Restringindo envio entre contas locais na porta 25

Previous Topic Next Topic
 
classic Classic list List threaded Threaded
4 messages Options
Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Restringindo envio entre contas locais na porta 25

Bruno de Paula Larini
Olá a todos da lista.

Enquanto fazia alguns testes em uma instalação com CentOS 7.3 + postfix
2.10, vi que se eu realizasse um envio a partir de uma rede não
confiável utilizando no FROM qualquer conta válida e no TO outra conta
válida, pela porta 25 e sem autenticar o envio era bem sucedido, mas que
não é o que eu gostaria que acontecesse, já que em meu teste qualquer
usuário válido deveria se autenticar antes de enviar.

Então pesquisei uma maneira de realizar essa restrição e encontrei o
seguinte:
- adicionar "check_sender_access hash:/etc/postfix/local_domains" a
smtpd_recipient_restrictions (depois de permit_mynetworks e de
permit_sasl_authenticated)
- adicionar "meu.dominio.com REJECT" ao arquivo /etc/postfix/local_domains
- executar "postmap /etc/postfix/local_domains" sempre que alterar esse
arquivo

Com isso, consegui realizar a essa restrição de envio entre contas
locais na porta 25, enquanto que autenticando o envio é bem sucedido.
Porém um detalhe me incomodou: ao tentar realizar o envio entre contas
locais pela porta 25 sem autenticar, enquanto essa diretiva está
configurada, a mensagem registrada em log é: Sender address rejected:
Server configuration error;
A mensagem diz que o envio não foi aceito devido a um erro de
configuração no servidor, embora a ação de rejeitar é o que eu espero
que aconteça.

Sendo assim minha pergunta é: essa é a boa prática para realizar esse
tipo de restrição? Devo ignorar a mensagem que diz que há um erro na
configuração do servidor?

Obrigado!


_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br
Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: Restringindo envio entre contas locais na porta 25

Rafael Turazzi
Olá Bruno,

Será que a opção de mynetworks não esta configurada com sua rede local e habilitado o envio sem autenticação? Pode ser isso.

Basicamente nas minhas configurações, uso somente o localhost para envio sem autenticação, e demais, mesmo que de servidores (DMZ) ou LAN é obrigatória a autenticação.

Pode colocar a saída do main.cf aqui?

2017-01-24 17:46 GMT-02:00 Bruno de Paula Larini <[hidden email]>:
Olá a todos da lista.

Enquanto fazia alguns testes em uma instalação com CentOS 7.3 + postfix 2.10, vi que se eu realizasse um envio a partir de uma rede não confiável utilizando no FROM qualquer conta válida e no TO outra conta válida, pela porta 25 e sem autenticar o envio era bem sucedido, mas que não é o que eu gostaria que acontecesse, já que em meu teste qualquer usuário válido deveria se autenticar antes de enviar.

Então pesquisei uma maneira de realizar essa restrição e encontrei o seguinte:
- adicionar "check_sender_access hash:/etc/postfix/local_domains" a smtpd_recipient_restrictions (depois de permit_mynetworks e de permit_sasl_authenticated)
- adicionar "meu.dominio.com REJECT" ao arquivo /etc/postfix/local_domains
- executar "postmap /etc/postfix/local_domains" sempre que alterar esse arquivo

Com isso, consegui realizar a essa restrição de envio entre contas locais na porta 25, enquanto que autenticando o envio é bem sucedido.
Porém um detalhe me incomodou: ao tentar realizar o envio entre contas locais pela porta 25 sem autenticar, enquanto essa diretiva está configurada, a mensagem registrada em log é: Sender address rejected: Server configuration error;
A mensagem diz que o envio não foi aceito devido a um erro de configuração no servidor, embora a ação de rejeitar é o que eu espero que aconteça.

Sendo assim minha pergunta é: essa é a boa prática para realizar esse tipo de restrição? Devo ignorar a mensagem que diz que há um erro na configuração do servidor?

Obrigado!


_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br



--
-----
Rafael Turazzi Moreira


_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br
Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: Restringindo envio entre contas locais na porta 25

Bruno de Paula Larini
In reply to this post by Bruno de Paula Larini
Olá Rafael, obrigado pela resposta.
Com relação a políticas de envio ele já está funcionando da maneira
esperada: envio sem autenticação a partir de redes conhecidas, envio
autenticado obrigatório de outros lugares e negar uma entrega local caso
seja feito pela porta 25 de uma rede não conhecida utilizando uma conta
local como remetente.

O problema era a mensagem que retornava (Server configuration error) no
caso que mencionei, mas vi que o erro foi meu. Pensei que tinha
executado o comando "postmap", mas não tinha. Isso parece ser necessário
pois a diretiva especifica um arquivo junto a "hash:". Sendo assim, ele
espera ler um arquivo com o mesmo nome mas com ".db" no final, mas ele
não existia (daí a mensagem). Após executar o comando, a mensagem que
retorna é mais amigável: "Sender address rejected: Access denied".

Agora, o por que de ter funcionado mesmo sem o arquivo .db existir é uma
boa pergunta, hehe.

Obrigado!


Em 24/01/2017 18:02, Rafael Turazzi escreveu:

> Olá Bruno,
>
> Será que a opção de mynetworks não esta configurada com sua rede local e
> habilitado o envio sem autenticação? Pode ser isso.
>
> Basicamente nas minhas configurações, uso somente o localhost para envio
> sem autenticação, e demais, mesmo que de servidores (DMZ) ou LAN é
> obrigatória a autenticação.
>
> Pode colocar a saída do main.cf aqui?
>
> 2017-01-24 17:46 GMT-02:00 Bruno de Paula Larini <
> [hidden email]>:
>
>> Olá a todos da lista.
>>
>> Enquanto fazia alguns testes em uma instalação com CentOS 7.3 + postfix
>> 2.10, vi que se eu realizasse um envio a partir de uma rede não confiável
>> utilizando no FROM qualquer conta válida e no TO outra conta válida, pela
>> porta 25 e sem autenticar o envio era bem sucedido, mas que não é o que eu
>> gostaria que acontecesse, já que em meu teste qualquer usuário válido
>> deveria se autenticar antes de enviar.
>>
>> Então pesquisei uma maneira de realizar essa restrição e encontrei o
>> seguinte:
>> - adicionar "check_sender_access hash:/etc/postfix/local_domains" a
>> smtpd_recipient_restrictions (depois de permit_mynetworks e de
>> permit_sasl_authenticated)
>> - adicionar "meu.dominio.com REJECT" ao arquivo /etc/postfix/local_domains
>> - executar "postmap /etc/postfix/local_domains" sempre que alterar esse
>> arquivo
>>
>> Com isso, consegui realizar a essa restrição de envio entre contas locais
>> na porta 25, enquanto que autenticando o envio é bem sucedido.
>> Porém um detalhe me incomodou: ao tentar realizar o envio entre contas
>> locais pela porta 25 sem autenticar, enquanto essa diretiva está
>> configurada, a mensagem registrada em log é: Sender address rejected:
>> Server configuration error;
>> A mensagem diz que o envio não foi aceito devido a um erro de configuração
>> no servidor, embora a ação de rejeitar é o que eu espero que aconteça.
>>
>> Sendo assim minha pergunta é: essa é a boa prática para realizar esse tipo
>> de restrição? Devo ignorar a mensagem que diz que há um erro na
>> configuração do servidor?
>>
>> Obrigado!
>>
>>
>> _______________________________________________
>> Postfix-br mailing list
>> [hidden email]
>> http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br
>>
_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br
Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: Restringindo envio entre contas locais na porta 25

Rafael Turazzi
Olá Bruno.
Perfeito. 
Abraços.

2017-01-25 12:28 GMT-02:00 Bruno de Paula Larini <[hidden email]>:
Olá Rafael, obrigado pela resposta.
Com relação a políticas de envio ele já está funcionando da maneira esperada: envio sem autenticação a partir de redes conhecidas, envio autenticado obrigatório de outros lugares e negar uma entrega local caso seja feito pela porta 25 de uma rede não conhecida utilizando uma conta local como remetente.

O problema era a mensagem que retornava (Server configuration error) no caso que mencionei, mas vi que o erro foi meu. Pensei que tinha executado o comando "postmap", mas não tinha. Isso parece ser necessário pois a diretiva especifica um arquivo junto a "hash:". Sendo assim, ele espera ler um arquivo com o mesmo nome mas com ".db" no final, mas ele não existia (daí a mensagem). Após executar o comando, a mensagem que retorna é mais amigável: "Sender address rejected: Access denied".

Agora, o por que de ter funcionado mesmo sem o arquivo .db existir é uma boa pergunta, hehe.

Obrigado!



Em 24/01/2017 18:02, Rafael Turazzi escreveu:
Olá Bruno,

Será que a opção de mynetworks não esta configurada com sua rede local e
habilitado o envio sem autenticação? Pode ser isso.

Basicamente nas minhas configurações, uso somente o localhost para envio
sem autenticação, e demais, mesmo que de servidores (DMZ) ou LAN é
obrigatória a autenticação.

Pode colocar a saída do main.cf aqui?

2017-01-24 17:46 GMT-02:00 Bruno de Paula Larini <
[hidden email]>:

Olá a todos da lista.

Enquanto fazia alguns testes em uma instalação com CentOS 7.3 + postfix
2.10, vi que se eu realizasse um envio a partir de uma rede não confiável
utilizando no FROM qualquer conta válida e no TO outra conta válida, pela
porta 25 e sem autenticar o envio era bem sucedido, mas que não é o que eu
gostaria que acontecesse, já que em meu teste qualquer usuário válido
deveria se autenticar antes de enviar.

Então pesquisei uma maneira de realizar essa restrição e encontrei o
seguinte:
- adicionar "check_sender_access hash:/etc/postfix/local_domains" a
smtpd_recipient_restrictions (depois de permit_mynetworks e de
permit_sasl_authenticated)
- adicionar "meu.dominio.com REJECT" ao arquivo /etc/postfix/local_domains
- executar "postmap /etc/postfix/local_domains" sempre que alterar esse
arquivo

Com isso, consegui realizar a essa restrição de envio entre contas locais
na porta 25, enquanto que autenticando o envio é bem sucedido.
Porém um detalhe me incomodou: ao tentar realizar o envio entre contas
locais pela porta 25 sem autenticar, enquanto essa diretiva está
configurada, a mensagem registrada em log é: Sender address rejected:
Server configuration error;
A mensagem diz que o envio não foi aceito devido a um erro de configuração
no servidor, embora a ação de rejeitar é o que eu espero que aconteça.

Sendo assim minha pergunta é: essa é a boa prática para realizar esse tipo
de restrição? Devo ignorar a mensagem que diz que há um erro na
configuração do servidor?

Obrigado!


_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br

_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br



--
-----
Rafael Turazzi Moreira


_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br
Loading...