¡Te damos la bienvenida al nuevo sysarmy --help! Para recuperar tu usuario pedí un password reset.

Segurizacion de servidor Postfix

NairdaNairda
en Legacy
Herede una instalacion de servidores de email, y estoy empezando a segurizarla.

Ya implemente fail2ban para frenar intentos de logueo/robo de contraseña, bloqueos de IP para paises foraneos, antispam, etc

Hoy encontre revisando los logs del SMTP que el antispam bloqueo a [email protected], siendo pepe un usuario que NO existe dentro de uno de los dominioposta.com que si existe.

La validacion de usuarios se hace via SASL contra una base de datos, pero por lo que entendi, solo valida al dominio, y no al usuario?

Respuestas

  • eduxedux
    Tenes que hacer que postfix valide que el from_address es igual al usuario que se valido en la sesion sasl. Ademas limita la cantidad de to_address por transaccion smtp y podes implementar http://wiki.policyd.org/ para trackear mejor el rate de lo que mandan y quien, y en todo caso limitar.
  • ikarudelabastoikarudelabasto

    como va, depende. Postfix no valida SASL sino que se apoya en otro servicio par ahacerlo. Por ejemplo, en mi caso se apyo en dovecot.  Osea, es dovecot el que valida user y pass y le dice a postfix si está ok o no.

    Que dice esta linea del main.cf?. En mi caso lo tengo asi:

    smtpd_sasl_type = dovecot

     

    por otro lado, agregale lo siguiente, chequeo de blacklist:

    #Restricciones en el momento de permitir la conexión

    smtpd_client_restrictions =

    reject_rbl_client cbl.abuseat.org,

    reject_rbl_client bl.spamcop.net

     

    Y por otro lado, podes limtar conecciones por IP y cantidad de mensajes para enviar.

    smtpd_client_connection_count_limit=1

    smtpd_client_connection_rate_limit=1

    smtpd_client_message_rate_limit=10

    smtpd_client_recipient_rate_limit=10

Este hilo ha sido cerrado.

© Vanilla Keystone Theme 2024