0
Segurizacion de servidor Postfix

Solved 2 Respuestas 7 Views
Herede una instalacion de servidores de email, y estoy empezando a segurizarla.

Ya implemente fail2ban para frenar intentos de logueo/robo de contraseña, bloqueos de IP para paises foraneos, antispam, etc

Hoy encontre revisando los logs del SMTP que el antispam bloqueo a pepe@dominioposta.com, siendo pepe un usuario que NO existe dentro de uno de los dominioposta.com que si existe.

La validacion de usuarios se hace via SASL contra una base de datos, pero por lo que entendi, solo valida al dominio, y no al usuario?

2 Respuestas

1
Mejor respuesta
Tenes que hacer que postfix valide que el from_address es igual al usuario que se valido en la sesion sasl. Ademas limita la cantidad de to_address por transaccion smtp y podes implementar http://wiki.policyd.org/ para trackear mejor el rate de lo que mandan y quien, y en todo caso limitar.
respondido por edux (12,430 puntos) Jul 13, 2015
seleccionada por Nairda Jul 13, 2015
0

como va, depende. Postfix no valida SASL sino que se apoya en otro servicio par ahacerlo. Por ejemplo, en mi caso se apyo en dovecot.  Osea, es dovecot el que valida user y pass y le dice a postfix si está ok o no.

Que dice esta linea del main.cf?. En mi caso lo tengo asi:

smtpd_sasl_type = dovecot

 

por otro lado, agregale lo siguiente, chequeo de blacklist:

#Restricciones en el momento de permitir la conexión

smtpd_client_restrictions =

reject_rbl_client cbl.abuseat.org,

reject_rbl_client bl.spamcop.net

 

Y por otro lado, podes limtar conecciones por IP y cantidad de mensajes para enviar.

smtpd_client_connection_count_limit=1

smtpd_client_connection_rate_limit=1

smtpd_client_message_rate_limit=10

smtpd_client_recipient_rate_limit=10

respondido por ikarudelabasto (3,220 puntos) Jul 13, 2015
1Comentarios
comentado por anónimo Jul 14, 2015
Mmm no tengo nada en smtpd_sasl_type, solo:

cat main.cf | grep smtpd_sasl
smtpd_sasl_auth_enable = yes
smtpd_sasl_security_options = noanonymous

y si veo la config actual me dice:
postconf -a
cyrus
dovecot
...