BandaAncha.eu

Comunidad de usuarios
de fibra, móvil y ADSL

seguridad en postfix

merakebas

buenas
despues de infructuosos intentos de instalar el qmail en debian, a pesar del gran documento de FreeBSD, me pase a montar un servidor de correo basado en postfix, bastante mas sencillo, la verdad.
Bueno, pues el caso es que lo tengo montado con lo basico, y ahora me preocupa la seguridad. ¿Que ventajas tiene montarlo con la lista de usuarios cargada en mysql? ¿Hay algun modo de saber si mi servidor de correo es un coladero? ¿Alguna recomendacion en especial?

Muchas gracias, un saludo a todos

Este tema está cerrado a nuevas respuestas. Abre un nuevo tema para retomar la conversación.
jlop

Buenas, antes de nada he de decirte que qmail no es demasiado complicado de instalar, y que una vez instalado casi te puedes olvidar de él, no *suele* dar ningún problema. Al menos así me ha pasado a mí, tengo una instalación de qmail que tiene casi un año y no me ha dado problemas.

Bueno, volviendo al tema, la prueba fundamental que debes hacerle a tu servidor de correo es si permite el "relay abierto", o como se definiría en nuestra lengua, ver si permite a cualquiera enviar correos a cualquier otra persona. Si es así, tienes un problema. Estos servidores que permiten enviar mensajes a todos los dominios (y que se lo permiten a todas los que conecten) son una fuente de spam increíble. Deberías (si es tu caso) configurar el servidor para que sólo permitiera relay abierto a unas cuantas IPs, o que sea necesario identificarse (smtp-auth) o que se necesite conectar vía pop3 antes de enviar (pop-before-smtp, creo). Creo que para eso postfix está muy bien y es fácil de configurar.

Si no se te ocurre cómo hacer la prueba, sería simplemente conectar desde un PC de la misma red que el servidor y desde un PC de fuera. Esta conexión la haces con telnet mismo, de la siguiente forma (en negrita lo que debes teclear tú):

$ telnet IP_servidor 25
Connected to correo.adirc.net.
Escape character is '^]'.
220 tal.dominio ESMTP
HELO pruebaspam
250 tal.dominio
MAIL FROM: <uncorreo@cualquiera>
250 ok
RCPT TO: <uncorreo@dominio_que_no_sea_el_de_tu_servidor>

Llegados a este punto, puede:

1) Aceptarte el mensaje: Tu servidor es un coladero, pero de spam. Páralo y configura bien el relay.
2) Denegártelo (ejemplo):
553 sorry, that domain isn't in my list of allowed rcpthosts (#5.7.1) (esto en qmail, claro).
Si te lo deniega, perfecto. Eso sí, comprueba que hay algún método para que tú y las personas de confianza que usen el servidor podáis hacer relay abierto.

Pues nada más, creo que he soltado aquí un rollo patatero, pero espero que te sirva.
Un saludín y feliz año

Editado: Los < y > no salían.

🗨️ 1
merakebas

Muy bien, ya lo probe y parece que paso la prueba.
Muchas gracias, y feliz año!

FreeBSD

Siento mucho que no hayas sido capaz de seguir mi documento :-( .

Respecto a tu pregunta sobre qué ventajas tiene tener los usuarios almacenar en una tabla de mysql te comento que dicha ventaja no es otra que rapidez en la búsqueda de información del usuario. Es decir, cuando haya que autenticar un usuario y haya que comprobar nombre y pass, o cuando haya que buscar el buzón de un usuario, etc. Sin embargo esa mejora en la agilidad de acceso a información no empieza a notarse hasta que el número de usuarios del sistema es medianamente extenso. Para muy pocos usuarios yo lo desaconsejo. También suele ser muy útil cuando tienes que mantener una base de datos centralizada, o reutilizas la información de tus usuarios para otras cosas, etc.

Respecto a si tu servidor permite reenvíos sin restricción (open relay, relay abierto o también he visto "relé abierto"), hay muchas páginas que te realizan una serie de comprobaciones en tu sistema a este respecto. Suelen hacerse en las páginas de "Relay Black List", ahora mismo no te puedo decir ninguna con certeza que lo realice pero no te será difícil encontrarlo.

Sin embargo la seguridad en un sistema de correo no se limita al control de los reenvíos, aunque eso es muy importante para no encontrarte en una lista negra y que tu IP quede prácticamente inutilizada para enviar correos. Yo me preocuparía un poquito también en controlar los procesos que podrán ser lanzados por el servidor o de los ficheros y memoria de los que puede hacer uso cada proceso para que algún listillo no te ahogue el sistema. Es decir, si tu servidor es para uso personal o para 3 o 4 personas, es absurdo permitir a tu postfix lanzar 250 procesos. O si no tienes servicio de antivirus, es absurdo dejar que un proceso postfix se chupe el solito 7 MB de memoria.

Quizá se puedan hacer más ajustes de seguridad más dependientes del SO o quizá alguno más dependiende del propio servidor, pero quería hacer notar este punto que me parece importante.

Un saludo.

🗨️ 1
merakebas

En cuanto a lo del documento, no es que sea complicado de seguir. De hecho, consegui montar el servicio de SMTP, pero me dio mil problemas. Y hablando con un amigo me comento la opcion de postfix, y leyendo, me entere de que para el uso que yo quiero, tampoco esta mal de seguridad.

Efectivamente, hay direcciones que te mandan una bateria de pruebas, y son faciles de encontrar. Por si acaso alguien esta interesado, la mejor que he visto yo por ahora, es, desde el servidor de correo, hacer
telnet relay-test.mail-abuse.org
Esto te manda una bateria de 19 pruebas.

Y gracias por la aclaracion de mysql, porque siendo asi, entonces mejor me quedo como estoy.

Un saludo