MSc. Ing. Nestor Alonso Torres
2011-10-08 16:40:58 UTC
Hola a todos:
Tengo el siguiente problema con Postfix: En estos días le he estado
pasando la mano a las configs, para subir el nivel de seguridad, y hasta
ahora lo más que he logrado es esto:
1-. En mi PC estoy simulando el server, tengo un postfix que tiene
aplicado el tutorial de la wiki de Gutl para SASL, que funciona
perfectamente. Además tengo aplicadas las medidas contra la suplantación
de identidad que recomendó Lázaro. Aunque sé que esto último me va a
traer problemas con los dominios virtuales, en principio funciona bien.
2-. En mi servidor tengo las restricciones nacionales e internacionales
como recomienda Ulises en un HOWTO que envió a la lista hace tiempo ya,
y que funciona muy bien.
Ahora: No logro hacer una configuración que tenga todo junto, o sea,
restricciones nacionales/internacionales, SASL y no se pueda suplantar
la identidad del sender.
Pongo acá el main.cf más simple (la de la PC):
###########################################################################
#
# BANNER DE BIENVENIDA Y CONFIGURACIONES GENERALES
#
###########################################################################
smtpd_banner = $myhostname ESMTP $mail_name DPTCH (Debian/GNU)
# appending .domain is the MUA's job.
append_dot_mydomain = no
# Debug
debug_peer_level = 4
debug_peer_list = 10.0.0.20
###########################################################################
#
# CONFIGURACION DE SASL
#
###########################################################################
smtp_sasl_auth_enable = no
smtpd_helo_required = yes
smtpd_sasl_auth_enable = yes
smtpd_sasl_authenticated_header = yes
smtpd_sasl_security_options = noanonymous
broken_sasl_auth_clients = yes
disable_vrfy_command = yes
###########################################################################
#
# EVITAR SUPLANTACION DE IDENTIDAD AL ENVIAR
#
###########################################################################
smtpd_sender_login_maps = pcre:${config_directory}/sender_login.pcre
###########################################################################
#
# FILTROS Y REGLAS
#
###########################################################################
smtpd_sender_restrictions = check_sender_access
hash:/etc/postfix/usuarios_intl
check_recipient_access
hash:/etc/postfix/_regla_filtro_nac
permit_sasl_authenticated
reject
smtpd_recipient_restrictions = check_recipient_access
hash:/etc/postfix/usuarios_intl_rx
check_sender_access
hash:/etc/postfix/_regla_filtro_nac
reject_sender_login_mismatch
permit_sasl_authenticated
reject
#### Fin config
En usuarios_intl_rx y usuarios_intl lo que tengo dentro es
chicho-***@public.gmane.org OK
paco-***@public.gmane.org OK
Chicho y Paco tienen salida internacional
En _regla_filtro_nac lo que hay es
cu OK
El problema es evidente, como no hay un REJECT en ningún lado, todo el
mundo llega a permit_sasl_authenticated y "pa'llá". Solo que no se me
ocurre la solución. En el que tengo funcionando bien lo que pasa es que
como no tiene permit_sasl_authenticated, lo que no es OK se rechaza al
final.
¿Alguna sugerencia o config que ya funcione?
Agradecido de antemano,
nat
Tengo el siguiente problema con Postfix: En estos días le he estado
pasando la mano a las configs, para subir el nivel de seguridad, y hasta
ahora lo más que he logrado es esto:
1-. En mi PC estoy simulando el server, tengo un postfix que tiene
aplicado el tutorial de la wiki de Gutl para SASL, que funciona
perfectamente. Además tengo aplicadas las medidas contra la suplantación
de identidad que recomendó Lázaro. Aunque sé que esto último me va a
traer problemas con los dominios virtuales, en principio funciona bien.
2-. En mi servidor tengo las restricciones nacionales e internacionales
como recomienda Ulises en un HOWTO que envió a la lista hace tiempo ya,
y que funciona muy bien.
Ahora: No logro hacer una configuración que tenga todo junto, o sea,
restricciones nacionales/internacionales, SASL y no se pueda suplantar
la identidad del sender.
Pongo acá el main.cf más simple (la de la PC):
###########################################################################
#
# BANNER DE BIENVENIDA Y CONFIGURACIONES GENERALES
#
###########################################################################
smtpd_banner = $myhostname ESMTP $mail_name DPTCH (Debian/GNU)
# appending .domain is the MUA's job.
append_dot_mydomain = no
# Debug
debug_peer_level = 4
debug_peer_list = 10.0.0.20
###########################################################################
#
# CONFIGURACION DE SASL
#
###########################################################################
smtp_sasl_auth_enable = no
smtpd_helo_required = yes
smtpd_sasl_auth_enable = yes
smtpd_sasl_authenticated_header = yes
smtpd_sasl_security_options = noanonymous
broken_sasl_auth_clients = yes
disable_vrfy_command = yes
###########################################################################
#
# EVITAR SUPLANTACION DE IDENTIDAD AL ENVIAR
#
###########################################################################
smtpd_sender_login_maps = pcre:${config_directory}/sender_login.pcre
###########################################################################
#
# FILTROS Y REGLAS
#
###########################################################################
smtpd_sender_restrictions = check_sender_access
hash:/etc/postfix/usuarios_intl
check_recipient_access
hash:/etc/postfix/_regla_filtro_nac
permit_sasl_authenticated
reject
smtpd_recipient_restrictions = check_recipient_access
hash:/etc/postfix/usuarios_intl_rx
check_sender_access
hash:/etc/postfix/_regla_filtro_nac
reject_sender_login_mismatch
permit_sasl_authenticated
reject
#### Fin config
En usuarios_intl_rx y usuarios_intl lo que tengo dentro es
chicho-***@public.gmane.org OK
paco-***@public.gmane.org OK
Chicho y Paco tienen salida internacional
En _regla_filtro_nac lo que hay es
cu OK
El problema es evidente, como no hay un REJECT en ningún lado, todo el
mundo llega a permit_sasl_authenticated y "pa'llá". Solo que no se me
ocurre la solución. En el que tengo funcionando bien lo que pasa es que
como no tiene permit_sasl_authenticated, lo que no es OK se rechaza al
final.
¿Alguna sugerencia o config que ya funcione?
Agradecido de antemano,
nat