[postfix-es] Fwd: Re: Rechazar correos salientes donde el correo electrónico de envío no se corresponde con el correo usuado en login ni asociado a dicho usuario

Previous Topic Next Topic
 
classic Classic list List threaded Threaded
14 messages Options
Reply | Threaded
Open this post in threaded view
|

[postfix-es] Fwd: Re: Rechazar correos salientes donde el correo electrónico de envío no se corresponde con el correo usuado en login ni asociado a dicho usuario

Salvador Guzman - Salman PSL-2


:: Esa afirmacion es un tanto temeraria ¿ no ?

Yo me siento mas comodo con PERL que con PHP ...

Por otro lado los hackers, hoy en dia atacan a PHP y practicamente se han olvidado de PERL.


P.D. Responder a la lista, no a quien responde ...
>>>>>>>>>>>>>> ******* Fin del mensaje ******* <<<<<<<<<<<<<<




-------- Mensaje original --------
Asunto: Re: [postfix-es] Rechazar correos salientes donde el correo electrónico de envío no se corresponde con el correo usuado en login ni asociado a dicho usuario
Fecha: Wed, 2 Apr 2014 01:21:15 +0200
De: Rodrigo Nicolas Gliksberg Diaz
Para: Salvador Guzman - Salman PSL


podes usar php-cli es mas comodo que perl, perl ya esta overrated
saludos



_______________________________________________
List de correo postfix-es para tratar temas del MTA postfix en español
[hidden email]
http://lists.wl0.org/mailman/listinfo/postfix-es
Reply | Threaded
Open this post in threaded view
|

Re: [postfix-es] Fwd: Re: Rechazar correos salientes donde el correo electrónico de envío no se corresponde con el correo usuado en login ni asociado a dicho usuario

Pau Peris
Buenos días a todos,

muchas gracias por vuestras aportaciones. Al final el hilo ha cogido empuje!

Santiago, te agradezco enormemente el tiempo dedicado, aún así entiendo que no debería suponerte problema alguno el hecho que venga aquí a pedir ayuda cuando allí no he encontrado lo que buscaba. Mucho menos que pidas explicaciones. Entiendo que mi publicación concierne perfectamente al objeto de este "foro" de ayuda y debate que nada tiene que ver con los asuntos que comentas acerca de si es importante o no mantener la cabecera From o cuestionarme que hago aquí pidiendo ayuda.

Santiago, lo que no queremos permitir es que se usen direcciones de corrreo electrónico inventadas o que no pertenecen al usuario que las usa, únicamente a través de nuestra solución SMTP. Esto no rompe ningún estándar por no mencionar que tu primera afirmación "Si configuras postfix para que rechace esos mensajes, será imposible que en ese dominio alojes una lista de correo" es totalmente errónea. En ese dominio podrán hacer lo que se les permita a través de otros servidores SMTP. Por último, te pido porfavor que mantengamos el diálogo entorno a la duda planteada y no a cuestiones de opinión personal.

Volviendo al asunto inicial, David y Salvador, os agradezco mucho vuestras aportaciones.

Respecto al webmail, mencionar que existe la opción de eliminar la posibilidad de edición de Identidades pero lo que estoy buscando es una solución definitiva que actúe sobre el servidor SMTP y por lo tanto no deje fallos de seguridad en este sentido. Es decir, si finalmente existe la posibilidad de mantener el campo From vinculado al return-path/envelope sender, quisiera estar seguro que así es independientemente del cliente de email que el usuario final decida usar.

Salvador, podrías facilitarme el script que comentas porfavor? Si la compartes le echaré un vistazo y veré que hago finalmente. De profesión soy ingeniero del software así que aunque no programo en Perl imagino que no sería complicado entender lo que has hecho y trasladarlo a otro lenguaje. Actualmente la solución para las validaciones SPF que estoy usando es Python ya que bajo mi punto de vista es algo mas completa. El caso es que estaba buscando una solución sencilla que no implicará cambios en el paradigma de trabajo que usa Postfix. La verdad que sigo con muchas dudas

Salvador, si entiendo correctamente la siguiente restricción "check_policy_service unix:private/usuariocuenta" la ejecutas conjuntamente con SPF, DKIM, etc. correcto?

Muchas gracias a todos.

Atentamente


2014-04-02 7:15 GMT+02:00 Salvador Guzman - Salman PSL <[hidden email]>:


:: Esa afirmacion es un tanto temeraria ¿ no ?

Yo me siento mas comodo con PERL que con PHP ...

Por otro lado los hackers, hoy en dia atacan a PHP y practicamente se han olvidado de PERL.


P.D. Responder a la lista, no a quien responde ...

>>>>>>>>>>>>>> ******* Fin del mensaje ******* <<<<<<<<<<<<<<




-------- Mensaje original --------
Asunto: Re: [postfix-es] Rechazar correos salientes donde el correo electrónico de envío no se corresponde con el correo usuado en login ni asociado a dicho usuario
Fecha: Wed, 2 Apr 2014 01:21:15 +0200
De: Rodrigo Nicolas Gliksberg Diaz
Para: Salvador Guzman - Salman PSL


podes usar php-cli es mas comodo que perl, perl ya esta overrated
saludos



_______________________________________________
List de correo postfix-es para tratar temas del MTA postfix en español
[hidden email]
http://lists.wl0.org/mailman/listinfo/postfix-es



--
Pau Peris Rodriguez
Chief Executive Officer (CEO)
Tel: 669650292
C/Balmes 211, Principal Segunda
Barcelona 08006
http://www.webeloping.es

Aquest correu electrònic conté informació de caràcter confidencial dirigida exclusivament al seu/s destinatari/s en còpia present. Tant mateix, queda prohibida la seva divulgació, copia o distribució a tercers sense prèvia autorització escrita per part de Pau Peris Rodriguez. En cas d'haver rebut aquesta informació per error, es demana que es notifiqui immediatament d'aquesta circumstancia mitjançant la direcció electrònica del emissor.

_______________________________________________
List de correo postfix-es para tratar temas del MTA postfix en español
[hidden email]
http://lists.wl0.org/mailman/listinfo/postfix-es
Reply | Threaded
Open this post in threaded view
|

Re: [postfix-es] Fwd: Re: Rechazar correos salientes donde el correo electrónico de envío no se corresponde con el correo usuado en login ni asociado a dicho usuario

Salvador Guzman - Salman PSL-2

:: Creo que la lista no admite adjuntos, asi que lo dejo unos dias en dropbox:

https://www.dropbox.com/s/bztie0boipn4z1h/Comprueba_usuario_cuenta.cgi

En el mismo script, va no solo la comprobacion usuario / e-mail sino tambien otra de mis "chapuzas" que creo que se comento hace unas semanas o meses.

Se trata de controlar desde que pais se autentifica un usuario para enviar correo, en funcion del numero de paises distintos en un determinado periodo de tiempo, bloquea al usuario.

Si eres ingeniero de soft, no tendras problemas en coger la idea en PERL y trasladarla a Python o al lenguaje que mas te guste.

Y sobre el check_policy_service unix:private/usuariocuenta lo ejecuto independiente de cualquier otra comprobacion.

El orden en que tengo todas las comprobaciones son:

# 1 Conexión smtpd_client_restrictions
# 2 HELO/EHLO smtpd_helo_restrictions
# 3 MAIL FROM smtpd_sender_restrictions
# 4 RCPT TO smtpd_recipient_restrictions

Restringido_Autentificados =
    check_sender_access hash:/etc/postfix/HOLD_Direccion_Envia.ini,
    check_policy_service unix:private/usuariocuenta,
    permit_sasl_authenticated,
    reject

smtpd_client_restrictions =
   
smtpd_helo_restrictions =
    check_client_access hash:/etc/postfix/KO_a_Helo.ini,
    permit
   
smtpd_sender_restrictions =
    check_policy_service unix:private/usuariocuenta,
    permit_sasl_authenticated,   
    check_client_access hash:/etc/postfix/KO_a_Helo.ini,
    check_client_access hash:/etc/postfix/OK_a_Tipo_Servidor.ini,
    check_sender_access hash:/etc/postfix/OK_a_Direccion_Envia.ini,
     check_client_access hash:/etc/postfix/KO_a_Tipo_Servidor.ini,
    check_sender_access hash:/etc/postfix/KO_a_Direccion_Envia.ini,
    reject_non_fqdn_helo_hostname,
    reject_invalid_helo_hostname,
     permit


smtpd_recipient_restrictions =
    check_recipient_access hash:/etc/postfix/OK_a_Direccion_Recibe.ini,
    check_recipient_access hash:/etc/postfix/KO_a_Direccion_Recibe.ini,
    check_policy_service unix:private/tiposervidor,
    permit_mynetworks,
    permit_sasl_authenticated,   
    reject_unlisted_recipient,
    reject_non_fqdn_recipient,
    reject_unauth_pipelining,
    reject_unauth_destination,
    reject_invalid_hostname,
    reject_non_fqdn_hostname,
    reject_non_fqdn_sender,
    reject_unknown_sender_domain,
    reject_unknown_recipient_domain,
    check_client_access hash:/etc/postfix/OK_a_Servidores_Envian.ini,
    check_sender_access hash:/etc/postfix/OK_a_Direccion_Envia.ini,
    reject_rbl_client bl.spamcop.net,
    reject_rbl_client zen.spamhaus.org,
    check_policy_service unix:private/comprobarspf,
    permit

Espero que te sirva, a ti y a cualquiera que lo pueda aprovechar/entender.

P.D. Yo no soy ingeniero, ni tan siquiera hice mis estudios sobre informatica, en la Universidad, estudie Biologicas ... :D , explico esto por que todo lo que se, es autodidacta y las estructuras de mis programaciones siempre son mejorables.


>>>>>>>>>>>>>> ******* Fin del mensaje ******* <<<<<<<<<<<<<<


El 02/04/2014 12:10, Pau Peris escribió:
Buenos días a todos,

muchas gracias por vuestras aportaciones. Al final el hilo ha cogido empuje!

Volviendo al asunto inicial, David y Salvador, os agradezco mucho vuestras aportaciones.

Respecto al webmail, mencionar que existe la opción de eliminar la posibilidad de edición de Identidades pero lo que estoy buscando es una solución definitiva que actúe sobre el servidor SMTP y por lo tanto no deje fallos de seguridad en este sentido. Es decir, si finalmente existe la posibilidad de mantener el campo From vinculado al return-path/envelope sender, quisiera estar seguro que así es independientemente del cliente de email que el usuario final decida usar.

Salvador, podrías facilitarme el script que comentas porfavor? Si la compartes le echaré un vistazo y veré que hago finalmente. De profesión soy ingeniero del software así que aunque no programo en Perl imagino que no sería complicado entender lo que has hecho y trasladarlo a otro lenguaje. Actualmente la solución para las validaciones SPF que estoy usando es Python ya que bajo mi punto de vista es algo mas completa. El caso es que estaba buscando una solución sencilla que no implicará cambios en el paradigma de trabajo que usa Postfix. La verdad que sigo con muchas dudas

Salvador, si entiendo correctamente la siguiente restricción "check_policy_service unix:private/usuariocuenta" la ejecutas conjuntamente con SPF, DKIM, etc. correcto?

Muchas gracias a todos.

Atentamente



_______________________________________________
List de correo postfix-es para tratar temas del MTA postfix en español
[hidden email]
http://lists.wl0.org/mailman/listinfo/postfix-es
Reply | Threaded
Open this post in threaded view
|

Re: [postfix-es] Fwd: Re: Rechazar correos salientes donde el correo electrónico de envío no se corresponde con el correo usuado en login ni asociado a dicho usuario

Santiago Vila
In reply to this post by Pau Peris
On Wed, 2 Apr 2014, Pau Peris wrote:

> Esto no rompe ningún estándar [...]

Rompe el uso legítimo de Resent-From: como te ha explicado Viktor
Dukhovni:

http://www.mail-archive.com/postfix-users@.../msg57240.html

La función que él dice se llama "bounce" en alpine y permite reenviar un
mensaje para que el destinatario lo vea como si lo hubiera recibido él.

Esta función se activa dándole a la letra "b" cuando estás leyendo un
mensaje, pruébala.
_______________________________________________
List de correo postfix-es para tratar temas del MTA postfix en español
[hidden email]
http://lists.wl0.org/mailman/listinfo/postfix-es
Reply | Threaded
Open this post in threaded view
|

Re: [postfix-es] Fwd: Re: Rechazar correos salientes donde el correo electrónico de envío no se corresponde con el correo usuado en login ni asociado a dicho usuario

Pau Peris
Buenas tardes Santiago,

Viktor en ningún caso habla de estándares. Habla de quebrar la legitimidad de uso de "Resent-From" que tiene cada individuo.

Respecto a su propuesta, la verdad es que es buena pero tengo el problema que DKIM no consigue identificar el dominio a firmar. En el siguiente Gist publico el log del envío satisfactorio a través de webmail y también el realizado a través de Thunderbird donde DKIM no llega a firmar las cabeceras.


Gmail envía un email a postmaster en el segundo caso notificándome del envío de Spam.

De todas formas después de leer detenidamente el post de Viktor, ahora entiendo lo que comenta acerca de "Resent-From". Realmente ahora tengo mis dudas sobre como solventar la situación, el caso es que quisiera prevenir cualquier uso no autorizado de cuentas de email.

Gracias por tu ayuda,



2014-04-02 19:09 GMT+02:00 Santiago Vila <[hidden email]>:
On Wed, 2 Apr 2014, Pau Peris wrote:

> Esto no rompe ningún estándar [...]

Rompe el uso legítimo de Resent-From: como te ha explicado Viktor
Dukhovni:

http://www.mail-archive.com/postfix-users@.../msg57240.html

La función que él dice se llama "bounce" en alpine y permite reenviar un
mensaje para que el destinatario lo vea como si lo hubiera recibido él.

Esta función se activa dándole a la letra "b" cuando estás leyendo un
mensaje, pruébala.
_______________________________________________
List de correo postfix-es para tratar temas del MTA postfix en español
[hidden email]
http://lists.wl0.org/mailman/listinfo/postfix-es



--
Pau Peris Rodriguez
Chief Executive Officer (CEO)
Tel: 669650292
C/Balmes 211, Principal Segunda
Barcelona 08006
http://www.webeloping.es

Aquest correu electrònic conté informació de caràcter confidencial dirigida exclusivament al seu/s destinatari/s en còpia present. Tant mateix, queda prohibida la seva divulgació, copia o distribució a tercers sense prèvia autorització escrita per part de Pau Peris Rodriguez. En cas d'haver rebut aquesta informació per error, es demana que es notifiqui immediatament d'aquesta circumstancia mitjançant la direcció electrònica del emissor.

_______________________________________________
List de correo postfix-es para tratar temas del MTA postfix en español
[hidden email]
http://lists.wl0.org/mailman/listinfo/postfix-es
Reply | Threaded
Open this post in threaded view
|

Re: [postfix-es] Fwd: Re: Rechazar correos salientes donde el correo electrónico de envío no se corresponde con el correo usuado en login ni asociado a dicho usuario

Pau Peris
Únicamente con el fin de informar, comentaros que he intentado crear mi propia política en PHP pero tal y como he podido comprobar y como se indica en la documentación - - no es posible obtener el from de las cabeceras.

La siguiente es la información proporcionada:

Apr  2 20:43:13 we /var/log/syslog[26872]: request=smtpd_access_policy
Apr  2 20:43:13 we /var/log/syslog[26872]: protocol_state=RCPT
Apr  2 20:43:13 we /var/log/syslog[26872]: protocol_name=ESMTP
Apr  2 20:43:13 we /var/log/syslog[26872]: client_address=127.0.0.1
Apr  2 20:43:13 we /var/log/syslog[26872]: client_name=host.example.es
Apr  2 20:43:13 we /var/log/syslog[26872]: reverse_client_name=host.example.es
Apr  2 20:43:13 we /var/log/syslog[26872]: helo_name=m2.example.es
Apr  2 20:43:13 we /var/log/syslog[26872]: sender=[hidden email]
Apr  2 20:43:13 we /var/log/syslog[26872]: recipient=[hidden email]
Apr  2 20:43:13 we /var/log/syslog[26872]: recipient_count=0
Apr  2 20:43:13 we /var/log/syslog[26872]: queue_id=
Apr  2 20:43:13 we /var/log/syslog[26872]: instance=68f5.533c5a41.71d25.0
Apr  2 20:43:13 we /var/log/syslog[26872]: size=784
Apr  2 20:43:13 we /var/log/syslog[26872]: etrn_domain=
Apr  2 20:43:13 we /var/log/syslog[26872]: stress=
Apr  2 20:43:13 we /var/log/syslog[26872]: sasl_method=LOGIN
Apr  2 20:43:13 we /var/log/syslog[26872]: sasl_username=[hidden email]
Apr  2 20:43:13 we /var/log/syslog[26872]: sasl_sender=
Apr  2 20:43:13 we /var/log/syslog[26872]: ccert_subject=
Apr  2 20:43:13 we /var/log/syslog[26872]: ccert_issuer=
Apr  2 20:43:13 we /var/log/syslog[26872]: ccert_fingerprint=
Apr  2 20:43:13 we /var/log/syslog[26872]: ccert_pubkey_fingerprint=
Apr  2 20:43:13 we /var/log/syslog[26872]: encryption_protocol=TLSv1
Apr  2 20:43:13 we /var/log/syslog[26872]: encryption_cipher=ECDHE-RSA-AES256-SHA
Apr  2 20:43:13 we /var/log/syslog[26872]: encryption_keysize=256

La única forma restante que "conozco" es a través de expresiones regulares en un propio cleanup pero se si seré capaz de tratar el caso "Resent-From". Voy a intentarlo.

Gracias,

2014-04-02 19:33 GMT+02:00 Pau Peris <[hidden email]>:
>
> Buenas tardes Santiago,
>
> Viktor en ningún caso habla de estándares. Habla de quebrar la legitimidad de uso de "Resent-From" que tiene cada individuo.
>
> Respecto a su propuesta, la verdad es que es buena pero tengo el problema que DKIM no consigue identificar el dominio a firmar. En el siguiente Gist publico el log del envío satisfactorio a través de webmail y también el realizado a través de Thunderbird donde DKIM no llega a firmar las cabeceras.
>
> https://gist.github.com/sibok/f29bd2784462beb8d322
>
> Gmail envía un email a postmaster en el segundo caso notificándome del envío de Spam.
>
> De todas formas después de leer detenidamente el post de Viktor, ahora entiendo lo que comenta acerca de "Resent-From". Realmente ahora tengo mis dudas sobre como solventar la situación, el caso es que quisiera prevenir cualquier uso no autorizado de cuentas de email.
>
> Gracias por tu ayuda,
>
>
>
> 2014-04-02 19:09 GMT+02:00 Santiago Vila <[hidden email]>:
>
>> On Wed, 2 Apr 2014, Pau Peris wrote:
>>
>> > Esto no rompe ningún estándar [...]
>>
>> Rompe el uso legítimo de Resent-From: como te ha explicado Viktor
>> Dukhovni:
>>
>> http://www.mail-archive.com/postfix-users@.../msg57240.html
>>
>> La función que él dice se llama "bounce" en alpine y permite reenviar un
>> mensaje para que el destinatario lo vea como si lo hubiera recibido él.
>>
>> Esta función se activa dándole a la letra "b" cuando estás leyendo un
>> mensaje, pruébala.
>> _______________________________________________
>> List de correo postfix-es para tratar temas del MTA postfix en español
>> [hidden email]
>> http://lists.wl0.org/mailman/listinfo/postfix-es
>
>
>
>

_______________________________________________
List de correo postfix-es para tratar temas del MTA postfix en español
[hidden email]
http://lists.wl0.org/mailman/listinfo/postfix-es
Reply | Threaded
Open this post in threaded view
|

Re: [postfix-es] Fwd: Re: Rechazar correos salientes donde el correo electrónico de envío no se corresponde con el correo usuado en login ni asociado a dicho usuario

Pau Peris
In reply to this post by Salvador Guzman - Salman PSL-2
Buenos días Salvador,

acabo de encontrar este correo en la carpeta Spam de Google Apps.

Voy a echarle un ojo.

Saludos!


2014-04-02 14:22 GMT+02:00 Salvador Guzman - Salman PSL <[hidden email]>:
>
>
> :: Creo que la lista no admite adjuntos, asi que lo dejo unos dias en dropbox:
>
> https://www.dropbox.com/s/bztie0boipn4z1h/Comprueba_usuario_cuenta.cgi
>
> En el mismo script, va no solo la comprobacion usuario / e-mail sino tambien otra de mis "chapuzas" que creo que se comento hace unas semanas o meses.
>
> Se trata de controlar desde que pais se autentifica un usuario para enviar correo, en funcion del numero de paises distintos en un determinado periodo de tiempo, bloquea al usuario.
>
> Si eres ingeniero de soft, no tendras problemas en coger la idea en PERL y trasladarla a Python o al lenguaje que mas te guste.
>
> Y sobre el check_policy_service unix:private/usuariocuenta lo ejecuto independiente de cualquier otra comprobacion.
>
> El orden en que tengo todas las comprobaciones son:
>
> # 1 Conexión smtpd_client_restrictions
> # 2 HELO/EHLO smtpd_helo_restrictions
> # 3 MAIL FROM smtpd_sender_restrictions
> # 4 RCPT TO smtpd_recipient_restrictions
>
> Restringido_Autentificados =
>     check_sender_access hash:/etc/postfix/HOLD_Direccion_Envia.ini,
>     check_policy_service unix:private/usuariocuenta,
>     permit_sasl_authenticated,
>     reject
>
> smtpd_client_restrictions =
>    
> smtpd_helo_restrictions =
>     check_client_access hash:/etc/postfix/KO_a_Helo.ini,
>     permit
>
>    
> smtpd_sender_restrictions =
>     check_policy_service unix:private/usuariocuenta,
>     permit_sasl_authenticated,  
>     check_client_access hash:/etc/postfix/KO_a_Helo.ini,
>     check_client_access hash:/etc/postfix/OK_a_Tipo_Servidor.ini,
>     check_sender_access hash:/etc/postfix/OK_a_Direccion_Envia.ini,
>      check_client_access hash:/etc/postfix/KO_a_Tipo_Servidor.ini,
>     check_sender_access hash:/etc/postfix/KO_a_Direccion_Envia.ini,
>     reject_non_fqdn_helo_hostname,
>     reject_invalid_helo_hostname,
>      permit
>
>
> smtpd_recipient_restrictions =
>     check_recipient_access hash:/etc/postfix/OK_a_Direccion_Recibe.ini,
>     check_recipient_access hash:/etc/postfix/KO_a_Direccion_Recibe.ini,
>     check_policy_service unix:private/tiposervidor,
>     permit_mynetworks,
>     permit_sasl_authenticated,  
>     reject_unlisted_recipient,
>     reject_non_fqdn_recipient,
>     reject_unauth_pipelining,
>     reject_unauth_destination,
>     reject_invalid_hostname,
>     reject_non_fqdn_hostname,
>     reject_non_fqdn_sender,
>     reject_unknown_sender_domain,
>     reject_unknown_recipient_domain,
>     check_client_access hash:/etc/postfix/OK_a_Servidores_Envian.ini,
>     check_sender_access hash:/etc/postfix/OK_a_Direccion_Envia.ini,
>     reject_rbl_client bl.spamcop.net,
>     reject_rbl_client zen.spamhaus.org,
>     check_policy_service unix:private/comprobarspf,
>     permit
>
>
> Espero que te sirva, a ti y a cualquiera que lo pueda aprovechar/entender.
>
> P.D. Yo no soy ingeniero, ni tan siquiera hice mis estudios sobre informatica, en la Universidad, estudie Biologicas ... :D , explico esto por que todo lo que se, es autodidacta y las estructuras de mis programaciones siempre son mejorables.
>
>
>
> >>>>>>>>>>>>>> ******* Fin del mensaje ******* <<<<<<<<<<<<<<
>
>
> El 02/04/2014 12:10, Pau Peris escribió:
>
> Buenos días a todos,
>
> muchas gracias por vuestras aportaciones. Al final el hilo ha cogido empuje!
>
> Volviendo al asunto inicial, David y Salvador, os agradezco mucho vuestras aportaciones.
>
> Respecto al webmail, mencionar que existe la opción de eliminar la posibilidad de edición de Identidades pero lo que estoy buscando es una solución definitiva que actúe sobre el servidor SMTP y por lo tanto no deje fallos de seguridad en este sentido. Es decir, si finalmente existe la posibilidad de mantener el campo From vinculado al return-path/envelope sender, quisiera estar seguro que así es independientemente del cliente de email que el usuario final decida usar.
>
> Salvador, podrías facilitarme el script que comentas porfavor? Si la compartes le echaré un vistazo y veré que hago finalmente. De profesión soy ingeniero del software así que aunque no programo en Perl imagino que no sería complicado entender lo que has hecho y trasladarlo a otro lenguaje. Actualmente la solución para las validaciones SPF que estoy usando es Python ya que bajo mi punto de vista es algo mas completa. El caso es que estaba buscando una solución sencilla que no implicará cambios en el paradigma de trabajo que usa Postfix. La verdad que sigo con muchas dudas
>
> Salvador, si entiendo correctamente la siguiente restricción "check_policy_service unix:private/usuariocuenta" la ejecutas conjuntamente con SPF, DKIM, etc. correcto?
>
> Muchas gracias a todos.
>
> Atentamente
>
>
>
> _______________________________________________
> List de correo postfix-es para tratar temas del MTA postfix en español
> [hidden email]
> http://lists.wl0.org/mailman/listinfo/postfix-es

_______________________________________________
List de correo postfix-es para tratar temas del MTA postfix en español
[hidden email]
http://lists.wl0.org/mailman/listinfo/postfix-es
Reply | Threaded
Open this post in threaded view
|

Re: [postfix-es] Fwd: Re: Rechazar correos salientes donde el correo electrónico de envío no se corresponde con el correo usuado en login ni asociado a dicho usuario

Pau Peris
Buenos días Salvador,

acabo de echarle un vistazo a tu script.cgi y creo que tienes el mismo problema que vi ayer, y es que tal como se describe aquí http://www.postfix.org/SMTPD_POLICY_README.html el atributo from no es accesible, sender equivale a return-path.

Muchas gracias igualmente!


2014-04-03 10:31 GMT+02:00 Pau Peris <[hidden email]>:
>
> Buenos días Salvador,
>
> acabo de encontrar este correo en la carpeta Spam de Google Apps.
>
> Voy a echarle un ojo.
>
> Saludos!
>
>
> 2014-04-02 14:22 GMT+02:00 Salvador Guzman - Salman PSL <[hidden email]>:
>
> >
> >
> > :: Creo que la lista no admite adjuntos, asi que lo dejo unos dias en dropbox:
> >
> > https://www.dropbox.com/s/bztie0boipn4z1h/Comprueba_usuario_cuenta.cgi
> >
> > En el mismo script, va no solo la comprobacion usuario / e-mail sino tambien otra de mis "chapuzas" que creo que se comento hace unas semanas o meses.
> >
> > Se trata de controlar desde que pais se autentifica un usuario para enviar correo, en funcion del numero de paises distintos en un determinado periodo de tiempo, bloquea al usuario.
> >
> > Si eres ingeniero de soft, no tendras problemas en coger la idea en PERL y trasladarla a Python o al lenguaje que mas te guste.
> >
> > Y sobre el check_policy_service unix:private/usuariocuenta lo ejecuto independiente de cualquier otra comprobacion.
> >
> > El orden en que tengo todas las comprobaciones son:
> >
> > # 1 Conexión smtpd_client_restrictions
> > # 2 HELO/EHLO smtpd_helo_restrictions
> > # 3 MAIL FROM smtpd_sender_restrictions
> > # 4 RCPT TO smtpd_recipient_restrictions
> >
> > Restringido_Autentificados =
> >     check_sender_access hash:/etc/postfix/HOLD_Direccion_Envia.ini,
> >     check_policy_service unix:private/usuariocuenta,
> >     permit_sasl_authenticated,
> >     reject
> >
> > smtpd_client_restrictions =
> >    
> > smtpd_helo_restrictions =
> >     check_client_access hash:/etc/postfix/KO_a_Helo.ini,
> >     permit
> >
> >    
> > smtpd_sender_restrictions =
> >     check_policy_service unix:private/usuariocuenta,
> >     permit_sasl_authenticated,  
> >     check_client_access hash:/etc/postfix/KO_a_Helo.ini,
> >     check_client_access hash:/etc/postfix/OK_a_Tipo_Servidor.ini,
> >     check_sender_access hash:/etc/postfix/OK_a_Direccion_Envia.ini,
> >      check_client_access hash:/etc/postfix/KO_a_Tipo_Servidor.ini,
> >     check_sender_access hash:/etc/postfix/KO_a_Direccion_Envia.ini,
> >     reject_non_fqdn_helo_hostname,
> >     reject_invalid_helo_hostname,
> >      permit
> >
> >
> > smtpd_recipient_restrictions =
> >     check_recipient_access hash:/etc/postfix/OK_a_Direccion_Recibe.ini,
> >     check_recipient_access hash:/etc/postfix/KO_a_Direccion_Recibe.ini,
> >     check_policy_service unix:private/tiposervidor,
> >     permit_mynetworks,
> >     permit_sasl_authenticated,  
> >     reject_unlisted_recipient,
> >     reject_non_fqdn_recipient,
> >     reject_unauth_pipelining,
> >     reject_unauth_destination,
> >     reject_invalid_hostname,
> >     reject_non_fqdn_hostname,
> >     reject_non_fqdn_sender,
> >     reject_unknown_sender_domain,
> >     reject_unknown_recipient_domain,
> >     check_client_access hash:/etc/postfix/OK_a_Servidores_Envian.ini,
> >     check_sender_access hash:/etc/postfix/OK_a_Direccion_Envia.ini,
> >     reject_rbl_client bl.spamcop.net,
> >     reject_rbl_client zen.spamhaus.org,
> >     check_policy_service unix:private/comprobarspf,
> >     permit
> >
> >
> > Espero que te sirva, a ti y a cualquiera que lo pueda aprovechar/entender.
> >
> > P.D. Yo no soy ingeniero, ni tan siquiera hice mis estudios sobre informatica, en la Universidad, estudie Biologicas ... :D , explico esto por que todo lo que se, es autodidacta y las estructuras de mis programaciones siempre son mejorables.
> >
> >
> >
> > >>>>>>>>>>>>>> ******* Fin del mensaje ******* <<<<<<<<<<<<<<
> >
> >
> > El 02/04/2014 12:10, Pau Peris escribió:
> >
> > Buenos días a todos,
> >
> > muchas gracias por vuestras aportaciones. Al final el hilo ha cogido empuje!
> >
> > Volviendo al asunto inicial, David y Salvador, os agradezco mucho vuestras aportaciones.
> >
> > Respecto al webmail, mencionar que existe la opción de eliminar la posibilidad de edición de Identidades pero lo que estoy buscando es una solución definitiva que actúe sobre el servidor SMTP y por lo tanto no deje fallos de seguridad en este sentido. Es decir, si finalmente existe la posibilidad de mantener el campo From vinculado al return-path/envelope sender, quisiera estar seguro que así es independientemente del cliente de email que el usuario final decida usar.
> >
> > Salvador, podrías facilitarme el script que comentas porfavor? Si la compartes le echaré un vistazo y veré que hago finalmente. De profesión soy ingeniero del software así que aunque no programo en Perl imagino que no sería complicado entender lo que has hecho y trasladarlo a otro lenguaje. Actualmente la solución para las validaciones SPF que estoy usando es Python ya que bajo mi punto de vista es algo mas completa. El caso es que estaba buscando una solución sencilla que no implicará cambios en el paradigma de trabajo que usa Postfix. La verdad que sigo con muchas dudas
> >
> > Salvador, si entiendo correctamente la siguiente restricción "check_policy_service unix:private/usuariocuenta" la ejecutas conjuntamente con SPF, DKIM, etc. correcto?
> >
> > Muchas gracias a todos.
> >
> > Atentamente
> >
> >
> >
> > _______________________________________________
> > List de correo postfix-es para tratar temas del MTA postfix en español
> > [hidden email]
> > http://lists.wl0.org/mailman/listinfo/postfix-es

_______________________________________________
List de correo postfix-es para tratar temas del MTA postfix en español
[hidden email]
http://lists.wl0.org/mailman/listinfo/postfix-es
Reply | Threaded
Open this post in threaded view
|

Re: [postfix-es] Fwd: Re: Rechazar correos salientes donde el correo electrónico de envío no se corresponde con el correo usuado en login ni asociado a dicho usuario

Salvador Guzman - Salman PSL-2

:: el From, no es accesible directamente, pero la identificacion del  sender asociado al usuario, si que me esta parando tanto errores de usuarios, como envios de basura tras el robo de clave a algun usuario.


>>>>>>>>>>>>>> ******* Fin del mensaje ******* <<<<<<<<<<<<<<


El 03/04/2014 10:40, Pau Peris escribió:
Buenos días Salvador,

acabo de echarle un vistazo a tu script.cgi y creo que tienes el mismo problema que vi ayer, y es que tal como se describe aquí http://www.postfix.org/SMTPD_POLICY_README.html el atributo from no es accesible, sender equivale a return-path.

Muchas gracias igualmente!


_______________________________________________
List de correo postfix-es para tratar temas del MTA postfix en español
[hidden email]
http://lists.wl0.org/mailman/listinfo/postfix-es
Reply | Threaded
Open this post in threaded view
|

Re: [postfix-es] Fwd: Re: Rechazar correos salientes donde el correo electrónico de envío no se corresponde con el correo usuado en login ni asociado a dicho usuario

Pau Peris
Buenos días Salvador,

podrías detallar "envios de basura tras el robo de clave a algun usuario", no termino de entenderte. Cómo sabes cuando una clave ha sido robada?

Gracias,


2014-04-03 10:57 GMT+02:00 Salvador Guzman - Salman PSL <[hidden email]>:

:: el From, no es accesible directamente, pero la identificacion del  sender asociado al usuario, si que me esta parando tanto errores de usuarios, como envios de basura tras el robo de clave a algun usuario.



>>>>>>>>>>>>>> ******* Fin del mensaje ******* <<<<<<<<<<<<<<


El 03/04/2014 10:40, Pau Peris escribió:
Buenos días Salvador,

acabo de echarle un vistazo a tu script.cgi y creo que tienes el mismo problema que vi ayer, y es que tal como se describe aquí http://www.postfix.org/SMTPD_POLICY_README.html el atributo from no es accesible, sender equivale a return-path.

Muchas gracias igualmente!


_______________________________________________
List de correo postfix-es para tratar temas del MTA postfix en español
[hidden email]
http://lists.wl0.org/mailman/listinfo/postfix-es



--
Pau Peris Rodriguez
Chief Executive Officer (CEO)
Tel: 669650292
C/Balmes 211, Principal Segunda
Barcelona 08006
http://www.webeloping.es

Aquest correu electrònic conté informació de caràcter confidencial dirigida exclusivament al seu/s destinatari/s en còpia present. Tant mateix, queda prohibida la seva divulgació, copia o distribució a tercers sense prèvia autorització escrita per part de Pau Peris Rodriguez. En cas d'haver rebut aquesta informació per error, es demana que es notifiqui immediatament d'aquesta circumstancia mitjançant la direcció electrònica del emissor.

_______________________________________________
List de correo postfix-es para tratar temas del MTA postfix en español
[hidden email]
http://lists.wl0.org/mailman/listinfo/postfix-es
Reply | Threaded
Open this post in threaded view
|

Re: [postfix-es] Fwd: Re: Rechazar correos salientes donde el correo electrónico de envío no se corresponde con el correo usuado en login ni asociado a dicho usuario

Salvador Guzman - Salman PSL-2

:: Buenas,

 Cuando entra en accion la segunda parte del script, y detecta envios de correos desde distintos paises.

Y cuando intentan enviar correo autentificado sin ser el "sender" la direccion asociada al usuario.

>>>>>>>>>>>>>> ******* Fin del mensaje ******* <<<<<<<<<<<<<<


El 03/04/2014 11:01, Pau Peris escribió:
Buenos días Salvador,

podrías detallar "envios de basura tras el robo de clave a algun usuario", no termino de entenderte. Cómo sabes cuando una clave ha sido robada?

Gracias,


2014-04-03 10:57 GMT+02:00 Salvador Guzman - Salman PSL <[hidden email]>:

:: el From, no es accesible directamente, pero la identificacion del  sender asociado al usuario, si que me esta parando tanto errores de usuarios, como envios de basura tras el robo de clave a algun usuario.



>>>>>>>>>>>>>> ******* Fin del mensaje ******* <<<<<<<<<<<<<<


El 03/04/2014 10:40, Pau Peris escribió:
Buenos días Salvador,

acabo de echarle un vistazo a tu script.cgi y creo que tienes el mismo problema que vi ayer, y es que tal como se describe aquí http://www.postfix.org/SMTPD_POLICY_README.html el atributo from no es accesible, sender equivale a return-path.

Muchas gracias igualmente!


_______________________________________________
List de correo postfix-es para tratar temas del MTA postfix en español
[hidden email]
http://lists.wl0.org/mailman/listinfo/postfix-es



--
Pau Peris Rodriguez
Chief Executive Officer (CEO)
Tel: 669650292
C/Balmes 211, Principal Segunda
Barcelona 08006
http://www.webeloping.es

Aquest correu electrònic conté informació de caràcter confidencial dirigida exclusivament al seu/s destinatari/s en còpia present. Tant mateix, queda prohibida la seva divulgació, copia o distribució a tercers sense prèvia autorització escrita per part de Pau Peris Rodriguez. En cas d'haver rebut aquesta informació per error, es demana que es notifiqui immediatament d'aquesta circumstancia mitjançant la direcció electrònica del emissor.



_______________________________________________
List de correo postfix-es para tratar temas del MTA postfix en español
[hidden email]
http://lists.wl0.org/mailman/listinfo/postfix-es
Reply | Threaded
Open this post in threaded view
|

Re: [postfix-es] Fwd: Re: Rechazar correos salientes donde el correo electrónico de envío no se corresponde con el correo usuado en login ni asociado a dicho usuario

Pau Peris
Ok, gracias Salvador.

Por si te interesa, la segunda restricción la puedes resolver a través de Postfix mediante:

smtpd_sender_login_maps = proxy:mysql:/etc/postfix/mysql_sender_login_maps.cf

smtpd_sender_restrictions =
                                ...
                                reject_unlisted_sender,
                                reject_authenticated_sender_login_mismatch,

Saludos,


2014-04-03 11:08 GMT+02:00 Salvador Guzman - Salman PSL <[hidden email]>:
>
>
> :: Buenas,
>
>  Cuando entra en accion la segunda parte del script, y detecta envios de correos desde distintos paises.
>
> Y cuando intentan enviar correo autentificado sin ser el "sender" la direccion asociada al usuario.
>
>
> >>>>>>>>>>>>>> ******* Fin del mensaje ******* <<<<<<<<<<<<<<
>
>
> El 03/04/2014 11:01, Pau Peris escribió:
>
> Buenos días Salvador,
>
> podrías detallar "envios de basura tras el robo de clave a algun usuario", no termino de entenderte. Cómo sabes cuando una clave ha sido robada?
>
> Gracias,
>
>
> 2014-04-03 10:57 GMT+02:00 Salvador Guzman - Salman PSL <[hidden email]>:
>>
>>
>> :: el From, no es accesible directamente, pero la identificacion del  sender asociado al usuario, si que me esta parando tanto errores de usuarios, como envios de basura tras el robo de clave a algun usuario.
>>
>>
>>
>> >>>>>>>>>>>>>> ******* Fin del mensaje ******* <<<<<<<<<<<<<<
>>
>>
>> El 03/04/2014 10:40, Pau Peris escribió:
>>
>> Buenos días Salvador,
>>
>> acabo de echarle un vistazo a tu script.cgi y creo que tienes el mismo problema que vi ayer, y es que tal como se describe aquí http://www.postfix.org/SMTPD_POLICY_README.html el atributo from no es accesible, sender equivale a return-path.
>>
>> Muchas gracias igualmente!
>>
>>
>>
>> _______________________________________________
>> List de correo postfix-es para tratar temas del MTA postfix en español
>> [hidden email]
>> http://lists.wl0.org/mailman/listinfo/postfix-es

_______________________________________________
List de correo postfix-es para tratar temas del MTA postfix en español
[hidden email]
http://lists.wl0.org/mailman/listinfo/postfix-es
Reply | Threaded
Open this post in threaded view
|

Re: [postfix-es] Fwd: Re: Rechazar correos salientes donde el correo electrónico de envío no se corresponde con el correo usuado en login ni asociado a dicho usuario

Salvador Guzman - Salman PSL-2

:: No utilizo MySQL, trabajo con usuarios reales.


>>>>>>>>>>>>>> ******* Fin del mensaje ******* <<<<<<<<<<<<<<


El 03/04/2014 11:20, Pau Peris escribió:
Ok, gracias Salvador.

Por si te interesa, la segunda restricción la puedes resolver a través de Postfix mediante:

smtpd_sender_login_maps = proxy:mysql:/etc/postfix/mysql_sender_login_maps.cf

smtpd_sender_restrictions =
                                ...
                                reject_unlisted_sender,
                                reject_authenticated_sender_login_mismatch,

Saludos,


2014-04-03 11:08 GMT+02:00 Salvador Guzman - Salman PSL <[hidden email]>:
>
>
> :: Buenas,
>
>  Cuando entra en accion la segunda parte del script, y detecta envios de correos desde distintos paises.
>
> Y cuando intentan enviar correo autentificado sin ser el "sender" la direccion asociada al usuario.
>
>
> >>>>>>>>>>>>>> ******* Fin del mensaje ******* <<<<<<<<<<<<<<
>
>
> El 03/04/2014 11:01, Pau Peris escribió:
>
> Buenos días Salvador,
>
> podrías detallar "envios de basura tras el robo de clave a algun usuario", no termino de entenderte. Cómo sabes cuando una clave ha sido robada?
>
> Gracias,
>
>
> 2014-04-03 10:57 GMT+02:00 Salvador Guzman - Salman PSL <[hidden email]>:
>>
>>
>> :: el From, no es accesible directamente, pero la identificacion del  sender asociado al usuario, si que me esta parando tanto errores de usuarios, como envios de basura tras el robo de clave a algun usuario.
>>
>>
>>
>> >>>>>>>>>>>>>> ******* Fin del mensaje ******* <<<<<<<<<<<<<<
>>
>>
>> El 03/04/2014 10:40, Pau Peris escribió:
>>
>> Buenos días Salvador,
>>
>> acabo de echarle un vistazo a tu script.cgi y creo que tienes el mismo problema que vi ayer, y es que tal como se describe aquí http://www.postfix.org/SMTPD_POLICY_README.html el atributo from no es accesible, sender equivale a return-path.
>>
>> Muchas gracias igualmente!
>>
>>
>>
>> _______________________________________________
>> List de correo postfix-es para tratar temas del MTA postfix en español
>> [hidden email]
>> http://lists.wl0.org/mailman/listinfo/postfix-es



_______________________________________________
List de correo postfix-es para tratar temas del MTA postfix en español
[hidden email]
http://lists.wl0.org/mailman/listinfo/postfix-es
Reply | Threaded
Open this post in threaded view
|

Re: [postfix-es] Fwd: Re: Rechazar correos salientes donde el correo electrónico de envío no se corresponde con el correo usuado en login ni asociado a dicho usuario

Pau Peris
Buenas Salvador,

incluso así podrías resolverlo mediante las directivas anteriores. Era un apunte por si te interesaba, nunca se sabe.

Atentamente,



2014-04-03 11:26 GMT+02:00 Salvador Guzman - Salman PSL <[hidden email]>:
>
>
> :: No utilizo MySQL, trabajo con usuarios reales.
>
>
>
> >>>>>>>>>>>>>> ******* Fin del mensaje ******* <<<<<<<<<<<<<<
>
>
> El 03/04/2014 11:20, Pau Peris escribió:
>
> Ok, gracias Salvador.
>
> Por si te interesa, la segunda restricción la puedes resolver a través de Postfix mediante:
>
> smtpd_sender_login_maps = proxy:mysql:/etc/postfix/mysql_sender_login_maps.cf
>
> smtpd_sender_restrictions =
>                                 ...
>                                 reject_unlisted_sender,
>                                 reject_authenticated_sender_login_mismatch,
>
> Saludos,
>
>
> 2014-04-03 11:08 GMT+02:00 Salvador Guzman - Salman PSL <[hidden email]>:
> >
> >
> > :: Buenas,
> >
> >  Cuando entra en accion la segunda parte del script, y detecta envios de correos desde distintos paises.
> >
> > Y cuando intentan enviar correo autentificado sin ser el "sender" la direccion asociada al usuario.
> >
> >
> > >>>>>>>>>>>>>> ******* Fin del mensaje ******* <<<<<<<<<<<<<<
> >
> >
> > El 03/04/2014 11:01, Pau Peris escribió:
> >
> > Buenos días Salvador,
> >
> > podrías detallar "envios de basura tras el robo de clave a algun usuario", no termino de entenderte. Cómo sabes cuando una clave ha sido robada?
> >
> > Gracias,
> >
> >
> > 2014-04-03 10:57 GMT+02:00 Salvador Guzman - Salman PSL <[hidden email]>:
> >>
> >>
> >> :: el From, no es accesible directamente, pero la identificacion del  sender asociado al usuario, si que me esta parando tanto errores de usuarios, como envios de basura tras el robo de clave a algun usuario.
> >>
> >>
> >>
> >> >>>>>>>>>>>>>> ******* Fin del mensaje ******* <<<<<<<<<<<<<<
> >>
> >>
> >> El 03/04/2014 10:40, Pau Peris escribió:
> >>
> >> Buenos días Salvador,
> >>
> >> acabo de echarle un vistazo a tu script.cgi y creo que tienes el mismo problema que vi ayer, y es que tal como se describe aquí http://www.postfix.org/SMTPD_POLICY_README.html el atributo from no es accesible, sender equivale a return-path.
> >>
> >> Muchas gracias igualmente!
> >>
> >>
> >>
> >> _______________________________________________
> >> List de correo postfix-es para tratar temas del MTA postfix en español
> >> [hidden email]
> >> http://lists.wl0.org/mailman/listinfo/postfix-es

_______________________________________________
List de correo postfix-es para tratar temas del MTA postfix en español
[hidden email]
http://lists.wl0.org/mailman/listinfo/postfix-es