seguridad en postfix

Buenas, antes de nada he de decirte que qmail no es demasiado complicado de instalar, y que una vez instalado casi te puedes olvidar de él, no *suele* dar ningún problema. Al menos así me ha pasado a mí, tengo una instalación de qmail que tiene casi un año y no me ha dado problemas.

Bueno, volviendo al tema, la prueba fundamental que debes hacerle a tu servidor de correo es si permite el "relay abierto", o como se definiría en nuestra lengua, ver si permite a cualquiera enviar correos a cualquier otra persona. Si es así, tienes un problema. Estos servidores que permiten enviar mensajes a todos los dominios (y que se lo permiten a todas los que conecten) son una fuente de spam increíble. Deberías (si es tu caso) configurar el servidor para que sólo permitiera relay abierto a unas cuantas IPs, o que sea necesario identificarse (smtp-auth) o que se necesite conectar vía pop3 antes de enviar (pop-before-smtp, creo). Creo que para eso postfix está muy bien y es fácil de configurar.

Si no se te ocurre cómo hacer la prueba, sería simplemente conectar desde un PC de la misma red que el servidor y desde un PC de fuera. Esta conexión la haces con telnet mismo, de la siguiente forma (en negrita lo que debes teclear tú):

$ telnet IP_servidor 25
Connected to correo.adirc.net.
Escape character is '^]'.
220 tal.dominio ESMTP
HELO pruebaspam
250 tal.dominio
MAIL FROM: <uncorreo@cualquiera>
250 ok
RCPT TO: <uncorreo@dominio_que_no_sea_el_de_tu_servidor>

Llegados a este punto, puede:

1) Aceptarte el mensaje: Tu servidor es un coladero, pero de spam. Páralo y configura bien el relay.
2) Denegártelo (ejemplo):
553 sorry, that domain isn't in my list of allowed rcpthosts (#5.7.1) (esto en qmail, claro).
Si te lo deniega, perfecto. Eso sí, comprueba que hay algún método para que tú y las personas de confianza que usen el servidor podáis hacer relay abierto.

Pues nada más, creo que he soltado aquí un rollo patatero, pero espero que te sirva.
Un saludín y feliz año

Editado: Los < y > no salían.

Siento mucho que no hayas sido capaz de seguir mi documento :-( .

Respecto a tu pregunta sobre qué ventajas tiene tener los usuarios almacenar en una tabla de mysql te comento que dicha ventaja no es otra que rapidez en la búsqueda de información del usuario. Es decir, cuando haya que autenticar un usuario y haya que comprobar nombre y pass, o cuando haya que buscar el buzón de un usuario, etc. Sin embargo esa mejora en la agilidad de acceso a información no empieza a notarse hasta que el número de usuarios del sistema es medianamente extenso. Para muy pocos usuarios yo lo desaconsejo. También suele ser muy útil cuando tienes que mantener una base de datos centralizada, o reutilizas la información de tus usuarios para otras cosas, etc.

Respecto a si tu servidor permite reenvíos sin restricción (open relay, relay abierto o también he visto "relé abierto"), hay muchas páginas que te realizan una serie de comprobaciones en tu sistema a este respecto. Suelen hacerse en las páginas de "Relay Black List", ahora mismo no te puedo decir ninguna con certeza que lo realice pero no te será difícil encontrarlo.

Sin embargo la seguridad en un sistema de correo no se limita al control de los reenvíos, aunque eso es muy importante para no encontrarte en una lista negra y que tu IP quede prácticamente inutilizada para enviar correos. Yo me preocuparía un poquito también en controlar los procesos que podrán ser lanzados por el servidor o de los ficheros y memoria de los que puede hacer uso cada proceso para que algún listillo no te ahogue el sistema. Es decir, si tu servidor es para uso personal o para 3 o 4 personas, es absurdo permitir a tu postfix lanzar 250 procesos. O si no tienes servicio de antivirus, es absurdo dejar que un proceso postfix se chupe el solito 7 MB de memoria.

Quizá se puedan hacer más ajustes de seguridad más dependientes del SO o quizá alguno más dependiende del propio servidor, pero quería hacer notar este punto que me parece importante.

Un saludo.