[postfix-es] Consulta seguridad

Previous Topic Next Topic
 
classic Classic list List threaded Threaded
8 messages Options
Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

[postfix-es] Consulta seguridad

Memo Robles

Buenas tardes.


Me podrian apoyar por favor, mi servidor postfix no pide contraseña cuando me conecto por telnet, estos son los comandos que ejecuto:


telnet 1.1.1.1 25

EHLO mail.midominio.com.mx
MAIL FROM:<[hidden email]>
RCPT TO:<[hidden email]>
DATA
Hola yo
.

(el correo [hidden email] si existe en mi servidor)

No es open reley, por que cuando le pongo un dominio que no existe en mi servidor si me dice relay acces denied.

Gracias de antemano y saludos


_______________________________________________
List de correo postfix-es para tratar temas del MTA postfix en español
[hidden email]
http://lists.wl0.org/mailman/listinfo/postfix-es
Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: [postfix-es] Consulta seguridad

Henry Seron
Memo, no te sirvió el link que te envió Jose hace unos días?





2016-03-30 20:00 GMT-04:00 Memo Robles <[hidden email]>:

Buenas tardes.


Me podrian apoyar por favor, mi servidor postfix no pide contraseña cuando me conecto por telnet, estos son los comandos que ejecuto:


telnet 1.1.1.1 25

MAIL FROM:<[hidden email]>
RCPT TO:<[hidden email]>
DATA
Hola yo
.

(el correo [hidden email] si existe en mi servidor)

No es open reley, por que cuando le pongo un dominio que no existe en mi servidor si me dice relay acces denied.

Gracias de antemano y saludos

_______________________________________________
List de correo postfix-es para tratar temas del MTA postfix en español
[hidden email]
http://lists.wl0.org/mailman/listinfo/postfix-es
Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: [postfix-es] Consulta seguridad

Edwind Richzendy Contreras Soto
In reply to this post by Memo Robles
Saludos,

Ese comportamiento es normal y es el esperado.

No debe pedir autenticación para recibir email a buzones pertenecientes al dominio o dominios configurados y no debe dejar mandar email a correos a dominios externos a menos que se este autenticado.

Para estar más seguro has un test a tu servidor usando herramientas de este tipo: http://mxtoolbox.com/diagnostic.aspx

El 30 de marzo de 2016, 19:30, Memo Robles <[hidden email]> escribió:

Buenas tardes.


Me podrian apoyar por favor, mi servidor postfix no pide contraseña cuando me conecto por telnet, estos son los comandos que ejecuto:


telnet 1.1.1.1 25

MAIL FROM:<[hidden email]>
RCPT TO:<[hidden email]>
DATA
Hola yo
.

(el correo [hidden email] si existe en mi servidor)

No es open reley, por que cuando le pongo un dominio que no existe en mi servidor si me dice relay acces denied.

Gracias de antemano y saludos


_______________________________________________
List de correo postfix-es para tratar temas del MTA postfix en español
[hidden email]
http://lists.wl0.org/mailman/listinfo/postfix-es


_______________________________________________
List de correo postfix-es para tratar temas del MTA postfix en español
[hidden email]
http://lists.wl0.org/mailman/listinfo/postfix-es
Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: [postfix-es] Consulta seguridad

Memo Robles
In reply to this post by Henry Seron

Hola Henry, hize todos los pasos del manual pero sigue sin authentificar via telnet. :(


Saludos y gracias.





De: postfix-es <postfix-es-bounces+kinr_cs89=[hidden email]> en nombre de Henry Seron <[hidden email]>
Enviado: miércoles, 30 de marzo de 2016 05:36 p. m.
Para: [hidden email]
Asunto: Re: [postfix-es] Consulta seguridad
 
Memo, no te sirvió el link que te envió Jose hace unos días?





2016-03-30 20:00 GMT-04:00 Memo Robles <[hidden email]>:

Buenas tardes.


Me podrian apoyar por favor, mi servidor postfix no pide contraseña cuando me conecto por telnet, estos son los comandos que ejecuto:


telnet 1.1.1.1 25

MAIL FROM:<[hidden email]>
RCPT TO:<[hidden email]>
DATA
Hola yo
.

(el correo [hidden email] si existe en mi servidor)

No es open reley, por que cuando le pongo un dominio que no existe en mi servidor si me dice relay acces denied.

Gracias de antemano y saludos

_______________________________________________
List de correo postfix-es para tratar temas del MTA postfix en español
[hidden email]
http://lists.wl0.org/mailman/listinfo/postfix-es
Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: [postfix-es] Consulta seguridad

Memo Robles

Henry, este detalle solo lo tengo en el puerto 25.


El 465 si me pide autentificacion, pero si cierro el puerto 25 dejo de recibir correos del exterior.


Saludos




De: Memo Robles <[hidden email]>
Enviado: jueves, 31 de marzo de 2016 04:39 p. m.
Para: [hidden email]
Asunto: Re: [postfix-es] Consulta seguridad
 

Hola Henry, hize todos los pasos del manual pero sigue sin authentificar via telnet. :(


Saludos y gracias.





De: postfix-es <postfix-es-bounces+kinr_cs89=[hidden email]> en nombre de Henry Seron <[hidden email]>
Enviado: miércoles, 30 de marzo de 2016 05:36 p. m.
Para: [hidden email]
Asunto: Re: [postfix-es] Consulta seguridad
 
Memo, no te sirvió el link que te envió Jose hace unos días?





2016-03-30 20:00 GMT-04:00 Memo Robles <[hidden email]>:

Buenas tardes.


Me podrian apoyar por favor, mi servidor postfix no pide contraseña cuando me conecto por telnet, estos son los comandos que ejecuto:


telnet 1.1.1.1 25

MAIL FROM:<[hidden email]>
RCPT TO:<[hidden email]>
DATA
Hola yo
.

(el correo [hidden email] si existe en mi servidor)

No es open reley, por que cuando le pongo un dominio que no existe en mi servidor si me dice relay acces denied.

Gracias de antemano y saludos

_______________________________________________
List de correo postfix-es para tratar temas del MTA postfix en español
[hidden email]
http://lists.wl0.org/mailman/listinfo/postfix-es
Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: [postfix-es] Consulta seguridad

Cesar
In reply to this post by Memo Robles
Es correcto que la mayoría de los servidores necesitan una configuración adicional para protegerse de las conexiones telnet por el puerto 25.
 
Yo he aplicado esta solución a mi servidor de Correo, y "nadie" puede enviar correos por una conexión telnet:
 
En el archivo "main.cf", agregué estas 4 líneas (aclaro, son solo 4 líneas, incluyendo la comentada):
 
#Restricciones HELO:
 
smtpd_delay_reject = yes
 
smtpd_helo_required = yes
 
smtpd_helo_restrictions = check_helo_access hash:/etc/postfix/helo_access, permit_sasl_authenticated, permit_mynetworks, reject_non_fqdn_recipient, reject_unknown_recipient_domain, reject_unauth_destination, reject_unlisted_recipient, reject_unlisted_sender, permit
 
Notas de cuidado:
1- Debo aclararte que la directiva que dice "check_helo_access hash:/etc/postfix/helo_access" es la importante para lo que tu has consultado.
2- El resto de directivas que empiezan con "permit" ó "reject", se adecuan a una configuración personalizada en mi servidor de correo, y las necesidades puede variar en tu servidor (deberás consultar para que sirve cada directiva antes de aplicarla, pues debes saber bien lo que estás haciendo).
3- El orden en que se introducen las directivas es tan importante como las directivas en si. Por ejemplo, si empiezas con una directiva "permit ," (con una coma después), las siguientes directivas restrictivas no surtirán ningún efecto debido a que la primera directiva permitirá todo.
4- En mi caso, mi servidor de correo tiene configurado SASL (ó cifrado), y fuerzo a mis usuarios a autenticar contra el servidor de correo, ya sea por conexión cifrada ó sin cifrar según como se los permita por Firewall (iptables), es decir, en mi LAN no los obligo a usar conexión cifrada, pero eso es otra historia. Solo lo comento por que si quieres ser altamente restrictivo, pues esta fue para mi la configuración perfecta para mi estrategia de seguridad con lo que se puede hacer con "postfix" he "iptables".
 
Una Sugerencia:
Deberías estudiar "Fail2ban", que es un sistema de detección y prevención de intrusiones no autorizadas que modifica en caliente el Firewall (iptables), a mi me funciona perfecto, tiene todo tipo de directivas personalizables.
Por ejemplo mi estrategia es así: si un "hacker" intenta autenticar por los protocolos "POP" , IMAP", "SMTP", cifrado ó sin cifrar, después de 10 intentos fallidos dentro de un lapso de 24 Hrs,. automáticamente "Fail2ban" bloquea la dirección IP del atacante por una semana, entonces, con tan pocas posibilidades que tiene el atacante de acertar con la contraseña, sumado al largo periodo de bloqueo por Firewall, de seguro que este "hacker" se desilusionará y buscará otra victima que tenga menos defensas.
 
Saludos cordiales, y espero haberte sido útil.
Cesar
 
 
 
----- Original Message -----
Sent: Wednesday, March 30, 2016 9:00 PM
Subject: [postfix-es] Consulta seguridad

Buenas tardes.


Me podrian apoyar por favor, mi servidor postfix no pide contraseña cuando me conecto por telnet, estos son los comandos que ejecuto:


telnet 1.1.1.1 25

EHLO mail.midominio.com.mx
MAIL FROM:<[hidden email]>
RCPT TO:<[hidden email]>
DATA
Hola yo
.

(el correo [hidden email] si existe en mi servidor)

No es open reley, por que cuando le pongo un dominio que no existe en mi servidor si me dice relay acces denied.

Gracias de antemano y saludos


_______________________________________________
List de correo postfix-es para tratar temas del MTA postfix en español
[hidden email]
http://lists.wl0.org/mailman/listinfo/postfix-es

_______________________________________________
List de correo postfix-es para tratar temas del MTA postfix en español
[hidden email]
http://lists.wl0.org/mailman/listinfo/postfix-es
Best Regards
Cesar
Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: [postfix-es] Consulta seguridad

Memo Robles

Gracias cesar con esto check_helo_access hash:/etc/postfix/helo_access se resolvio mi problema.


Muchas gracias y saludos


el Fail2ban ya lo tengo instalado




De: Cesar Peschiera <[hidden email]>
Enviado: jueves, 31 de marzo de 2016 07:24 p. m.
Para: Memo Robles; [hidden email]
Asunto: Re: [postfix-es] Consulta seguridad
 
Es correcto que la mayoría de los servidores necesitan una configuración adicional para protegerse de las conexiones telnet por el puerto 25.
 
Yo he aplicado esta solución a mi servidor de Correo, y "nadie" puede enviar correos por una conexión telnet:
 
En el archivo "main.cf", agregué estas 4 líneas (aclaro, son solo 4 líneas, incluyendo la comentada):
 
#Restricciones HELO:
 
smtpd_delay_reject = yes
 
smtpd_helo_required = yes
 
smtpd_helo_restrictions = check_helo_access hash:/etc/postfix/helo_access, permit_sasl_authenticated, permit_mynetworks, reject_non_fqdn_recipient, reject_unknown_recipient_domain, reject_unauth_destination, reject_unlisted_recipient, reject_unlisted_sender, permit
 
Notas de cuidado:
1- Debo aclararte que la directiva que dice "check_helo_access hash:/etc/postfix/helo_access" es la importante para lo que tu has consultado.
2- El resto de directivas que empiezan con "permit" ó "reject", se adecuan a una configuración personalizada en mi servidor de correo, y las necesidades puede variar en tu servidor (deberás consultar para que sirve cada directiva antes de aplicarla, pues debes saber bien lo que estás haciendo).
3- El orden en que se introducen las directivas es tan importante como las directivas en si. Por ejemplo, si empiezas con una directiva "permit ," (con una coma después), las siguientes directivas restrictivas no surtirán ningún efecto debido a que la primera directiva permitirá todo.
4- En mi caso, mi servidor de correo tiene configurado SASL (ó cifrado), y fuerzo a mis usuarios a autenticar contra el servidor de correo, ya sea por conexión cifrada ó sin cifrar según como se los permita por Firewall (iptables), es decir, en mi LAN no los obligo a usar conexión cifrada, pero eso es otra historia. Solo lo comento por que si quieres ser altamente restrictivo, pues esta fue para mi la configuración perfecta para mi estrategia de seguridad con lo que se puede hacer con "postfix" he "iptables".
 
Una Sugerencia:
Deberías estudiar "Fail2ban", que es un sistema de detección y prevención de intrusiones no autorizadas que modifica en caliente el Firewall (iptables), a mi me funciona perfecto, tiene todo tipo de directivas personalizables.
Por ejemplo mi estrategia es así: si un "hacker" intenta autenticar por los protocolos "POP" , IMAP", "SMTP", cifrado ó sin cifrar, después de 10 intentos fallidos dentro de un lapso de 24 Hrs,. automáticamente "Fail2ban" bloquea la dirección IP del atacante por una semana, entonces, con tan pocas posibilidades que tiene el atacante de acertar con la contraseña, sumado al largo periodo de bloqueo por Firewall, de seguro que este "hacker" se desilusionará y buscará otra victima que tenga menos defensas.
 
Saludos cordiales, y espero haberte sido útil.
Cesar
 
 
 
----- Original Message -----
Sent: Wednesday, March 30, 2016 9:00 PM
Subject: [postfix-es] Consulta seguridad

Buenas tardes.


Me podrian apoyar por favor, mi servidor postfix no pide contraseña cuando me conecto por telnet, estos son los comandos que ejecuto:


telnet 1.1.1.1 25

EHLO mail.midominio.com.mx
MAIL FROM:<[hidden email]>
RCPT TO:<[hidden email]>
DATA
Hola yo
.

(el correo [hidden email] si existe en mi servidor)

No es open reley, por que cuando le pongo un dominio que no existe en mi servidor si me dice relay acces denied.

Gracias de antemano y saludos


_______________________________________________
List de correo postfix-es para tratar temas del MTA postfix en español
[hidden email]
http://lists.wl0.org/mailman/listinfo/postfix-es

_______________________________________________
List de correo postfix-es para tratar temas del MTA postfix en español
[hidden email]
http://lists.wl0.org/mailman/listinfo/postfix-es
Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: [postfix-es] Consulta seguridad

Jose Alberto
Las ACL de Postfix tienen muchas bondades.

Actualmente uso un software de hosting que es Postfix por debajo, claro aqui no hice nada manual, ya que el te configura todo.

Lo cierto del caso, es el software, deja el puerto 465 y 587 para autenticar el smtp, es decir yo para enviar correo a traves del servidor, debo usar dichos puertos para autenticar, aun si coloco el 25 me da error.

El 25 queda solo como transporte, lo que entra, y lo que sale, claro, lo que sale, primero paso la auth por los puertos antes mencionado.

Ya lo demas es apoyar en herrmaientas de monitoreo para no estar a ciegas, fail2ban etc.



2016-04-01 12:39 GMT-04:30 Memo Robles <[hidden email]>:

Gracias cesar con esto check_helo_access hash:/etc/postfix/helo_access se resolvio mi problema.


Muchas gracias y saludos


el Fail2ban ya lo tengo instalado




De: Cesar Peschiera <[hidden email]>
Enviado: jueves, 31 de marzo de 2016 07:24 p. m.
Para: Memo Robles; [hidden email]
Asunto: Re: [postfix-es] Consulta seguridad
 
Es correcto que la mayoría de los servidores necesitan una configuración adicional para protegerse de las conexiones telnet por el puerto 25.
 
Yo he aplicado esta solución a mi servidor de Correo, y "nadie" puede enviar correos por una conexión telnet:
 
En el archivo "main.cf", agregué estas 4 líneas (aclaro, son solo 4 líneas, incluyendo la comentada):
 
#Restricciones HELO:
 
smtpd_delay_reject = yes
 
smtpd_helo_required = yes
 
smtpd_helo_restrictions = check_helo_access hash:/etc/postfix/helo_access, permit_sasl_authenticated, permit_mynetworks, reject_non_fqdn_recipient, reject_unknown_recipient_domain, reject_unauth_destination, reject_unlisted_recipient, reject_unlisted_sender, permit
 
Notas de cuidado:
1- Debo aclararte que la directiva que dice "check_helo_access hash:/etc/postfix/helo_access" es la importante para lo que tu has consultado.
2- El resto de directivas que empiezan con "permit" ó "reject", se adecuan a una configuración personalizada en mi servidor de correo, y las necesidades puede variar en tu servidor (deberás consultar para que sirve cada directiva antes de aplicarla, pues debes saber bien lo que estás haciendo).
3- El orden en que se introducen las directivas es tan importante como las directivas en si. Por ejemplo, si empiezas con una directiva "permit ," (con una coma después), las siguientes directivas restrictivas no surtirán ningún efecto debido a que la primera directiva permitirá todo.
4- En mi caso, mi servidor de correo tiene configurado SASL (ó cifrado), y fuerzo a mis usuarios a autenticar contra el servidor de correo, ya sea por conexión cifrada ó sin cifrar según como se los permita por Firewall (iptables), es decir, en mi LAN no los obligo a usar conexión cifrada, pero eso es otra historia. Solo lo comento por que si quieres ser altamente restrictivo, pues esta fue para mi la configuración perfecta para mi estrategia de seguridad con lo que se puede hacer con "postfix" he "iptables".
 
Una Sugerencia:
Deberías estudiar "Fail2ban", que es un sistema de detección y prevención de intrusiones no autorizadas que modifica en caliente el Firewall (iptables), a mi me funciona perfecto, tiene todo tipo de directivas personalizables.
Por ejemplo mi estrategia es así: si un "hacker" intenta autenticar por los protocolos "POP" , IMAP", "SMTP", cifrado ó sin cifrar, después de 10 intentos fallidos dentro de un lapso de 24 Hrs,. automáticamente "Fail2ban" bloquea la dirección IP del atacante por una semana, entonces, con tan pocas posibilidades que tiene el atacante de acertar con la contraseña, sumado al largo periodo de bloqueo por Firewall, de seguro que este "hacker" se desilusionará y buscará otra victima que tenga menos defensas.
 
Saludos cordiales, y espero haberte sido útil.
Cesar
 
 
 
----- Original Message -----
Sent: Wednesday, March 30, 2016 9:00 PM
Subject: [postfix-es] Consulta seguridad

Buenas tardes.


Me podrian apoyar por favor, mi servidor postfix no pide contraseña cuando me conecto por telnet, estos son los comandos que ejecuto:


telnet 1.1.1.1 25

MAIL FROM:<[hidden email]>
RCPT TO:<[hidden email]>
DATA
Hola yo
.

(el correo [hidden email] si existe en mi servidor)

No es open reley, por que cuando le pongo un dominio que no existe en mi servidor si me dice relay acces denied.

Gracias de antemano y saludos


_______________________________________________
List de correo postfix-es para tratar temas del MTA postfix en español
[hidden email]
http://lists.wl0.org/mailman/listinfo/postfix-es

_______________________________________________
List de correo postfix-es para tratar temas del MTA postfix en español
[hidden email]
http://lists.wl0.org/mailman/listinfo/postfix-es



--
#############################
#   Sistema Operativo: Debian      #
#        Caracas, Venezuela          #
#############################

_______________________________________________
List de correo postfix-es para tratar temas del MTA postfix en español
[hidden email]
http://lists.wl0.org/mailman/listinfo/postfix-es
Loading...