se utiliza para la recepción pero también actúa como servidor IMAP (Postfix solamente gestiona SMTP). Estoy convencido de que es la versión estable del Squirrelmail (1.4), no tengo pensado actualizar a la inestable (1.5)

Si, Dovecot soporta IMAP y puedes crear mensajes de esta manera, pero a menos que me equivoque no es el propio Dovecot quien los envía, este solo actúa como un transporte y se los pasa al SMTP.

En todo caso el problema con Squirrelmail merece un tema propio, porque ya nos hemos extendido demasiado aquí; en estos momentos estamos totalmente off-topic