[postfix-es] Rechazar correos salientes donde el correo electrónico de envío no se corresponde con el correo usuado en login ni asociado a dicho usuario

Previous Topic Next Topic
 
classic Classic list List threaded Threaded
9 messages Options
Reply | Threaded
Open this post in threaded view
|

[postfix-es] Rechazar correos salientes donde el correo electrónico de envío no se corresponde con el correo usuado en login ni asociado a dicho usuario

Pau Peris
Buenas tardes,

actualmente me encuentro en la situación que después de haber configurado Postfix 2.11 para rechazar correos salientes donde la dirección de correo electrónico usada para enviar no se corresponde con la dirección de correo electrónico usada para realizar login en el sistema SMTP - mediante saslauth - ni tampoco con otras direcciones de correo relacionadas con dicha dirección de email.

Para prevenir la suplantación o edición del correo electrónico usado para enviar, principalmente, he añadido la siguiente configuración:

## La siguiente consulta devuelve las direcciones de correo electrónico a las que tiene acceso el usuario en cuestión.
smtpd_sender_login_maps = proxy:mysql:/etc/postfix/mysql_sender_login_maps.cf

smtpd_sender_restrictions =
                                ...
                                reject_unlisted_sender,
                                reject_authenticated_sender_login_mismatch,
                                ...
A través de la configuración actual si un usuario decide editar su Identidad - Roundcube, rainLoop, Mozilla Thunderbird, etc. permiten hacerlo - y cambiar la dirección de correo electrónico usada para enviar la siguiente restricción es lanzada y no se permite enviar el correo electrónico, lo cual es exactamente lo que estoy buscando.

Nota: [hidden email] es la dirección de correo electrónico que no poseo y a través e la cual estoy intentando enviar. [hidden email] es la dirección que si poseo y he usado para autenticarme en el sistema.
<[hidden email]>: Sender address rejected: not owned by user ws@webeloping; from=<[hidden email]> to=<[hidden email]> proto=ESMTP helo=<host.ejemplo.es>
Aquí aparece el conjunto relevante completo mostrado en mail.log https://gist.github.com/sibok/efb72be811a51691913a

Aunque el comportamiento anterior parece funcionar correctamente, existe una excepción cuando la identidad es editada a través de AfterLogic Webmail. Entendiendo que ese es un caso no controlado, este es el Caso/Problema que estoy intentando resolver. Resulta que cuando envío a través de este último cliente en lugar de cambiar las cabeceras from tal y como se muestra en el anterior Gist el cambio lo hace mediante otro mecanismo/propiedad que desconozco ya que la dirección [hidden email] en la línia de log correspondiente a opendkim.

opendkim[17106]: 72C664232B: no signing table match for '[hidden email]'

Aquí está la salida de log completa https://gist.github.com/sibok/8d453626d72ce16ef7de

Aquí están las cabeceras del correo electrónico, una vez recibido en Google Apps. https://gist.github.com/sibok/4cff4c5865ea868181e7

Veréis que el from: pertenece a [hidden email] mientras que return-path es correcto.

From: "test" <[hidden email]>

Return-Path: <[hidden email]>

En el siguiente Gist encontrareis la configuración actual en uso de Postfix, sin editar. https://gist.github.com/sibok/e66a5e3d84811c7afc98

Alguien sabría explicar que puede estar pasando y cómo resolverlo?

Gracias de ante mano!

_______________________________________________
List de correo postfix-es para tratar temas del MTA postfix en español
[hidden email]
http://lists.wl0.org/mailman/listinfo/postfix-es
Reply | Threaded
Open this post in threaded view
|

Re: [postfix-es] Rechazar correos salientes donde el correo electrónico de envío no se corresponde con el correo usuado en login ni asociado a dicho usuario

Pau Peris
Muchas gracias Rodrigo,

si, las restricciones es lo que estoy usando para filtrar este tipo de correos. Lo que me interesa es rechazar aquellos correos donde la dirección de envió no concuerda con la usada para hacer login o sencillamente cuando el usuario autenticado no es propietario de dicha dirección de envío.

Veo que no es muy activa esta lista, o si? Espero que haya por aquí algún gurú del Postfix que pueda ayudar porqué a mi esto se me escapa.

Gracias de nuevo,


2014-04-01 18:06 GMT+02:00 Rodrigo Nicolas Gliksberg Diaz <[hidden email]>:
>
> Haber si entiendo queres que el usuario de login sea igual que el del form?, si es asi tiene que tocar http://www.postfix.org/postconf.5.html#smtpd_sender_restrictions
>
>
> El 1 de abril de 2014, 17:55, Pau Peris <[hidden email]> escribió:
>
>> Buenas tardes Rodrigo,
>>
>> primeramente quiero agradecerte la intención y el tiempo dedicado! :D
>>
>> Respecto a SASL TLS comentar que no tiene conexión alguna con la questión que he planteado. Si miras el enlace Gist donde aparece la configuración actual verás que actualmente estoy usando SASL para los puertos SMTP, SMTPS i Submission.
>>
>> Respecto al asunto que planteaba, lo resumo por si no he me he explicado correctamente.
>>
>> Actualmente estoy rechazando los correos salientes - los enviados des de mi servidor - únicamente en los casos la dirección from: no concuerda con la dirección de autenticación y tampoco forma parte del conjunto de direcciones válidas relacionadas con dicha dirección de correo electrónico.
>>
>>
>> smtpd_sender_login_maps = proxy:mysql:/etc/postfix/mysql_sender_login_maps.cf
>>
>> smtpd_sender_restrictions =
>>                                 ...
>>                                 reject_unlisted_sender,
>>                                 reject_authenticated_sender_login_mismatch,
>>                                 ...
>>
>> Lo anterior funciona correctamente a excepción de los correos cuya identidad - dirección de correo electrónico - ha sido alterada des de AfterLogic Webmail. Al parecer - mirando los logs - la dirección from: es la misma usada para autenticar pero si miramos la línea opendkim y las cabeceras del correo una vez recibido en Google Apps encontraremos la dirección [hidden email] que es la que el usuario elegido a través del selector de identidades. Es decir, cuando el correo se envía des de AfterLogic Webmail Postfix no rechaza el correo electrónico porque la dirección from: concuerda con el login pero no se refleja así una vez el correo electrónico es distribuido a su recipiente.
>>
>> Espero que ahora esté todo mas claro. Entiendo que el caso no es trivial, por ello he aportado la información publicada que debería ser de ayuda para comprender minimamente el problema.
>>
>> Muchas gracias por vuestra ayuda,
>>
>>
>> 2014-04-01 17:36 GMT+02:00 Rodrigo Nicolas Gliksberg Diaz <[hidden email]>:
>>
>>> Querido no es la forma de hacer eso, tenes que meter SASL tls y poner permit_sasl_authenticated
>>>
>>>
>>> El 1 de abril de 2014, 15:48, Pau Peris <[hidden email]> escribió:
>>>>
>>>> Buenas tardes,
>>>>
>>>> actualmente me encuentro en la situación que después de haber configurado Postfix 2.11 para rechazar correos salientes donde la dirección de correo electrónico usada para enviar no se corresponde con la dirección de correo electrónico usada para realizar login en el sistema SMTP - mediante saslauth - ni tampoco con otras direcciones de correo relacionadas con dicha dirección de email.
>>>>
>>>> Para prevenir la suplantación o edición del correo electrónico usado para enviar, principalmente, he añadido la siguiente configuración:
>>>>
>>>> ## La siguiente consulta devuelve las direcciones de correo electrónico a las que tiene acceso el usuario en cuestión.
>>>> smtpd_sender_login_maps = proxy:mysql:/etc/postfix/mysql_sender_login_maps.cf
>>>>
>>>> smtpd_sender_restrictions =
>>>>                                 ...
>>>>                                 reject_unlisted_sender,
>>>>                                 reject_authenticated_sender_login_mismatch,
>>>>                                 ...
>>>> A través de la configuración actual si un usuario decide editar su Identidad - Roundcube, rainLoop, Mozilla Thunderbird, etc. permiten hacerlo - y cambiar la dirección de correo electrónico usada para enviar la siguiente restricción es lanzada y no se permite enviar el correo electrónico, lo cual es exactamente lo que estoy buscando.
>>>>
>>>> Nota: [hidden email] es la dirección de correo electrónico que no poseo y a través e la cual estoy intentando enviar. [hidden email] es la dirección que si poseo y he usado para autenticarme en el sistema.
>>>> <[hidden email]>: Sender address rejected: not owned by user ws@webeloping; from=<[hidden email]> to=<[hidden email]> proto=ESMTP helo=<host.ejemplo.es>
>>>> Aquí aparece el conjunto relevante completo mostrado en mail.log https://gist.github.com/sibok/efb72be811a51691913a
>>>>
>>>> Aunque el comportamiento anterior parece funcionar correctamente, existe una excepción cuando la identidad es editada a través de AfterLogic Webmail. Entendiendo que ese es un caso no controlado, este es el Caso/Problema que estoy intentando resolver. Resulta que cuando envío a través de este último cliente en lugar de cambiar las cabeceras from tal y como se muestra en el anterior Gist el cambio lo hace mediante otro mecanismo/propiedad que desconozco ya que la dirección [hidden email] en la línia de log correspondiente a opendkim.
>>>>
>>>> opendkim[17106]: 72C664232B: no signing table match for '[hidden email]'
>>>>
>>>> Aquí está la salida de log completa https://gist.github.com/sibok/8d453626d72ce16ef7de
>>>>
>>>> Aquí están las cabeceras del correo electrónico, una vez recibido en Google Apps. https://gist.github.com/sibok/4cff4c5865ea868181e7
>>>>
>>>> Veréis que el from: pertenece a [hidden email] mientras que return-path es correcto.
>>>>
>>>> From: "test" <[hidden email]>
>>>>
>>>> Return-Path: <[hidden email]>
>>>>
>>>> En el siguiente Gist encontrareis la configuración actual en uso de Postfix, sin editar. https://gist.github.com/sibok/e66a5e3d84811c7afc98
>>>>
>>>> Alguien sabría explicar que puede estar pasando y cómo resolverlo?
>>>>
>>>> Gracias de ante mano!
>>>>
>>>> _______________________________________________
>>>> List de correo postfix-es para tratar temas del MTA postfix en español
>>>> [hidden email]
>>>> http://lists.wl0.org/mailman/listinfo/postfix-es

_______________________________________________
List de correo postfix-es para tratar temas del MTA postfix en español
[hidden email]
http://lists.wl0.org/mailman/listinfo/postfix-es
Reply | Threaded
Open this post in threaded view
|

Re: [postfix-es] Rechazar correos salientes donde el correo electrónico de envío no se corresponde con el correo usuado en login ni asociado a dicho usuario

tech-asensu
En 01/04/14 18:26, Pau Peris escribiu:
Muchas gracias Rodrigo,

si, las restricciones es lo que estoy usando para filtrar este tipo de correos. Lo que me interesa es rechazar aquellos correos donde la dirección de envió no concuerda con la usada para hacer login o sencillamente cuando el usuario autenticado no es propietario de dicha dirección de envío.

Veo que no es muy activa esta lista, o si? Espero que haya por aquí algún gurú del Postfix que pueda ayudar porqué a mi esto se me escapa.

Muy buenas.

Ningún gurú de este lado, me temo, pero en todo caso, puede que lo que busques esté relacionado con las "Helo restrictions"

Échale un ojo a:

 http://wiki.centos.org/HowTos/postfix_restrictions#head-1e926d2584d06bcb3f4194359959f0dd013c54d4

"When a client system first connects to our email server, it is required to identity itself using the smtp HELO command. Many spammers either try to either skip this step altogether, will send impossibly invalid information, or will deliberately try to obfuscate their identity to gain access. Either way, we can safely reject connections from clients that are severely mis-configured or that are deliberately obfuscating their identity. "

Saludos.


_______________________________________________
List de correo postfix-es para tratar temas del MTA postfix en español
[hidden email]
http://lists.wl0.org/mailman/listinfo/postfix-es
Reply | Threaded
Open this post in threaded view
|

Re: [postfix-es] Rechazar correos salientes donde el correo electrónico de envío no se corresponde con el correo usuado en login ni asociado a dicho usuario

Santiago Vila
On Tue, 1 Apr 2014, tech-asensu wrote:

> Échale un ojo a:
>
>  http://wiki.centos.org/HowTos/postfix_restrictions#head-1e926d2584d06bcb3f4194359959f0dd013c54d4
>
> "When a client system first connects to our email server, it is required to identity itself using the smtp HELO
> command. Many spammers either try to either skip this step altogether, will send impossibly invalid information, or
> will deliberately try to obfuscate their identity to gain access. Either way, we can safely reject connections from
> clients that are severely mis-configured or that are deliberately obfuscating their identity. "

Eso es para el correo entrante. Lo que dice Pau es para el correo saliente.


Por otro lado, no entiendo por qué es tan importante que el From: del
mensaje tenga que ser igual que el From del sobre, como si fuera un
"coladero" o algo así. Todos los mensajes autenticados incluirán una
cabecera Received: con la información de quién es el usuario real:


Received: from elquesea (elquesea [192.168.1.2])
        Authenticated sender: [hidden email]
        [...]

con lo que no hay escapatoria: Si se usa el correo autenticado siempre
se sabe quién es el usuario.
_______________________________________________
List de correo postfix-es para tratar temas del MTA postfix en español
[hidden email]
http://lists.wl0.org/mailman/listinfo/postfix-es
Reply | Threaded
Open this post in threaded view
|

Re: [postfix-es] Rechazar correos salientes donde el correo electrónico de envío no se corresponde con el correo usuado en login ni asociado a dicho usuario

Salvador Guzman - Salman PSL-2
In reply to this post by Pau Peris


:: Pau, eso me lo plantee yo el año pasado, y le di unas cuantas vueltas por un lado averiguar que es un usuario autentificado, y por otro que ese usuario  envie  tan solo con la direccion que se le asigna en el virtual.txt.

Como tantas modificaciones que he ido haciendo eche mano del script de comprobacion de SPF en PERL.

OJO, un duplicado, no sobre el script original que ya lo tengo demasiado modificado.

En principio ese script, te permite identificar a los usuarios autentificados con saslauth, de forma que ya tenia mas de la mitad solucionada, y lo siguiente no es mas que leer el fichero virtual.txt de postfix, buscar el usuario y comprobar que la direccion asignada coincide con la direccion que quiere enviar el correo.

Si es correcto envia un DUNNO si no un contundente "REJECT el usuario XXXXXXXX no esta autorizado a enviar correo con la direccion [hidden email].

Todo esto programado en PERL a partir del script original de comprobacion de SPF.

Y lo unico que hay que hacer es añadir al

main.cf:

smtpd_sender_restrictions =
    check_policy_service unix:private/usuariocuenta,
    permit_sasl_authenticated,   
.../...

Y al

master.cf

usuariocuenta  unix  -       n       n       -       0       spawn
  user=X_Usu_Cuen argv=/usr/bin/perl /Filtros/Comprueba_usuario_cuenta.cgi


Si controlas PERL, te metes a investigar con Postfix, y tienes un servidor que no este en produccion para hacer las pruebas, pues todo es ponerse.

Pero una solucion "pret a porter" me temo que no hay.




>>>>>>>>>>>>>> ******* Fin del mensaje ******* <<<<<<<<<<<<<<


El 01/04/2014 18:26, Pau Peris escribió:
Muchas gracias Rodrigo,

si, las restricciones es lo que estoy usando para filtrar este tipo de correos. Lo que me interesa es rechazar aquellos correos donde la dirección de envió no concuerda con la usada para hacer login o sencillamente cuando el usuario autenticado no es propietario de dicha dirección de envío.

Veo que no es muy activa esta lista, o si? Espero que haya por aquí algún gurú del Postfix que pueda ayudar porqué a mi esto se me escapa.

Gracias de nuevo,





_______________________________________________
List de correo postfix-es para tratar temas del MTA postfix en español
[hidden email]
http://lists.wl0.org/mailman/listinfo/postfix-es
Reply | Threaded
Open this post in threaded view
|

Re: [postfix-es] Rechazar correos salientes donde el correo electrónico de envío no se corresponde con el correo usuado en login ni asociado a dicho usuario

David Figuera-2
In reply to this post by Pau Peris
On Tue, 1 Apr 2014 15:48:32 +0200 Pau Peris <[hidden email]> wrote:

[...]

> Para prevenir la suplantación o edición del correo electrónico usado para
> enviar, principalmente, he añadido la siguiente configuración:
>
> ## La siguiente consulta devuelve las direcciones de correo electrónico a
> las que tiene acceso el usuario en cuestión.
> smtpd_sender_login_maps = proxy:mysql:/etc/postfix/mysql_sender_login_maps.cf
> smtpd_sender_restrictions =
>                                 ...
>                                 reject_unlisted_sender,
>                                 reject_authenticated_sender_login_mismatch,
>                                 ...

De la documentación sobre el archivo main.cf:

reject_authenticated_sender_login_mismatch
Enforces the reject_sender_login_mismatch restriction for authenticated clients only. This feature is available in Postfix version 2.1 and later.

reject_sender_login_mismatch
Reject the request when $smtpd_sender_login_maps specifies an owner for the MAIL FROM address, but the client is not (SASL) logged in as that MAIL FROM address owner; or when the client is (SASL) logged in, but the client login name doesn't own the MAIL FROM address according to $smtpd_sender_login_maps.

Como te han dicho en la lista de postfix en inglés, esa directiva actúa sobre la dirección de envío durante la conversación SMTP (envelope sender address), no sobre la cabecera "From:".

Lo que creo que está pasando, es que el webmail que comentas, está usando la dirección "correcta", para el comando "MAIL FROM", pero si el usuario especifica otra distinta para la cabecera "From:" sólo cambia la dirección de dicha cabecera y no en el comando MAIL FROM.

En mi opinión, la solución la debes buscar en la configuración del programa webmail.

en el hilo de postfix-users, alguien te ha sugerido una solución para aplicarla a postfix, que consiste en utilizar una instancia dedicada de cleanup(8) para el servicio submission, que elimina la cabecera "From:" y postfix, al no encontrar la cabecera, la inserta con la dirección del MAIL FROM.

Lo único es que obviamente sólo inserta la dirección de correo, no el nombre, así que igual no es una solución aceptable.

Yo creo que deberías investigar la configuración del webmail, con un poco de suerte, podrá consultar la tabla SQL donde asocias las direcciones de correo con el login SASL.
_______________________________________________
List de correo postfix-es para tratar temas del MTA postfix en español
[hidden email]
http://lists.wl0.org/mailman/listinfo/postfix-es
Reply | Threaded
Open this post in threaded view
|

Re: [postfix-es] Rechazar correos salientes donde el correo electrónico de envío no se corresponde con el correo usuado en login ni asociado a dicho usuario

Santiago Vila
In reply to this post by Santiago Vila
La otra cosa que no entiendo es que vengas aquí a preguntar lo mismo
que preguntaste en la lista de postfix en inglés, después de que allí
ya te han respondido que postfix en principio no está pensado para
comprobar el From: del mensaje, pues a menudo puede y debe ser
distinto que el envelope-from.

Si configuras postfix para que rechace esos mensajes, será imposible
que en ese dominio alojes una lista de correo, por ejemplo.

Así que ya son ganas de romper los estándares.
_______________________________________________
List de correo postfix-es para tratar temas del MTA postfix en español
[hidden email]
http://lists.wl0.org/mailman/listinfo/postfix-es
Reply | Threaded
Open this post in threaded view
|

Re: [postfix-es] Rechazar correos salientes donde el correo electrónico de envío no se corresponde con el correo usuado en login ni asociado a dicho usuario

Jose Alberto
In reply to this post by Pau Peris
Pau.

Edite mi cliente de correo smtp en IceDove, mi cuenta es por ej: [hidden email]  y la cambie por [hidden email]  dejando la autenticación (sasl) del postfix con el usuario jsejo

El correo se envio, claro por que valida, pero me dejo enviar con la cuenta falsa [hidden email] como remitente.  lo curioso es que el correo llego en spam (enviado a un gmail).

Es eso lo que quieres evitar? que un usuario pueda enviar correo haciéndose pasar por otro?









 


2014-04-01 9:18 GMT-04:30 Pau Peris <[hidden email]>:
Buenas tardes,

actualmente me encuentro en la situación que después de haber configurado Postfix 2.11 para rechazar correos salientes donde la dirección de correo electrónico usada para enviar no se corresponde con la dirección de correo electrónico usada para realizar login en el sistema SMTP - mediante saslauth - ni tampoco con otras direcciones de correo relacionadas con dicha dirección de email.

Para prevenir la suplantación o edición del correo electrónico usado para enviar, principalmente, he añadido la siguiente configuración:

## La siguiente consulta devuelve las direcciones de correo electrónico a las que tiene acceso el usuario en cuestión.
smtpd_sender_login_maps = proxy:mysql:/etc/postfix/mysql_sender_login_maps.cf

smtpd_sender_restrictions =
                                ...
                                reject_unlisted_sender,
                                reject_authenticated_sender_login_mismatch,
                                ...
A través de la configuración actual si un usuario decide editar su Identidad - Roundcube, rainLoop, Mozilla Thunderbird, etc. permiten hacerlo - y cambiar la dirección de correo electrónico usada para enviar la siguiente restricción es lanzada y no se permite enviar el correo electrónico, lo cual es exactamente lo que estoy buscando.

Nota: [hidden email] es la dirección de correo electrónico que no poseo y a través e la cual estoy intentando enviar. [hidden email] es la dirección que si poseo y he usado para autenticarme en el sistema.
<[hidden email]>: Sender address rejected: not owned by user ws@webeloping; from=<[hidden email]> to=<[hidden email]> proto=ESMTP helo=<host.ejemplo.es>
Aquí aparece el conjunto relevante completo mostrado en mail.log https://gist.github.com/sibok/efb72be811a51691913a

Aunque el comportamiento anterior parece funcionar correctamente, existe una excepción cuando la identidad es editada a través de AfterLogic Webmail. Entendiendo que ese es un caso no controlado, este es el Caso/Problema que estoy intentando resolver. Resulta que cuando envío a través de este último cliente en lugar de cambiar las cabeceras from tal y como se muestra en el anterior Gist el cambio lo hace mediante otro mecanismo/propiedad que desconozco ya que la dirección [hidden email] en la línia de log correspondiente a opendkim.

opendkim[17106]: 72C664232B: no signing table match for '[hidden email]'

Aquí está la salida de log completa https://gist.github.com/sibok/8d453626d72ce16ef7de

Aquí están las cabeceras del correo electrónico, una vez recibido en Google Apps. https://gist.github.com/sibok/4cff4c5865ea868181e7

Veréis que el from: pertenece a [hidden email] mientras que return-path es correcto.

From: "test" <[hidden email]>

Return-Path: <[hidden email]>

En el siguiente Gist encontrareis la configuración actual en uso de Postfix, sin editar. https://gist.github.com/sibok/e66a5e3d84811c7afc98

Alguien sabría explicar que puede estar pasando y cómo resolverlo?

Gracias de ante mano!

_______________________________________________
List de correo postfix-es para tratar temas del MTA postfix en español
[hidden email]
http://lists.wl0.org/mailman/listinfo/postfix-es



--
#############################
#   Sistema Operativo: Debian      #
#        Caracas, Venezuela          #
#############################

_______________________________________________
List de correo postfix-es para tratar temas del MTA postfix en español
[hidden email]
http://lists.wl0.org/mailman/listinfo/postfix-es
Reply | Threaded
Open this post in threaded view
|

Re: [postfix-es] Rechazar correos salientes donde el correo electrónico de envío no se corresponde con el correo usuado en login ni asociado a dicho usuario

Pau Peris

Actualmente mediante las xirectivas anteriores soy capaz d rechazar el correo saliente si el campo return-path - envelope sender - no se corresponde con el login o no es propiedad - se valjda mediante la tabla de mapas - del usuariko autenticado.

Estoy interesado en tambien rechazar los mismos casos pero para el campo from. Eso si, siendo capaz d respetar el caso resent-from.

Sent from my Android mobile, excuse the brevity.

On Apr 5, 2014 6:55 PM, "Jose Alberto" <[hidden email]> wrote:
Pau.

Edite mi cliente de correo smtp en IceDove, mi cuenta es por ej: [hidden email]  y la cambie por [hidden email]  dejando la autenticación (sasl) del postfix con el usuario jsejo

El correo se envio, claro por que valida, pero me dejo enviar con la cuenta falsa [hidden email] como remitente.  lo curioso es que el correo llego en spam (enviado a un gmail).

Es eso lo que quieres evitar? que un usuario pueda enviar correo haciéndose pasar por otro?









 


2014-04-01 9:18 GMT-04:30 Pau Peris <[hidden email]>:
Buenas tardes,

actualmente me encuentro en la situación que después de haber configurado Postfix 2.11 para rechazar correos salientes donde la dirección de correo electrónico usada para enviar no se corresponde con la dirección de correo electrónico usada para realizar login en el sistema SMTP - mediante saslauth - ni tampoco con otras direcciones de correo relacionadas con dicha dirección de email.

Para prevenir la suplantación o edición del correo electrónico usado para enviar, principalmente, he añadido la siguiente configuración:

## La siguiente consulta devuelve las direcciones de correo electrónico a las que tiene acceso el usuario en cuestión.
smtpd_sender_login_maps = proxy:mysql:/etc/postfix/mysql_sender_login_maps.cf

smtpd_sender_restrictions =
                                ...
                                reject_unlisted_sender,
                                reject_authenticated_sender_login_mismatch,
                                ...
A través de la configuración actual si un usuario decide editar su Identidad - Roundcube, rainLoop, Mozilla Thunderbird, etc. permiten hacerlo - y cambiar la dirección de correo electrónico usada para enviar la siguiente restricción es lanzada y no se permite enviar el correo electrónico, lo cual es exactamente lo que estoy buscando.

Nota: [hidden email] es la dirección de correo electrónico que no poseo y a través e la cual estoy intentando enviar. [hidden email] es la dirección que si poseo y he usado para autenticarme en el sistema.
<[hidden email]>: Sender address rejected: not owned by user ws@webeloping; from=<[hidden email]> to=<[hidden email]> proto=ESMTP helo=<host.ejemplo.es>
Aquí aparece el conjunto relevante completo mostrado en mail.log https://gist.github.com/sibok/efb72be811a51691913a

Aunque el comportamiento anterior parece funcionar correctamente, existe una excepción cuando la identidad es editada a través de AfterLogic Webmail. Entendiendo que ese es un caso no controlado, este es el Caso/Problema que estoy intentando resolver. Resulta que cuando envío a través de este último cliente en lugar de cambiar las cabeceras from tal y como se muestra en el anterior Gist el cambio lo hace mediante otro mecanismo/propiedad que desconozco ya que la dirección [hidden email] en la línia de log correspondiente a opendkim.

opendkim[17106]: 72C664232B: no signing table match for '[hidden email]'

Aquí está la salida de log completa https://gist.github.com/sibok/8d453626d72ce16ef7de

Aquí están las cabeceras del correo electrónico, una vez recibido en Google Apps. https://gist.github.com/sibok/4cff4c5865ea868181e7

Veréis que el from: pertenece a [hidden email] mientras que return-path es correcto.

From: "test" <[hidden email]>

Return-Path: <[hidden email]>

En el siguiente Gist encontrareis la configuración actual en uso de Postfix, sin editar. https://gist.github.com/sibok/e66a5e3d84811c7afc98

Alguien sabría explicar que puede estar pasando y cómo resolverlo?

Gracias de ante mano!

_______________________________________________
List de correo postfix-es para tratar temas del MTA postfix en español
[hidden email]
http://lists.wl0.org/mailman/listinfo/postfix-es



--
#############################
#   Sistema Operativo: Debian      #
#        Caracas, Venezuela          #
#############################

_______________________________________________
List de correo postfix-es para tratar temas del MTA postfix en español
[hidden email]
http://lists.wl0.org/mailman/listinfo/postfix-es