2006/11/15, Camaleón:
¿Qué se su supone que se consigue con esta configuración?
* http://readlist.com/lists/postfix.org/postfix-users/8/44010.html
Después de haber estado investigando un poco más a fondo y haber
estado haciendo algunas pruebas con el tema de la autentificación de
los usuarios en Postfix mediante sasl, he llegado a las siguientes
conclusiones:
- El uso del parámetro "reject_sender_login_mismatch" no sirve para
este caso ya que no exige al usuario que se autentifique, sólo
verifica la concordancia si éste lo hace.
- Es posible (y mucha* gente** lo pide***) obligar a los usuarios de
los dominios gestionados por Postfix que se autentifiquen si quieren
enviar correo independientemente de que el destino sea local (el
remoto ya lo hace) mediante "check_sender_access" y definiendo clase
restrictiva.
¿Para qué solicitar la autentificación en este caso? Pues para evitar
que se falsifique la dirección del remitente ("sender spoofing") del
campo "From". Con esta medida le dices a Postfix que si un usuario se
identifica como usuario de un dominio gestionado por Postfix se tiene
que identificar, es decir, se le fuerza a establecer una conexión
mediante autentificación, de lo contrario se le rechaza el correo.
Ejemplo:
telnet smtp.dominio.com 25
esmtp postfix
mail from:
ok
rcpt to:
Please authenticate first
...
Sin esta restricción, el correo seguiría su curso.
Inconvenientes de aplicar la autentificación a los usuarios locales:
1) Por ejemplo (y en ésto no había caído) muchas aplicaciones de
control (por ejemplo, programas para la gestión de los sais) permiten
el envío de correos electrónicos para establecer avisos según sucesos
y no tienen la opción de utilizar la autentificación por lo que no
podrían enviar avisos por e-mail.
2) Otro inconveniente, es que algunos clientes de correo electrónico
antiguos tampoco implementan la autentificación por lo que sus
mensajes serían rechazados si se dieran las circunstancias (mensajes
con remitentes y destinatarios del mismo dominio local)
La conclusión a la que llego es que es posible forzar la
autentificación de usuarios locales a usuarios locales pero no siempre
puede resultar conveniente ya que lo se gana por un lado (evitar
falsos remitentes) se pierde por otro (pérdida de servicios
interesantes como notificaciones en clientes que no implementan la
autentificación).
* http://archives.neohapsis.com/archives/postfix/2003-10/3074.html
** http://archives.neohapsis.com/archives/postfix/2004-06/0079.html
*** http://archives.neohapsis.com/archives/postfix/2005-04/1707.html
Saludos,
--
Camaleón
---------------------------------------------------------------------
Para dar de baja la suscripción, mande un mensaje a:
opensuse-es+unsubscribe@opensuse.org
Para obtener el resto de direcciones-comando, mande
un mensaje a:
opensuse-es+help@suse.com