En la lupa de un(os) Hacker(s)

classic Classic list List threaded Threaded
28 messages Options
12
Reply | Threaded
Open this post in threaded view
|

En la lupa de un(os) Hacker(s)

Cesar
Hola a todos, gusto de saludarlos.

Tengo un servidor de correo postfix el cual funciona perfectamente (incluido mailscanner, etc. etc.), un(os) hacker(s) están procurando atacarme, y quiero protegerme, me explicaré mejor a continuación:

1) Supongamos que tengo un Dominio de Correo llamado "elvendedor.com.mx"

2) De otros países un(os) hackers envían mensajes de correos con archivo adjunto, pero el dominio de correo del remitente coincide con el que yo he creado en mi Servidor de Correo, es decir "elvendedor.com.mx", mientras que el usuario remitente utilizado por este Hacker no existe en mi servidor de
correo.

3) Revisando el reporte del filtro SPAM instalado en mi servidor de correo, veo que las direcciones IP de los remitentes del correo pertenecen a Vietnam, Japón y Emiratos Arabes, por lo que pienso que inclusive están
usando la red "TOR" ó alguno similar, pero no me cabe duda que esos correos no provinieron de mi servidor de correo.

4) Como el filtro Anti-Spam está funcionando, lo reporta como SPAM de alto puntaje.

5) Hasta aquí encuentro que todos mis sistemas tienen un funcionamiento correcto, y que me hace falta agregar un filtro para evitar la recepción de tales mensajes de correos como lo describo arriba.

Mi objetivo:
Bloquear a ese(esos) gracioso(s) rechazando tales mensajes de correos (DROP).

Ideas de estrategias que podría seguir:
A) Configurar postfix para que no acepte correos de Dominios externos si son iguales a los Dominios de Correo configurados en mi mismo Servidor de Correo (este sería mi preferido, pues siendo así, mi servidor postfix desde el inicio rechaza tales correo y tendré menos consumo de recursos de Hardware por que el mensaje de correo ni siquiera pasaría por los filtros Anti-SPAM).

B) Configurar Spamasassin para que haga tal rechazo (menos preferido por mi, debido a la carga de recursos de Hardware).

C) Tal vez alguna otra opción que yo no me haya imaginado.

Agradeceré la ayuda de quien me pueda orientar para activar un filtro que cumpla con mi objetivo.

Saludos cordiales
Cesar
Best Regards
Cesar
Reply | Threaded
Open this post in threaded view
|

Re: [postfix-es] En la lupa de un(os) Hacker(s)

Guido Ignacio
http://okean.com/antispam/iptables/iptables.html

El día 18 de junio de 2015, 11:43, Cesar <[hidden email]> escribió:

> Hola a todos, gusto de saludarlos.
>
> Tengo un servidor de correo postfix el cual funciona perfectamente (incluido
> mailscanner, etc. etc.), un(os) hacker(s) están procurando atacarme, y
> quiero protegerme, me explicaré mejor a continuación:
>
> 1) Supongamos que tengo un Dominio de Correo llamado "elvendedor.com.mx"
>
> 2) De otros países un(os) hackers envían mensajes de correos con archivo
> adjunto, pero el dominio de correo del remitente coincide con el que yo he
> creado en mi Servidor de Correo, es decir "elvendedor.com.mx", mientras que
> el usuario remitente utilizado por este Hacker no existe en mi servidor de
> correo.
>
> 3) Revisando el reporte del filtro SPAM instalado en mi servidor de correo,
> veo que las direcciones IP de los remitentes del correo pertenecen a
> Vietnam, Japón y Emiratos Arabes, por lo que pienso que inclusive están
> usando la red "TOR" ó alguno similar, pero no me cabe duda que esos correos
> no provinieron de mi servidor de correo.
>
> 4) Como el filtro Anti-Spam está funcionando, lo reporta como SPAM de alto
> puntaje.
>
> 5) Hasta aquí encuentro que todos mis sistemas tienen un funcionamiento
> correcto, y que me hace falta agregar un filtro para evitar la recepción de
> tales mensajes de correos como lo describo arriba.
>
> Mi objetivo:
> Bloquear a ese(esos) gracioso(s) rechazando tales mensajes de correos
> (DROP).
>
> Ideas de estrategias que podría seguir:
> A) Configurar postfix para que no acepte correos de Dominios externos si son
> iguales a los Dominios de Correo configurados en mi mismo Servidor de Correo
> (este sería mi preferido, pues siendo así, mi servidor postfix desde el
> inicio rechaza tales correo y tendré menos consumo de recursos de Hardware
> por que el mensaje de correo ni siquiera pasaría por los filtros Anti-SPAM).
>
> B) Configurar Spamasassin para que haga tal rechazo (menos preferido por mi,
> debido a la carga de recursos de Hardware).
>
> C) Tal vez alguna otra opción que yo no me haya imaginado.
>
> Agradeceré la ayuda de quien me pueda orientar para activar un filtro que
> cumpla con mi objetivo.
>
> Saludos cordiales
> Cesar
>
>
>
>
> -----
> Best Regards
> Cesar
> --
> View this message in context: http://postfix.1071664.n5.nabble.com/En-la-lupa-de-un-os-Hacker-s-tp77714.html
> Sent from the Postfix España mailing list archive at Nabble.com.
> _______________________________________________
> List de correo postfix-es para tratar temas del MTA postfix en español
> [hidden email]
> http://lists.wl0.org/mailman/listinfo/postfix-es
_______________________________________________
List de correo postfix-es para tratar temas del MTA postfix en español
[hidden email]
http://lists.wl0.org/mailman/listinfo/postfix-es
Reply | Threaded
Open this post in threaded view
|

Re: [postfix-es] En la lupa de un(os) Hacker(s)

antonio
In reply to this post by Cesar
Puedes por ejm bloquear los intentos fallidos en los puertos smtp,etc,etc con el "fail2ban".
En mi caso, como mis usuarios solo se loguean con ips de mi país, entonces en el main.cf en la línea "mynetwoks=" solo habilito rangos de mi pais.

Saludos

2015-06-18 9:43 GMT-05:00 Cesar <[hidden email]>:
Hola a todos, gusto de saludarlos.

Tengo un servidor de correo postfix el cual funciona perfectamente (incluido
mailscanner, etc. etc.), un(os) hacker(s) están procurando atacarme, y
quiero protegerme, me explicaré mejor a continuación:

1) Supongamos que tengo un Dominio de Correo llamado "elvendedor.com.mx"

2) De otros países un(os) hackers envían mensajes de correos con archivo
adjunto, pero el dominio de correo del remitente coincide con el que yo he
creado en mi Servidor de Correo, es decir "elvendedor.com.mx", mientras que
el usuario remitente utilizado por este Hacker no existe en mi servidor de
correo.

3) Revisando el reporte del filtro SPAM instalado en mi servidor de correo,
veo que las direcciones IP de los remitentes del correo pertenecen a
Vietnam, Japón y Emiratos Arabes, por lo que pienso que inclusive están
usando la red "TOR" ó alguno similar, pero no me cabe duda que esos correos
no provinieron de mi servidor de correo.

4) Como el filtro Anti-Spam está funcionando, lo reporta como SPAM de alto
puntaje.

5) Hasta aquí encuentro que todos mis sistemas tienen un funcionamiento
correcto, y que me hace falta agregar un filtro para evitar la recepción de
tales mensajes de correos como lo describo arriba.

Mi objetivo:
Bloquear a ese(esos) gracioso(s) rechazando tales mensajes de correos
(DROP).

Ideas de estrategias que podría seguir:
A) Configurar postfix para que no acepte correos de Dominios externos si son
iguales a los Dominios de Correo configurados en mi mismo Servidor de Correo
(este sería mi preferido, pues siendo así, mi servidor postfix desde el
inicio rechaza tales correo y tendré menos consumo de recursos de Hardware
por que el mensaje de correo ni siquiera pasaría por los filtros Anti-SPAM).

B) Configurar Spamasassin para que haga tal rechazo (menos preferido por mi,
debido a la carga de recursos de Hardware).

C) Tal vez alguna otra opción que yo no me haya imaginado.

Agradeceré la ayuda de quien me pueda orientar para activar un filtro que
cumpla con mi objetivo.

Saludos cordiales
Cesar




-----
Best Regards
Cesar
--
View this message in context: http://postfix.1071664.n5.nabble.com/En-la-lupa-de-un-os-Hacker-s-tp77714.html
Sent from the Postfix España mailing list archive at Nabble.com.
_______________________________________________
List de correo postfix-es para tratar temas del MTA postfix en español
[hidden email]
http://lists.wl0.org/mailman/listinfo/postfix-es



--
Antonio Valdivia
Registered Linux user # 373174
Registered Machine    # 270559


_______________________________________________
List de correo postfix-es para tratar temas del MTA postfix en español
[hidden email]
http://lists.wl0.org/mailman/listinfo/postfix-es
Reply | Threaded
Open this post in threaded view
|

Re: [postfix-es] En la lupa de un(os) Hacker(s)

Federico Alberto Sayd
In reply to this post by Guido Ignacio
On 18/06/15 12:00, Guido Ignacio wrote:

> http://okean.com/antispam/iptables/iptables.html
>
> El día 18 de junio de 2015, 11:43, Cesar <[hidden email]> escribió:
>> Hola a todos, gusto de saludarlos.
>>
>> Tengo un servidor de correo postfix el cual funciona perfectamente (incluido
>> mailscanner, etc. etc.), un(os) hacker(s) están procurando atacarme, y
>> quiero protegerme, me explicaré mejor a continuación:
>>
>> 1) Supongamos que tengo un Dominio de Correo llamado "elvendedor.com.mx"
>>
>> 2) De otros países un(os) hackers envían mensajes de correos con archivo
>> adjunto, pero el dominio de correo del remitente coincide con el que yo he
>> creado en mi Servidor de Correo, es decir "elvendedor.com.mx", mientras que
>> el usuario remitente utilizado por este Hacker no existe en mi servidor de
>> correo.
>>
>>
Publica un registro SPF en tu DNS para tu dominio, ponlo a restrictivo
con solo las ip's de los servidores que mandan a tu nombre y luego
activa el chequeo de spf en tu servidor de correo entrante. Si está a
restrictivo ("-all") no debería entrar ningún correo con tu dominio
spoofeado.

Saludos
_______________________________________________
List de correo postfix-es para tratar temas del MTA postfix en español
[hidden email]
http://lists.wl0.org/mailman/listinfo/postfix-es
Reply | Threaded
Open this post in threaded view
|

Re: [postfix-es] En la lupa de un(os) Hacker(s)

Emiliano Vazquez
El 18/06/15 a las 12:34, Federico Alberto Sayd escibió:
> Publica un registro SPF en tu DNS para tu dominio, ponlo a restrictivo
> con solo las ip's de los servidores que mandan a tu nombre y luego
> activa el chequeo de spf en tu servidor de correo entrante. Si está a
> restrictivo ("-all") no debería entrar ningún correo con tu dominio
> spoofeado.
>
> Saludos
+1

La mejor solución, sin consumo de recursos.


Saludos!

--
Emiliano Vazquez | PcCentro Informatica & CCTV
Office: +54 (11) 4635-3218 y Rotativas
http://www.pccentro.com.ar

_______________________________________________
List de correo postfix-es para tratar temas del MTA postfix en español
[hidden email]
http://lists.wl0.org/mailman/listinfo/postfix-es
Reply | Threaded
Open this post in threaded view
|

Re: [postfix-es] En la lupa de un(os) Hacker(s)

Emiliano Vazquez
In reply to this post by antonio
El 18/06/15 a las 12:02, antonio escibió:
> Puedes por ejm bloquear los intentos fallidos en los puertos
> smtp,etc,etc con el "fail2ban".
El problema que tiene no es intentos de autenticación fallidos. Lo que
le pasa es que recibe mails como si fueran de sus servidores, para
solucionar esto la mejor manera es usar SPF.

La idea del SPF (perdón si no digo algo que sea tecnicamente correcto)
es la siguiente:

En el DNS uno configura el SPF, es un dato como el siguiente:

"v=spf1 a mx ip4:190.190.190.190 ip4:190.190.190.191 -all"

donde "ip4:190.190.190.190 "  es una ip que esta permitida para enviar
en nombre de mi dominio mails  y "ip4:190.190.190.191" es otra IP que
tiene permisos para enviar e-mails en nombre del dominio.

Este dato anterior es útil unicamente si el servidor que recibe este
mail (sea fraudulento o no) tiene configurado el checkeo del SPF. Que
quiere decir esto? que el SPF es un dato que consultan los servidores al
recibir el e-mail, no es un dato que sea obligatorio, por esto, quizás
uno tiene bien configurado el SPF en su DNS y en su servidor, pero aún
así, en otros servidores llegan mails de que son del dominio con el
problema. No es algo que se pueda solucionar (creo) porque esta "falla
en configuración" esta en el receptor y no en el emisor.

Para configurar el SPF hay que mirar este link [1].
Para comprobar si el DNS tiene bien configurado el SPF se puede probar
con esto [2]

El tener bien configurado el SPF en nuestros servidores permite recibir
menos e-mails fraudulentos, ya que son descartados antes de pasar por
otros checkeos que consumen recursos (este realmente no consume nada de
nada).

Espero haber sido claro, lo comento porque me tomo tiempo entender este
tema, si algo de lo que digo esta mal, estoy abierto a seguir
aprendiendo así que corrijan si digo una cosa errónea.


Saludos.
Emiliano.


[1] https://help.ubuntu.com/community/Postfix/SPF
[2] http://www.openspf.org/Why?s=mfrom


--
Emiliano Vazquez | PcCentro Informatica & CCTV
Office: +54 (11) 4635-3218 y Rotativas
http://www.pccentro.com.ar

_______________________________________________
List de correo postfix-es para tratar temas del MTA postfix en español
[hidden email]
http://lists.wl0.org/mailman/listinfo/postfix-es
Reply | Threaded
Open this post in threaded view
|

Re: [postfix-es] En la lupa de un(os) Hacker(s)

Renzo RODRIGUEZ

+ 1



> Le 18 juin 2015 à 21:51, Emiliano Vazquez <[hidden email]> a écrit :
>
> El 18/06/15 a las 12:02, antonio escibió:
> > Puedes por ejm bloquear los intentos fallidos en los puertos
> > smtp,etc,etc con el "fail2ban".
> El problema que tiene no es intentos de autenticación fallidos. Lo que
> le pasa es que recibe mails como si fueran de sus servidores, para
> solucionar esto la mejor manera es usar SPF.
>
> La idea del SPF (perdón si no digo algo que sea tecnicamente correcto)
> es la siguiente:
>
> En el DNS uno configura el SPF, es un dato como el siguiente:
>
> "v=spf1 a mx ip4:190.190.190.190 ip4:190.190.190.191 -all"
>
> donde "ip4:190.190.190.190 "  es una ip que esta permitida para enviar
> en nombre de mi dominio mails  y "ip4:190.190.190.191" es otra IP que
> tiene permisos para enviar e-mails en nombre del dominio.
>
> Este dato anterior es útil unicamente si el servidor que recibe este
> mail (sea fraudulento o no) tiene configurado el checkeo del SPF. Que
> quiere decir esto? que el SPF es un dato que consultan los servidores al
> recibir el e-mail, no es un dato que sea obligatorio, por esto, quizás
> uno tiene bien configurado el SPF en su DNS y en su servidor, pero aún
> así, en otros servidores llegan mails de que son del dominio con el
> problema. No es algo que se pueda solucionar (creo) porque esta "falla
> en configuración" esta en el receptor y no en el emisor.
>
> Para configurar el SPF hay que mirar este link [1].
> Para comprobar si el DNS tiene bien configurado el SPF se puede probar
> con esto [2]
>
> El tener bien configurado el SPF en nuestros servidores permite recibir
> menos e-mails fraudulentos, ya que son descartados antes de pasar por
> otros checkeos que consumen recursos (este realmente no consume nada de
> nada).
>
> Espero haber sido claro, lo comento porque me tomo tiempo entender este
> tema, si algo de lo que digo esta mal, estoy abierto a seguir
> aprendiendo así que corrijan si digo una cosa errónea.
>
>
> Saludos.
> Emiliano.
>
>
> [1] https://help.ubuntu.com/community/Postfix/SPF
> [2] http://www.openspf.org/Why?s=mfrom
>
>
> --
> Emiliano Vazquez | PcCentro Informatica & CCTV
> Office: +54 (11) 4635-3218 y Rotativas
> http://www.pccentro.com.ar
>
> _______________________________________________
> List de correo postfix-es para tratar temas del MTA postfix en español
> [hidden email]
> http://lists.wl0.org/mailman/listinfo/postfix-es

__

Renzo RODRIGUEZ
Network & Systems Administrator
Tel: +33 (0)1 47 15 73 28
Fax: +33 (0)1 47 37 53 27

Cell: +33 (0)6 01 08 13 81

__

Coventya Holding SAS
Parc d'Activités des Chanteraines
7, rue du Commandant d'Estienne d'Orves - CS 30001
92396 Villeneuve-la-Garenne CEDEX - FRANCE
www.coventya.com
[hidden email]

Click on the logo/text and follow us:
http://www.linkedin.com/company/coventya-inc. LinkedIn https://twitter.com/coventya Twitter

_______________________________________________
List de correo postfix-es para tratar temas del MTA postfix en español
[hidden email]
http://lists.wl0.org/mailman/listinfo/postfix-es

Reply | Threaded
Open this post in threaded view
|

Re: [postfix-es] En la lupa de un(os) Hacker(s)

Cesar
In reply to this post by Guido Ignacio
@Guido Ignacio:
http://okean.com/antispam/iptables/iptables.html:

Tu sugerencia solo será de utilidad si el objetivo fuera bloquear (DROP)
mails por firewall a China y Korea, pero mi objetivo es otro.
De hecho tengo en mi firewall un complemento AddOn donde puedo generar
reglas por ciudades y/o paises, pero como ya dije, este no es el caso.

@Antonio:
Tu sugerencia de usar "fail2ban" solo será de utilidad si el objetivo fuera
bloquear intentos fallidos de autenticación al Servidor de Correo, pero como
en mi caso no hay autenticación, no me será de utilidad.
De hecho tengo Fail2ban configurado correctamente, me parece una muy
importante herramienta de protección, pero como ya dije, este no es el caso.

@Federico Alberto Sayd, y
@Emiliano Vazquez:
SPF en DNS y Mailscanner esta bien configurado y testeado.
De hecho, por esos mensajes indeseados que recibo, el reporte de mi filtro
de correo lo muestra como SPAM de alto puntaje, a continuación muestro el
reporte Anti-SPAM que le dió mi filtro de Correo a ese mensaje indeseado por
que no corresponde el registro SPF:

0.97  SPF_SOFTFAIL  SPF: sender does not match SPF record (softfail)

Por lo que pueden apreciar, que debido a que el remitente no tiene un
registro SPF, el filtro SPAM le da un puntaje de 0.97.

Por otro lado, como la IP del remitente del mensaje esta en listas RBLs, más
otros filtros que aplica mi Servidor de correo, finalmente llega el mensaje
con un puntaje total SPAM de: 11.502

Es por ello, que llego a la conclusión que mi Servidor de Correo y filtro
Anti-SPAM funciona perfectamente, y lo que yo necesito es crear a mano un
filtro adicional para "BLOQUEAR" (equivalente a DROP) los correos
provenientes de cualquier lugar del mundo siempre que coincida el nombre de
mis Dominios Virtuales de Correo creados en mi Servidor de Correo.

Espero la ayuda de alguien que pueda orientarme..... :-(

Saludos a todos y gracias
Cesar

----- Original Message -----
From: "Guido Ignacio" <[hidden email]>
To: "Cesar" <[hidden email]>
Cc: <[hidden email]>
Sent: Thursday, June 18, 2015 11:00 AM
Subject: Re: [postfix-es] En la lupa de un(os) Hacker(s)


http://okean.com/antispam/iptables/iptables.html

El día 18 de junio de 2015, 11:43, Cesar <[hidden email]> escribió:

> Hola a todos, gusto de saludarlos.
>
> Tengo un servidor de correo postfix el cual funciona perfectamente
> (incluido
> mailscanner, etc. etc.), un(os) hacker(s) están procurando atacarme, y
> quiero protegerme, me explicaré mejor a continuación:
>
> 1) Supongamos que tengo un Dominio de Correo llamado "elvendedor.com.mx"
>
> 2) De otros países un(os) hackers envían mensajes de correos con archivo
> adjunto, pero el dominio de correo del remitente coincide con el que yo he
> creado en mi Servidor de Correo, es decir "elvendedor.com.mx", mientras
> que
> el usuario remitente utilizado por este Hacker no existe en mi servidor de
> correo.
>
> 3) Revisando el reporte del filtro SPAM instalado en mi servidor de
> correo,
> veo que las direcciones IP de los remitentes del correo pertenecen a
> Vietnam, Japón y Emiratos Arabes, por lo que pienso que inclusive están
> usando la red "TOR" ó alguno similar, pero no me cabe duda que esos
> correos
> no provinieron de mi servidor de correo.
>
> 4) Como el filtro Anti-Spam está funcionando, lo reporta como SPAM de alto
> puntaje.
>
> 5) Hasta aquí encuentro que todos mis sistemas tienen un funcionamiento
> correcto, y que me hace falta agregar un filtro para evitar la recepción
> de
> tales mensajes de correos como lo describo arriba.
>
> Mi objetivo:
> Bloquear a ese(esos) gracioso(s) rechazando tales mensajes de correos
> (DROP).
>
> Ideas de estrategias que podría seguir:
> A) Configurar postfix para que no acepte correos de Dominios externos si
> son
> iguales a los Dominios de Correo configurados en mi mismo Servidor de
> Correo
> (este sería mi preferido, pues siendo así, mi servidor postfix desde el
> inicio rechaza tales correo y tendré menos consumo de recursos de Hardware
> por que el mensaje de correo ni siquiera pasaría por los filtros
> Anti-SPAM).
>
> B) Configurar Spamasassin para que haga tal rechazo (menos preferido por
> mi,
> debido a la carga de recursos de Hardware).
>
> C) Tal vez alguna otra opción que yo no me haya imaginado.
>
> Agradeceré la ayuda de quien me pueda orientar para activar un filtro que
> cumpla con mi objetivo.
>
> Saludos cordiales
> Cesar
>
>
>
>
> -----
> Best Regards
> Cesar
> --
> View this message in context:
> http://postfix.1071664.n5.nabble.com/En-la-lupa-de-un-os-Hacker-s-tp77714.html
> Sent from the Postfix España mailing list archive at Nabble.com.
> _______________________________________________
> List de correo postfix-es para tratar temas del MTA postfix en español
> [hidden email]
> http://lists.wl0.org/mailman/listinfo/postfix-es

_______________________________________________
List de correo postfix-es para tratar temas del MTA postfix en español
[hidden email]
http://lists.wl0.org/mailman/listinfo/postfix-es
Best Regards
Cesar
Reply | Threaded
Open this post in threaded view
|

Re: [postfix-es] En la lupa de un(os) Hacker(s)

David González Romero
In reply to this post by Cesar
Eso huele más a que tu server es Open Relay...

Un método bueno sería:

smtpd_helo_restrictions =
        permit_sasl_authenticated,
        permit_mynetworks,
        check_helo_access hash:/etc/postfix/helo_access,
#       reject_non_fqdn_helo_hostname,
#       reject_invalid_helo_hostname,
        permit

Donde /etc/postfix/helo_access
mail.tudominio.com.mx       REJECT
tu.num.ip.del.server          REJECT

smtpd_sender_restrictions =
        permit_sasl_authenticated,
        permit_mynetworks,
        reject_unauth_destination,
        reject_unknown_sender_domain,
        reject_non_fqdn_sender,
        #DNSBLs:
        reject_rbl_client dnsbl.sorbs.net,
        reject_rbl_client bl.spamcop.net,
        reject_rbl_client sbl.spamhaus.org,
        #reject_rbl_client combined.njabl.org,
        reject_rbl_client b.barracudacentral.org,
        hash:/etc/postfix/reject,
        permit

Donde: /etc/postfix/reject
tudominio.com.mx    REJECT

Con esto logras que NADIE tome tu Identidad para enviar a traves de ti mismo.

Saludos,
David
_______________________________________________
List de correo postfix-es para tratar temas del MTA postfix en español
[hidden email]
http://lists.wl0.org/mailman/listinfo/postfix-es
Reply | Threaded
Open this post in threaded view
|

Re: [postfix-es] En la lupa de un(os) Hacker(s)

Emiliano Vazquez
In reply to this post by Cesar
El 18/06/15 a las 17:58, Cesar Peschiera escibió:
> 0.97  SPF_SOFTFAIL  SPF: sender does not match SPF record (softfail)
Cesar, este filtro se aplica después del SPF y consume recursos, es un
proceso de CPU intensivo.

Este bloqueo lo hace postfix antes de cruzar otros filtros más "caros",
te muestro el log de hoy, de un intento fallido de un mail:

Jun 18 03:35:58 mail3 postfix/smtpd[8661]: NOQUEUE: reject: RCPT from
host162-143-static.82-213-b.business.telecomitalia.it[213.82.143.162]:
550 5.7.1 <[hidden email]>: Recipient address rejected: Please
see
http://www.openspf.net/Why?s=mfrom;id=franciscopqcw%40business.telecomitalia.it;ip=213.82.143.162;r=mail3.midominio.com; 
from=<[hidden email]>
to=<[hidden email]> proto=ESMTP
helo=<host162-143-static.82-213-b.business.telecomitalia.it>

El dominio business.telecomitalia.it no acepta que envien en su nombre
mails y en este caso, como en mi servidor el SPF esta configurado el
mail no llega a los filtros de SPAM, RBL ni Antivirus.

> Por lo que pueden apreciar, que debido a que el remitente no tiene un
> registro SPF, el filtro SPAM le da un puntaje de 0.97.
Esto a mi gusto consume CPU, pero si, sigue siendo válido.

>
> Por otro lado, como la IP del remitente del mensaje esta en listas
> RBLs, más
> otros filtros que aplica mi Servidor de correo, finalmente llega el
> mensaje
> con un puntaje total SPAM de: 11.502
Para mí, si esta en una RBL no lo dejo llegar a otro filtro, drop de una
sin dudas, no lo dejo "sumar puntos".


>
> Es por ello, que llego a la conclusión que mi Servidor de Correo y filtro
> Anti-SPAM funciona perfectamente, y lo que yo necesito es crear a mano un
> filtro adicional para "BLOQUEAR" (equivalente a DROP) los correos
> provenientes de cualquier lugar del mundo siempre que coincida el
> nombre de
> mis Dominios Virtuales de Correo creados en mi Servidor de Correo.
Vos esto ya lo estas haciendo, al marcarlo como SPAM. Si tu idea es que
el mail no llegue aplica el filtro SPF como te comento, en el mail.cf
dentro de "smtpd_recipient_restrictions"  una linea como esta:

check_policy_service unix:private/policy-spf


Lo que no vas a poder hacer es evitar que otros servidores en los que no
existen los chequeos de SPF "tu" mail llegue a destino. Digo "tu" mail
porque ese mail para el otro va a ser tu dominio. Pero acá no podemos
hacer nada de nada.

>
> Espero la ayuda de alguien que pueda orientarme.....
>
> Saludos a todos y gracias
No se si te puedo ayudar mucho, pero por lo menos lo intento!

Saludos.

Emiliano.




--
Emiliano Vazquez | PcCentro Informatica & CCTV
Office: +54 (11) 4635-3218 y Rotativas
http://www.pccentro.com.ar

_______________________________________________
List de correo postfix-es para tratar temas del MTA postfix en español
[hidden email]
http://lists.wl0.org/mailman/listinfo/postfix-es
Reply | Threaded
Open this post in threaded view
|

Re: [postfix-es] En la lupa de un(os) Hacker(s)

Emiliano Vazquez
In reply to this post by antonio
El 18/06/15 a las 12:02, antonio escibió:
En mi caso, como mis usuarios solo se loguean con ips de mi país, entonces en el main.cf en la línea "mynetwoks=" solo habilito rangos de mi pais.
Antonio:

En mynetworks no tenes que poner IPs que no sean tuyas, si no me equivoco serías como un OpenRelay "nacional" (solo para tu pais).

La forma de que tus clientes puedan enviar e-mails es usando autenticación.


Saludos.

Emiliano.

-- 
Emiliano Vazquez | PcCentro Informatica & CCTV
Office: +54 (11) 4635-3218 y Rotativas
http://www.pccentro.com.ar

_______________________________________________
List de correo postfix-es para tratar temas del MTA postfix en español
[hidden email]
http://lists.wl0.org/mailman/listinfo/postfix-es
Reply | Threaded
Open this post in threaded view
|

Re: [postfix-es] En la lupa de un(os) Hacker(s)

Cesar
Mis usuarios forzosamente deben autenticar contra el Servidor de Correo para enviar correos, y es más, cuando se trata de notebooks que salen de la empresa, la autenticación solo es posible sobre conexiones cifradas, entonces, mi Servidor de Correo no es un OpenRelay ni siquiera en mi propio pais. Pero yo estoy hablando de correos entrantes, no salientes.
 
Saludos cordiales
Cesar
 
 
----- Original Message -----
Sent: Thursday, June 18, 2015 5:30 PM
Subject: Re: [postfix-es] En la lupa de un(os) Hacker(s)

El 18/06/15 a las 12:02, antonio escibió:
En mi caso, como mis usuarios solo se loguean con ips de mi país, entonces en el main.cf en la línea "mynetwoks=" solo habilito rangos de mi pais.
Antonio:

En mynetworks no tenes que poner IPs que no sean tuyas, si no me equivoco serías como un OpenRelay "nacional" (solo para tu pais).

La forma de que tus clientes puedan enviar e-mails es usando autenticación.


Saludos.

Emiliano.

-- 
Emiliano Vazquez | PcCentro Informatica & CCTV
Office: +54 (11) 4635-3218 y Rotativas
http://www.pccentro.com.ar


_______________________________________________
List de correo postfix-es para tratar temas del MTA postfix en español
[hidden email]
http://lists.wl0.org/mailman/listinfo/postfix-es

_______________________________________________
List de correo postfix-es para tratar temas del MTA postfix en español
[hidden email]
http://lists.wl0.org/mailman/listinfo/postfix-es
Best Regards
Cesar
Reply | Threaded
Open this post in threaded view
|

Re: [postfix-es] En la lupa de un(os) Hacker(s)

Emiliano Vazquez
El 18/06/15 a las 18:37, Cesar Peschiera escibió:
Mis usuarios forzosamente deben autenticar contra el Servidor de Correo para enviar correos, y es más, cuando se trata de notebooks que salen de la empresa, la autenticación solo es posible sobre conexiones cifradas, entonces, mi Servidor de Correo no es un OpenRelay ni siquiera en mi propio pais. Pero yo estoy hablando de correos entrantes, no salientes.
 
Cesar, el mensaje era para Antonio, que escribio esto:

El 18/06/15 a las 12:02, antonio escibió:
En mi caso, como mis usuarios solo se loguean con ips de mi país, entonces en el main.cf en la línea "mynetwoks=" solo habilito rangos de mi pais.


Saludos y sigamos hablando que esta lista tiene poco movimiento y no se lo merece!

Emiliano.

-- 
Emiliano Vazquez | PcCentro Informatica & CCTV
Office: +54 (11) 4635-3218 y Rotativas
http://www.pccentro.com.ar

_______________________________________________
List de correo postfix-es para tratar temas del MTA postfix en español
[hidden email]
http://lists.wl0.org/mailman/listinfo/postfix-es
Reply | Threaded
Open this post in threaded view
|

Re: [postfix-es] En la lupa de un(os) Hacker(s)

Cesar
In reply to this post by Emiliano Vazquez
> check_policy_service unix:private/policy-spf

Sospecho que a esta condición le falta la regla DROP a aplicar.
Por otro lado, no todos los Servidores DNS tienen un registro SPF
configurado, por lo que no quisiera aplicar una regla DROP debido a que el
correo podría ser importante para el destinatario.

Lo que me conlleva a formular la siguiente pregunta: ¿tiene postfix un
filtro que bloquee los mensajes de correo provenientes de Internet cuando el
Dominio coincide con el mismo Dominio de mi Servidor de Correo?

Saludos cordiales
Cesar

----- Original Message -----
From: "Emiliano Vazquez" <[hidden email]>
To: <[hidden email]>
Sent: Thursday, June 18, 2015 5:28 PM
Subject: Re: [postfix-es] En la lupa de un(os) Hacker(s)


El 18/06/15 a las 17:58, Cesar Peschiera escibió:
> 0.97  SPF_SOFTFAIL  SPF: sender does not match SPF record (softfail)
Cesar, este filtro se aplica después del SPF y consume recursos, es un
proceso de CPU intensivo.

Este bloqueo lo hace postfix antes de cruzar otros filtros más "caros",
te muestro el log de hoy, de un intento fallido de un mail:

Jun 18 03:35:58 mail3 postfix/smtpd[8661]: NOQUEUE: reject: RCPT from
host162-143-static.82-213-b.business.telecomitalia.it[213.82.143.162]:
550 5.7.1 <[hidden email]>: Recipient address rejected: Please
see
http://www.openspf.net/Why?s=mfrom;id=franciscopqcw%40business.telecomitalia.it;ip=213.82.143.162;r=mail3.midominio.com;
from=<[hidden email]>
to=<[hidden email]> proto=ESMTP
helo=<host162-143-static.82-213-b.business.telecomitalia.it>

El dominio business.telecomitalia.it no acepta que envien en su nombre
mails y en este caso, como en mi servidor el SPF esta configurado el
mail no llega a los filtros de SPAM, RBL ni Antivirus.

> Por lo que pueden apreciar, que debido a que el remitente no tiene un
> registro SPF, el filtro SPAM le da un puntaje de 0.97.
Esto a mi gusto consume CPU, pero si, sigue siendo válido.

>
> Por otro lado, como la IP del remitente del mensaje esta en listas RBLs,
> más
> otros filtros que aplica mi Servidor de correo, finalmente llega el
> mensaje
> con un puntaje total SPAM de: 11.502
Para mí, si esta en una RBL no lo dejo llegar a otro filtro, drop de una
sin dudas, no lo dejo "sumar puntos".


>
> Es por ello, que llego a la conclusión que mi Servidor de Correo y filtro
> Anti-SPAM funciona perfectamente, y lo que yo necesito es crear a mano un
> filtro adicional para "BLOQUEAR" (equivalente a DROP) los correos
> provenientes de cualquier lugar del mundo siempre que coincida el nombre
> de
> mis Dominios Virtuales de Correo creados en mi Servidor de Correo.
Vos esto ya lo estas haciendo, al marcarlo como SPAM. Si tu idea es que
el mail no llegue aplica el filtro SPF como te comento, en el mail.cf
dentro de "smtpd_recipient_restrictions"  una linea como esta:

check_policy_service unix:private/policy-spf


Lo que no vas a poder hacer es evitar que otros servidores en los que no
existen los chequeos de SPF "tu" mail llegue a destino. Digo "tu" mail
porque ese mail para el otro va a ser tu dominio. Pero acá no podemos
hacer nada de nada.

>
> Espero la ayuda de alguien que pueda orientarme.....
>
> Saludos a todos y gracias
No se si te puedo ayudar mucho, pero por lo menos lo intento!

Saludos.

Emiliano.




--
Emiliano Vazquez | PcCentro Informatica & CCTV
Office: +54 (11) 4635-3218 y Rotativas
http://www.pccentro.com.ar

_______________________________________________
List de correo postfix-es para tratar temas del MTA postfix en español
[hidden email]
http://lists.wl0.org/mailman/listinfo/postfix-es 

_______________________________________________
List de correo postfix-es para tratar temas del MTA postfix en español
[hidden email]
http://lists.wl0.org/mailman/listinfo/postfix-es
Best Regards
Cesar
Reply | Threaded
Open this post in threaded view
|

Re: [postfix-es] En la lupa de un(os) Hacker(s)

Michel Coca Marin
La respuesta es sí... te lo mando mañana por aquí mismo, te entiendo  
ya pase por ahí... ahora no estoy en la oficina...

saludos!!!

Cesar Peschiera <[hidden email]> escribió:

>> check_policy_service unix:private/policy-spf
>
> Sospecho que a esta condición le falta la regla DROP a aplicar.
> Por otro lado, no todos los Servidores DNS tienen un registro SPF  
> configurado, por lo que no quisiera aplicar una regla DROP debido a  
> que el correo podría ser importante para el destinatario.
>
> Lo que me conlleva a formular la siguiente pregunta: ¿tiene postfix  
> un filtro que bloquee los mensajes de correo provenientes de  
> Internet cuando el Dominio coincide con el mismo Dominio de mi  
> Servidor de Correo?
>
> Saludos cordiales
> Cesar
>
> ----- Original Message ----- From: "Emiliano Vazquez"  
> <[hidden email]>
> To: <[hidden email]>
> Sent: Thursday, June 18, 2015 5:28 PM
> Subject: Re: [postfix-es] En la lupa de un(os) Hacker(s)
>
>
> El 18/06/15 a las 17:58, Cesar Peschiera escibió:
>> 0.97  SPF_SOFTFAIL  SPF: sender does not match SPF record (softfail)
> Cesar, este filtro se aplica después del SPF y consume recursos, es un
> proceso de CPU intensivo.
>
> Este bloqueo lo hace postfix antes de cruzar otros filtros más "caros",
> te muestro el log de hoy, de un intento fallido de un mail:
>
> Jun 18 03:35:58 mail3 postfix/smtpd[8661]: NOQUEUE: reject: RCPT from
> host162-143-static.82-213-b.business.telecomitalia.it[213.82.143.162]:
> 550 5.7.1 <[hidden email]>: Recipient address rejected: Please
> see
> http://www.openspf.net/Why?s=mfrom;id=franciscopqcw%40business.telecomitalia.it;ip=213.82.143.162;r=mail3.midominio.com;
> from=<[hidden email]>
> to=<[hidden email]> proto=ESMTP
> helo=<host162-143-static.82-213-b.business.telecomitalia.it>
>
> El dominio business.telecomitalia.it no acepta que envien en su nombre
> mails y en este caso, como en mi servidor el SPF esta configurado el
> mail no llega a los filtros de SPAM, RBL ni Antivirus.
>
>> Por lo que pueden apreciar, que debido a que el remitente no tiene un
>> registro SPF, el filtro SPAM le da un puntaje de 0.97.
> Esto a mi gusto consume CPU, pero si, sigue siendo válido.
>
>>
>> Por otro lado, como la IP del remitente del mensaje esta en listas RBLs, más
>> otros filtros que aplica mi Servidor de correo, finalmente llega el mensaje
>> con un puntaje total SPAM de: 11.502
> Para mí, si esta en una RBL no lo dejo llegar a otro filtro, drop de una
> sin dudas, no lo dejo "sumar puntos".
>
>
>>
>> Es por ello, que llego a la conclusión que mi Servidor de Correo y filtro
>> Anti-SPAM funciona perfectamente, y lo que yo necesito es crear a mano un
>> filtro adicional para "BLOQUEAR" (equivalente a DROP) los correos
>> provenientes de cualquier lugar del mundo siempre que coincida el nombre de
>> mis Dominios Virtuales de Correo creados en mi Servidor de Correo.
> Vos esto ya lo estas haciendo, al marcarlo como SPAM. Si tu idea es que
> el mail no llegue aplica el filtro SPF como te comento, en el mail.cf
> dentro de "smtpd_recipient_restrictions"  una linea como esta:
>
> check_policy_service unix:private/policy-spf
>
>
> Lo que no vas a poder hacer es evitar que otros servidores en los que no
> existen los chequeos de SPF "tu" mail llegue a destino. Digo "tu" mail
> porque ese mail para el otro va a ser tu dominio. Pero acá no podemos
> hacer nada de nada.
>
>>
>> Espero la ayuda de alguien que pueda orientarme.....
>>
>> Saludos a todos y gracias
> No se si te puedo ayudar mucho, pero por lo menos lo intento!
>
> Saludos.
>
> Emiliano.
>
>
>
>
> --
> Emiliano Vazquez | PcCentro Informatica & CCTV
> Office: +54 (11) 4635-3218 y Rotativas
> http://www.pccentro.com.ar
>
> _______________________________________________
> List de correo postfix-es para tratar temas del MTA postfix en español
> [hidden email]
> http://lists.wl0.org/mailman/listinfo/postfix-es 
> _______________________________________________
> List de correo postfix-es para tratar temas del MTA postfix en español
> [hidden email]
> http://lists.wl0.org/mailman/listinfo/postfix-es


--
*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*
Ing. Michel F. Coca Marin

J' Dpto de Redes e infocomunicaciones del INDER

Telf: 8555904 Atencion al Cliente: 8555719
*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*


XVI Forum de Base del Coliseo: 30 de junio y 1ro de julio.
Segunda Etapa de AFIDE 2015
  TEMATICAS:
   a.. Ahorro de energia y sustitucion de importaciones.
   b.. Medio Ambiente.
   c.. Economia.
   d.. Temas del encargo social del organismo.
Envia tu resumen en una cuartilla a [hidden email]

_______________________________________________
List de correo postfix-es para tratar temas del MTA postfix en español
[hidden email]
http://lists.wl0.org/mailman/listinfo/postfix-es
Reply | Threaded
Open this post in threaded view
|

Re: [postfix-es] En la lupa de un(os) Hacker(s)

Cesar
In reply to this post by Emiliano Vazquez
Oh!, disculpas por el mal entendido
 
Saludos cordiales
Cesar
----- Original Message -----
Sent: Thursday, June 18, 2015 5:49 PM
Subject: Re: [postfix-es] En la lupa de un(os) Hacker(s)

El 18/06/15 a las 18:37, Cesar Peschiera escibió:
Mis usuarios forzosamente deben autenticar contra el Servidor de Correo para enviar correos, y es más, cuando se trata de notebooks que salen de la empresa, la autenticación solo es posible sobre conexiones cifradas, entonces, mi Servidor de Correo no es un OpenRelay ni siquiera en mi propio pais. Pero yo estoy hablando de correos entrantes, no salientes.
 
Cesar, el mensaje era para Antonio, que escribio esto:

El 18/06/15 a las 12:02, antonio escibió:
En mi caso, como mis usuarios solo se loguean con ips de mi país, entonces en el main.cf en la línea "mynetwoks=" solo habilito rangos de mi pais.


Saludos y sigamos hablando que esta lista tiene poco movimiento y no se lo merece!

Emiliano.

-- 
Emiliano Vazquez | PcCentro Informatica & CCTV
Office: +54 (11) 4635-3218 y Rotativas
http://www.pccentro.com.ar

_______________________________________________
List de correo postfix-es para tratar temas del MTA postfix en español
[hidden email]
http://lists.wl0.org/mailman/listinfo/postfix-es
Best Regards
Cesar
Reply | Threaded
Open this post in threaded view
|

Re: [postfix-es] En la lupa de un(os) Hacker(s)

Emiliano Vazquez
In reply to this post by Cesar
El 18/06/15 a las 18:54, Cesar Peschiera escibió:
> Sospecho que a esta condición le falta la regla DROP a aplicar.
> Por otro lado, no todos los Servidores DNS tienen un registro SPF
> configurado, por lo que no quisiera aplicar una regla DROP debido a
> que el correo podría ser importante para el destinatario.
Entiendo tu punto y es válido, pero realmente considero que lo que
debemos hacer entre todos los que tenemos algún servidor de mails es
mínimamente cumplir con las normas básicas de seguridad, creo que hoy el
SPF ha pasado a ser importante, yo de esta manera corte el ingreso de
SPAM de manera considerable.
Vas a tener casos particulares en los que uno debe permitir el ingreso
[1], pero aún así me parece que es mejor esto que dejar la canilla
abierta a que entren mails de cualquier lado. El filtro SPF es más duro
al castigar (drop puro) que un filtro bayesiano, pero prefiero mil veces
entablar una charla con un colega para que corrija su servidor y use SPF
(o permitir un caso particular) a lidiar con tanta basura que da vuelta
por la red.


>
> Lo que me conlleva a formular la siguiente pregunta: ¿tiene postfix un
> filtro que bloquee los mensajes de correo provenientes de Internet
> cuando el Dominio coincide con el mismo Dominio de mi Servidor de Correo?
>
> Saludos cordiales
> Cesar
No creo que uno pueda armar una lista negra en donde hace un check de
los dominios que uno desea, pero sinceramente no lo investigué, pensando
bien, algo debe de poder hacerce.


Saludos
Emiliano.



[1] http://www.criten.org/2012/01/whitelists-in-postfix/

--
Emiliano Vazquez | PcCentro Informatica & CCTV
Office: +54 (11) 4635-3218 y Rotativas
http://www.pccentro.com.ar

_______________________________________________
List de correo postfix-es para tratar temas del MTA postfix en español
[hidden email]
http://lists.wl0.org/mailman/listinfo/postfix-es
Reply | Threaded
Open this post in threaded view
|

Re: [postfix-es] En la lupa de un(os) Hacker(s)

Emiliano Vazquez
In reply to this post by David González Romero
El 18/06/15 a las 18:22, David González Romero escibió:
> Eso huele más a que tu server es Open Relay...
Hola David, porque motivo podría ser un open relay? hablas del caso de
quien de todos los que estamos hablando aca? por favor, comenta un poco
más que es interesante tu comentario.


> Un método bueno sería:
>
> smtpd_helo_restrictions =
>          permit_sasl_authenticated,
>          permit_mynetworks,
>          check_helo_access hash:/etc/postfix/helo_access,
> #       reject_non_fqdn_helo_hostname,
> #       reject_invalid_helo_hostname,
>          permit
>
> Donde /etc/postfix/helo_access
> mail.tudominio.com.mx       REJECT
> tu.num.ip.del.server          REJECT
>
> smtpd_sender_restrictions =
>          permit_sasl_authenticated,
>          permit_mynetworks,
>          reject_unauth_destination,
>          reject_unknown_sender_domain,
>          reject_non_fqdn_sender,
>          #DNSBLs:
>          reject_rbl_client dnsbl.sorbs.net,
>          reject_rbl_client bl.spamcop.net,
>          reject_rbl_client sbl.spamhaus.org,
>          #reject_rbl_client combined.njabl.org,
>          reject_rbl_client b.barracudacentral.org,
>          hash:/etc/postfix/reject,
>          permit
>
> Donde: /etc/postfix/reject
> tudominio.com.mx    REJECT
Es una muy buena idea.


>
> Con esto logras que NADIE tome tu Identidad para enviar a traves de ti mismo.
Estoy de acuerdo con vos, pero creo que lo que le pasa a Cesar es que
recibe esos mails en sus propias cuentas. Cesar, corregime si estoy
equivocado.


Saludos!
Emiliano.


--
Emiliano Vazquez | PcCentro Informatica & CCTV
Office: +54 (11) 4635-3218 y Rotativas
http://www.pccentro.com.ar

_______________________________________________
List de correo postfix-es para tratar temas del MTA postfix en español
[hidden email]
http://lists.wl0.org/mailman/listinfo/postfix-es
Reply | Threaded
Open this post in threaded view
|

Re: [postfix-es] En la lupa de un(os) Hacker(s)

Cesar
In reply to this post by Michel Coca Marin
>La respuesta es sí... te lo mando mañana por aquí mismo, te entiendo  ya
>pase por ahí... ahora no estoy en la oficina...

Oh, que bueno!!!, muchas gracias, y te agradecería bastante si en tu
respuesta puedes incluir:
1) En que archivo de configuración debo aplicarla,
2) Un ejemplo con la configuración exacta que debo incluir,
3) Tal inclusión debe estar antes ó después de que líneas de configuración,
y finalmente:
4) Como tengo 2 dominios virtuales de correo en un mismo servidor, que el
ejemplo sea aplicable a 2 dominios virtuales de correo.

Saludos cordiales
Cesar

----- Original Message -----
From: "Michel Coca Marin" <[hidden email]>
To: <[hidden email]>
Sent: Thursday, June 18, 2015 6:00 PM
Subject: Re: [postfix-es] En la lupa de un(os) Hacker(s)


La respuesta es sí... te lo mando mañana por aquí mismo, te entiendo
ya pase por ahí... ahora no estoy en la oficina...

saludos!!!

Cesar Peschiera <[hidden email]> escribió:

>> check_policy_service unix:private/policy-spf
>
> Sospecho que a esta condición le falta la regla DROP a aplicar.
> Por otro lado, no todos los Servidores DNS tienen un registro SPF
> configurado, por lo que no quisiera aplicar una regla DROP debido a  que
> el correo podría ser importante para el destinatario.
>
> Lo que me conlleva a formular la siguiente pregunta: ¿tiene postfix  un
> filtro que bloquee los mensajes de correo provenientes de  Internet cuando
> el Dominio coincide con el mismo Dominio de mi  Servidor de Correo?
>
> Saludos cordiales
> Cesar
>
> ----- Original Message ----- From: "Emiliano Vazquez"
> <[hidden email]>
> To: <[hidden email]>
> Sent: Thursday, June 18, 2015 5:28 PM
> Subject: Re: [postfix-es] En la lupa de un(os) Hacker(s)
>
>
> El 18/06/15 a las 17:58, Cesar Peschiera escibió:
>> 0.97  SPF_SOFTFAIL  SPF: sender does not match SPF record (softfail)
> Cesar, este filtro se aplica después del SPF y consume recursos, es un
> proceso de CPU intensivo.
>
> Este bloqueo lo hace postfix antes de cruzar otros filtros más "caros",
> te muestro el log de hoy, de un intento fallido de un mail:
>
> Jun 18 03:35:58 mail3 postfix/smtpd[8661]: NOQUEUE: reject: RCPT from
> host162-143-static.82-213-b.business.telecomitalia.it[213.82.143.162]:
> 550 5.7.1 <[hidden email]>: Recipient address rejected: Please
> see
> http://www.openspf.net/Why?s=mfrom;id=franciscopqcw%40business.telecomitalia.it;ip=213.82.143.162;r=mail3.midominio.com;
> from=<[hidden email]>
> to=<[hidden email]> proto=ESMTP
> helo=<host162-143-static.82-213-b.business.telecomitalia.it>
>
> El dominio business.telecomitalia.it no acepta que envien en su nombre
> mails y en este caso, como en mi servidor el SPF esta configurado el
> mail no llega a los filtros de SPAM, RBL ni Antivirus.
>
>> Por lo que pueden apreciar, que debido a que el remitente no tiene un
>> registro SPF, el filtro SPAM le da un puntaje de 0.97.
> Esto a mi gusto consume CPU, pero si, sigue siendo válido.
>
>>
>> Por otro lado, como la IP del remitente del mensaje esta en listas RBLs,
>> más
>> otros filtros que aplica mi Servidor de correo, finalmente llega el
>> mensaje
>> con un puntaje total SPAM de: 11.502
> Para mí, si esta en una RBL no lo dejo llegar a otro filtro, drop de una
> sin dudas, no lo dejo "sumar puntos".
>
>
>>
>> Es por ello, que llego a la conclusión que mi Servidor de Correo y filtro
>> Anti-SPAM funciona perfectamente, y lo que yo necesito es crear a mano un
>> filtro adicional para "BLOQUEAR" (equivalente a DROP) los correos
>> provenientes de cualquier lugar del mundo siempre que coincida el nombre
>> de
>> mis Dominios Virtuales de Correo creados en mi Servidor de Correo.
> Vos esto ya lo estas haciendo, al marcarlo como SPAM. Si tu idea es que
> el mail no llegue aplica el filtro SPF como te comento, en el mail.cf
> dentro de "smtpd_recipient_restrictions"  una linea como esta:
>
> check_policy_service unix:private/policy-spf
>
>
> Lo que no vas a poder hacer es evitar que otros servidores en los que no
> existen los chequeos de SPF "tu" mail llegue a destino. Digo "tu" mail
> porque ese mail para el otro va a ser tu dominio. Pero acá no podemos
> hacer nada de nada.
>
>>
>> Espero la ayuda de alguien que pueda orientarme.....
>>
>> Saludos a todos y gracias
> No se si te puedo ayudar mucho, pero por lo menos lo intento!
>
> Saludos.
>
> Emiliano.
>
>
>
>
> --
> Emiliano Vazquez | PcCentro Informatica & CCTV
> Office: +54 (11) 4635-3218 y Rotativas
> http://www.pccentro.com.ar
>
> _______________________________________________
> List de correo postfix-es para tratar temas del MTA postfix en español
> [hidden email]
> http://lists.wl0.org/mailman/listinfo/postfix-es
> _______________________________________________
> List de correo postfix-es para tratar temas del MTA postfix en español
> [hidden email]
> http://lists.wl0.org/mailman/listinfo/postfix-es


--
*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*
Ing. Michel F. Coca Marin

J' Dpto de Redes e infocomunicaciones del INDER

Telf: 8555904 Atencion al Cliente: 8555719
*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*


XVI Forum de Base del Coliseo: 30 de junio y 1ro de julio.
Segunda Etapa de AFIDE 2015
  TEMATICAS:
   a.. Ahorro de energia y sustitucion de importaciones.
   b.. Medio Ambiente.
   c.. Economia.
   d.. Temas del encargo social del organismo.
Envia tu resumen en una cuartilla a [hidden email]

_______________________________________________
List de correo postfix-es para tratar temas del MTA postfix en español
[hidden email]
http://lists.wl0.org/mailman/listinfo/postfix-es

_______________________________________________
List de correo postfix-es para tratar temas del MTA postfix en español
[hidden email]
http://lists.wl0.org/mailman/listinfo/postfix-es
Best Regards
Cesar
Reply | Threaded
Open this post in threaded view
|

Re: [postfix-es] En la lupa de un(os) Hacker(s)

Cesar
In reply to this post by David González Romero
@David:

Gracias por tu mensaje David, pero mi Servidor de Correo esta configurado
con autenticación y cifrado, por lo que no se encuentra como un OpenRelay,
además estoy hablando de correos entrantes y no salientes.

Saludos cordiales
Cesar

----- Original Message -----
From: "David González Romero" <[hidden email]>
To: <[hidden email]>
Sent: Thursday, June 18, 2015 5:22 PM
Subject: Re: [postfix-es] En la lupa de un(os) Hacker(s)


Eso huele más a que tu server es Open Relay...

Un método bueno sería:

smtpd_helo_restrictions =
        permit_sasl_authenticated,
        permit_mynetworks,
        check_helo_access hash:/etc/postfix/helo_access,
#       reject_non_fqdn_helo_hostname,
#       reject_invalid_helo_hostname,
        permit

Donde /etc/postfix/helo_access
mail.tudominio.com.mx       REJECT
tu.num.ip.del.server          REJECT

smtpd_sender_restrictions =
        permit_sasl_authenticated,
        permit_mynetworks,
        reject_unauth_destination,
        reject_unknown_sender_domain,
        reject_non_fqdn_sender,
        #DNSBLs:
        reject_rbl_client dnsbl.sorbs.net,
        reject_rbl_client bl.spamcop.net,
        reject_rbl_client sbl.spamhaus.org,
        #reject_rbl_client combined.njabl.org,
        reject_rbl_client b.barracudacentral.org,
        hash:/etc/postfix/reject,
        permit

Donde: /etc/postfix/reject
tudominio.com.mx    REJECT

Con esto logras que NADIE tome tu Identidad para enviar a traves de ti
mismo.

Saludos,
David
_______________________________________________
List de correo postfix-es para tratar temas del MTA postfix en español
[hidden email]
http://lists.wl0.org/mailman/listinfo/postfix-es 

_______________________________________________
List de correo postfix-es para tratar temas del MTA postfix en español
[hidden email]
http://lists.wl0.org/mailman/listinfo/postfix-es
Best Regards
Cesar
12