-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
2006/11/15, Camaleón:
Inciso: telefónica está petada hoy. No recibo los correos de la lista, aunque alguna prueba si entra. Viene a responder esto: (host tnetmx.telefonica.net[213.4.149.64] said: 451 <**@teleline.es> unable to verify address (in reply to MAIL FROM command)) Podría ser que fuera porque yo estoy en una IP dinámica, pero también falla si viene desde otros proveedores, pero como de ellos no veo el log, sólo me lo puedo imaginar. Así que hoy veo las respuestas en gmail. :-/
¿Qué se su supone que se consigue con esta configuración?
* http://readlist.com/lists/postfix.org/postfix-users/8/44010.html
Después de haber estado investigando un poco más a fondo y haber estado haciendo algunas pruebas con el tema de la autentificación de los usuarios en Postfix mediante sasl, he llegado a las siguientes conclusiones:
- El uso del parámetro "reject_sender_login_mismatch" no sirve para este caso ya que no exige al usuario que se autentifique, sólo verifica la concordancia si éste lo hace.
O sea, ¿que si se ha autentificado, el from sea de la persona que se autentifica? Fíjate que esto no sirve para el caso de que el correo se reciba desde otro servidor que nos use como relay, porque nos viene el correo de multiples froms con la misma autentificación.
- Es posible (y mucha* gente** lo pide***) obligar a los usuarios de los dominios gestionados por Postfix que se autentifiquen si quieren enviar correo independientemente de que el destino sea local (el remoto ya lo hace) mediante "check_sender_access" y definiendo clase restrictiva.
Eso es la zona gris que dije.
¿Para qué solicitar la autentificación en este caso? Pues para evitar que se falsifique la dirección del remitente ("sender spoofing") del campo "From". Con esta medida le dices a Postfix que si un usuario se identifica como usuario de un dominio gestionado por Postfix se tiene que identificar, es decir, se le fuerza a establecer una conexión mediante autentificación, de lo contrario se le rechaza el correo.
Ejemplo:
telnet smtp.dominio.com 25 esmtp postfix mail from:
ok rcpt to: Please authenticate first ... Sin esta restricción, el correo seguiría su curso.
¿Donde pones el "check_sender_access"?
Inconvenientes de aplicar la autentificación a los usuarios locales:
1) Por ejemplo (y en ésto no había caído) muchas aplicaciones de control (por ejemplo, programas para la gestión de los sais) permiten el envío de correos electrónicos para establecer avisos según sucesos y no tienen la opción de utilizar la autentificación por lo que no podrían enviar avisos por e-mail.
Supongo que puedes tener algo intermedio, usando permit_mynetworks, con lo que los locales de la red local entran - y creo que la red local puede ser tan restrictiva como sólo el servidor. Ó, puedes hacer que los programas de control escriban todos a otro servidor postfix distinto (sin salida externa), el cual envía al principal autentificandose. ¿Se puede hacer con un dominio virtual del principal? Lo que hecho yo de menos en la docuemntación del postfix es una descripción de como funciona y como se hace todo, no una descripción de cada opción una a una. O sea, documentación de usuario en vez de programador.
2) Otro inconveniente, es que algunos clientes de correo electrónico antiguos tampoco implementan la autentificación por lo que sus mensajes serían rechazados si se dieran las circunstancias (mensajes con remitentes y destinatarios del mismo dominio local)
Si.
La conclusión a la que llego es que es posible forzar la autentificación de usuarios locales a usuarios locales pero no siempre puede resultar conveniente ya que lo se gana por un lado (evitar falsos remitentes) se pierde por otro (pérdida de servicios interesantes como notificaciones en clientes que no implementan la autentificación).
Como siempre, equilibrios... - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.2 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFFXGf/tTMYHG2NR9URAjrSAKCRxUT/puSENJXSOMyEvtirsQYc3gCglFGb +9X9JFrOLW+xC8oNzKRLlHc= =FjTw -----END PGP SIGNATURE-----