[opensuse-es] postfix: es normal este comportamiento?
Hola a todos Resulta que tengo unos dominios contratados en un proveedor. Usan postfix como servidor de correo y he visto un comportamiento que no me cuadra pero desde alli me dicen que es normal. Para poder enviar correo se necesita user y pass, pero solo si la direccion de correo destino no pertenece a ningun dominio de la maquina. Si va para la propia maquina no necesita autentificacion y es mas, puede enviarlo como una direccion que no pertenece al dominio. Ejemplo: Si un tipo configura su correo como kk@terra.es y usa como SMTP el servidor de correo de mi proveedor y envia un correo a midireccion@midominio.com como ese dominio pertenece a la misma maquina que el SMTP, pues acepta el correo, sin pedir pass ni nada. Como digo a mi esto no me parece normal, pero el administrador de mi proveedor me dice que si que es normal. ¿Vosotros que opinais? En caso de que se pueda arreglar,. ¿que indicaciones le deberia dar para solucionarlo? porque yo no puedo tocar nada, solo puedo pedirle a el que lo haga Un saludo Emiliano Sutil
2006/11/13, Emiliano Sutil:
Resulta que tengo unos dominios contratados en un proveedor. Usan postfix como servidor de correo y he visto un comportamiento que no me cuadra pero desde alli me dicen que es normal.
Haz el test que te enviamos* hace unos días para ver si te dice algo extraño de ese servidor de correo (por ejemplo, si es un openrelay). En base a los resultados, pues le dices lo que pasa. Tampoco te olvides de verificar si su dirección ip aparece en las listas negras**. * http://www.dnsreport.com/ ** http://www.dnsstuff.com/ Saludos, -- Camaleón --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@suse.com
2006/11/13, Camaleón
2006/11/13, Emiliano Sutil:
Resulta que tengo unos dominios contratados en un proveedor. Usan postfix como servidor de correo y he visto un comportamiento que no me cuadra pero desde alli me dicen que es normal.
Haz el test que te enviamos* hace unos días para ver si te dice algo extraño de ese servidor de correo (por ejemplo, si es un openrelay). En base a los resultados, pues le dices lo que pasa.
Tampoco te olvides de verificar si su dirección ip aparece en las listas negras**.
Este test no me saca como openrelay (me saca que es un open dns server y un problemilla con el uso de CNAME en el registro MX). De hecho un open relay no es, porque si intentas enviar a alguna direccion que no pertenezca a la maquina no te deja enviar si no estas autentificado. ** http://www.dnsstuff.com/ Este no me lista en ninguna lista negra. Saludos,
-- Camaleón --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@suse.com
2006/11/13, Emiliano Sutil:
Este test no me saca como openrelay (me saca que es un open dns server y un problemilla con el uso de CNAME en el registro MX).
Bien. Pues ha tenido suerte, porque si permite utilizar su servidor de correo para enviar mensajes a los dominios que gestiona sin pedir ningún tipo de autentificación es un suicidio, es cuestión de tiempo que alguien lo aproveche para acribillar a los dominios que gestiona para enviarles spam.
De hecho un open relay no es, porque si intentas enviar a alguna direccion que no pertenezca a la maquina no te deja enviar si no estas autentificado.
Ya, pero yo puedo enviar spam desde ese servidor de forma anónima a dominios de ese servidor, lo cual puede ser o no útil pero es posible.
Este no me lista en ninguna lista negra.
Haz pruebas, mándate un correo de spam desde cualquier dominio a tu cuenta con ese proveedor y le envías el resultado. Pregúntale (por curiosidad) por qué no utilizan la autentificiación (smtp auth) para el envío de correos por medio de su servidor para sus dominios y que en caso de recibir correos para sus dominios desde varios equipos cómo lo harían para detenerlo ya que afecta directamente a sus clientes, su ancho de banda y recursos. Saludos, -- Camaleón --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@suse.com
2006/11/13, Camaleón
2006/11/13, Emiliano Sutil:
Este test no me saca como openrelay (me saca que es un open dns server y un problemilla con el uso de CNAME en el registro MX).
Bien. Pues ha tenido suerte, porque si permite utilizar su servidor de correo para enviar mensajes a los dominios que gestiona sin pedir ningún tipo de autentificación es un suicidio, es cuestión de tiempo que alguien lo aproveche para acribillar a los dominios que gestiona para enviarles spam.
De hecho ya me pasa, que es como me he dado cuenta. nos entra spam por un tubo.
De hecho un open relay no es, porque si intentas enviar a alguna direccion
que no pertenezca a la maquina no te deja enviar si no estas autentificado.
Ya, pero yo puedo enviar spam desde ese servidor de forma anónima a dominios de ese servidor, lo cual puede ser o no útil pero es posible.
Lo que es es una lata.
Este no me lista en ninguna lista negra.
Haz pruebas, mándate un correo de spam desde cualquier dominio a tu cuenta con ese proveedor y le envías el resultado.
Pregúntale (por curiosidad) por qué no utilizan la autentificiación (smtp auth) para el envío de correos por medio de su servidor para sus dominios y que en caso de recibir correos para sus dominios desde varios equipos cómo lo harían para detenerlo ya que afecta directamente a sus clientes, su ancho de banda y recursos.
Pues eso haré, a ver que cuentan. Pero a mis otros correos no les han hecho mucho caso, ya que me dicen que es un comportamiento normal...(no se para quien) Saludos, Emi --
Camaleón --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@suse.com
2006/11/13, Emiliano Sutil:
De hecho ya me pasa, que es como me he dado cuenta. nos entra spam por un tubo.
El spam no tiene por qué venir de ese mismo servidor de correo, pero desde luego tenerlo así configurado no beneficia a nadie.
Lo que es es una lata.
Y un problema en un momento dado... ¿cómo le cierras el grifo a un ataque masivo por medio de correos que vienen de distintas redes y que utilizan tus servicios para atacarte a ti mismo? :-?
Pues eso haré, a ver que cuentan. Pero a mis otros correos no les han hecho mucho caso, ya que me dicen que es un comportamiento normal...(no se para quien)
Siempre puedes buscar otro proveedor :-) Saludos, -- Camaleón --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@suse.com
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2006-11-13 a las 12:32 +0100, Camaleón escribió:
Pregúntale (por curiosidad) por qué no utilizan la autentificiación (smtp auth) para el envío de correos por medio de su servidor para sus dominios y que en caso de recibir correos para sus dominios desde varios equipos cómo lo harían para detenerlo ya que afecta directamente a sus clientes, su ancho de banda y recursos.
¡Pues porque no se puede! Sería "ilegal". Vamos a ver, si un servidor es el responsable de un dominio "alfa", está obligado a recibir todos los correos destinados a él, esto es, a "alfa", y no puede pedir ningún tipo de autentificación para recibirlos. No está haciendo relay, está recibiendo el correo con destino a él. Su administrador tiene razón, lo que hace es correcto. Así que si se recibe spam con origen "kk@terra.es" y destino "midireccion@midominio.com", que es el dominio de destino y administrado por ese servidor, pues te toca ajo y agua. El correo es para tí y no le puedes pedir autentificación. A ver, ¿como quieres que yo te envíe un correo a tí si me vas a pedir login y pass? Eso no puede ser. ¿Que tienes spam? Pues las contramedidas habituales... - -- Saludos Carlos E. R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.2 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFFWGMMtTMYHG2NR9URAg5oAJ9K5WSEzzGMH2Ru2cHDY30njwHEzACeItHi 2e8Dwy5v+5GUT9mf/GxayPA= =AsqU -----END PGP SIGNATURE-----
El 13/11/06, Carlos E. R. escribió:
¡Pues porque no se puede! Sería "ilegal".
¿Lo qué?
Vamos a ver, si un servidor es el responsable de un dominio "alfa", está obligado a recibir todos los correos destinados a él, esto es, a "alfa", y no puede pedir ningún tipo de autentificación para recibirlos.
Pero es que Emiliano no ha dicho eso. Vuelve a leer el correo :-P Saludos, -- Camaleón --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@suse.com
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2006-11-13 a las 13:45 +0100, Camaleón escribió:
El 13/11/06, Carlos E. R. escribió:
¡Pues porque no se puede! Sería "ilegal".
¿Lo qué?
Vamos a ver, si un servidor es el responsable de un dominio "alfa", está obligado a recibir todos los correos destinados a él, esto es, a "alfa", y no puede pedir ningún tipo de autentificación para recibirlos.
Pero es que Emiliano no ha dicho eso. Vuelve a leer el correo :-P
Pues que lo explique de otra forma, porque yo he entendido lo mismo que el administrador. | Si un tipo configura su correo como kk@terra.es y usa como SMTP el | servidor de correo de mi proveedor y envia un correo a | midireccion@midominio.com como ese dominio pertenece a la misma maquina | que el SMTP, pues acepta el correo, sin pedir pass ni nada. Eso es correcto; puesto que "midominio.com" es mio, no puedo pedir login y pass para el correo con destino a ese dominio. Explícame si no como una persona que no pertenece al midominio.com (por ejemplo, yo) puedo enviarte un correo si me va a pedir autorización. ¡Eres el destinatario! - -- Saludos Carlos E. R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.2 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFFWHJqtTMYHG2NR9URAuajAJwOdzoiStCO231BHDbYjEsgV0gOLgCfXPVH kQ08k4YGhVBEbOr+8l5i8i8= =aTlB -----END PGP SIGNATURE-----
El 13/11/06, Carlos E. R. escribió:
Pues que lo explique de otra forma, porque yo he entendido lo mismo que el administrador.
El problema no es el remitente del correo o el destinatario sino la configuración del servidor de correo, que funciona sin autentificación. Con esta configuración yo (imagina que soy un spammer) puedo configurar en mi programita para enviar correos masivos el servidor de correo de ese proveedor para que envíe los 50.000 mensajes que tengo de spam a través de su Postfix porque no me pide autentificación y no me los va a rechazar (que sería lo normal con smtp auth), yo no soy su cliente ni tengo cuenta con ellos, pero como los 50.000 correos que voy a enviar van para dominios que gestiona el proveedor, no me hace falta. Al menos eso he entendido del primer mensaje de Emiliano.
Eso es correcto; puesto que "midominio.com" es mio, no puedo pedir login y pass para el correo con destino a ese dominio.
No hablamos de origen y destino sino de quién puede enviar correos en Postfix. En este caso cualquier puede utilizar el servidor de ese proveedor para enviar correos desde ese servidor a cuentas que gestiona él mismo.
Explícame si no como una persona que no pertenece al midominio.com (por ejemplo, yo) puedo enviarte un correo si me va a pedir autorización. ¡Eres el destinatario!
Que no, Carlos, que ese no es tema... vamos, creo yo ;-) Saludos, -- Camaleón --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@suse.com
2006/11/13, Camaleón
El 13/11/06, Carlos E. R. escribió:
Pues que lo explique de otra forma, porque yo he entendido lo mismo que el administrador.
El problema no es el remitente del correo o el destinatario sino la configuración del servidor de correo, que funciona sin autentificación.
Con esta configuración yo (imagina que soy un spammer) puedo configurar en mi programita para enviar correos masivos el servidor de correo de ese proveedor para que envíe los 50.000 mensajes que tengo de spam a través de su Postfix porque no me pide autentificación y no me los va a rechazar (que sería lo normal con smtp auth), yo no soy su cliente ni tengo cuenta con ellos, pero como los 50.000 correos que voy a enviar van para dominios que gestiona el proveedor, no me hace falta.
Al menos eso he entendido del primer mensaje de Emiliano.
Lo has entendido perfectamente, puede que esto se lie luego, pero la idea es esa que ha expuesto tu ahora
Eso es correcto; puesto que "midominio.com" es mio, no puedo pedir login y
pass para el correo con destino a ese dominio.
No hablamos de origen y destino sino de quién puede enviar correos en Postfix. En este caso cualquier puede utilizar el servidor de ese proveedor para enviar correos desde ese servidor a cuentas que gestiona él mismo.
Justo eso.
Explícame si no como una persona que no pertenece al midominio.com (por
ejemplo, yo) puedo enviarte un correo si me va a pedir autorización. ¡Eres el destinatario!
Digo yo que usando tu propio smtp, no el mio.... y que entre ellos se aclaren. Que no, Carlos, que ese no es tema... vamos, creo yo ;-)
Saludos,
-- Camaleón --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@suse.com
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2006-11-13 a las 15:06 +0100, Camaleón escribió:
El 13/11/06, Carlos E. R. escribió:
Pues que lo explique de otra forma, porque yo he entendido lo mismo que el administrador.
El problema no es el remitente del correo o el destinatario sino la configuración del servidor de correo, que funciona sin autentificación.
Con esta configuración yo (imagina que soy un spammer) puedo configurar en mi programita para enviar correos masivos el servidor de correo de ese proveedor para que envíe los 50.000 mensajes que tengo de spam a través de su Postfix porque no me pide autentificación y no me los va a rechazar (que sería lo normal con smtp auth), yo no soy su cliente ni tengo cuenta con ellos, pero como los 50.000 correos que voy a enviar van para dominios que gestiona el proveedor, no me hace falta.
¡Y eso es correcto, contro! Es como si yo te bombardeo a tu cuenta en gmail desde una cuenta en terra y te mando un millón de correos. Pues bien, gmail los va a aceptar sin rechistar hasta que se llene el buzón - pruébalo. Tengo por ahí un script para mandar cienes de correos a una cuenta cualquiera, me lo dices y te mando los correítos :-P Repito: el servidor destinatario de los correos no puede pedir autorización a los correos entrantes, vengan de donde vengan, y sean cuantos sean; sólo puede pedir autorización cuando los correos tienen que viajar al exterior, esto es, no es el destinatario y se pide un relay. Esto es así: Origen Destino login/auth -------------+-----------------+-------------- donde_sea midominio no midominio donde_sea si donde_sea donde_sea2 rechazado midominio midominio si/no (indefinido) normalmente, "no". - -- Saludos Carlos E. R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.2 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFFWI74tTMYHG2NR9URAvFIAKCXVINh1zVSK6EVg1loAaiEcnc3/ACfZx09 ijB1T0c0yEIz3sjXUc0JZqI= =92z1 -----END PGP SIGNATURE-----
El 13/11/06, Carlos E. R. escribió:
¡Y eso es correcto, contro!
:-~
Es como si yo te bombardeo a tu cuenta en gmail desde una cuenta en terra y te mando un millón de correos. Pues bien, gmail los va a aceptar sin rechistar hasta que se llene el buzón - pruébalo. Tengo por ahí un script para mandar cienes de correos a una cuenta cualquiera, me lo dices y te mando los correítos :-P
Sí, GMail los va a aceptar, claro, eso no es lo que estamos debatiendo. A ver cómo lo explico... Lo que decimos Emiliano y yo es que (siguiendo con el ejemplo de una cuenta de GMail) si yo no configuro mi cliente de correo para que se autentifique no voy a poder enviar un mensaje utilizando como servidor de correo saliente "smtp.gmail.com". Si yo no me autentifico ante "smtp.gmail.com" el servidor de correo de GMail me va a decir que no envía el mensaje... independientemente del remitente y del destinatario. ¿Correcto? Bien, recapitulemos: para poder enviar un correo con el servidor de GMail, necesito configurar mi cliente de correo con los siguientes datos: - Servidor de correo saliente: smtp.gmail.com - Mi servidor requiere autentificación (nombre de usuario y contraseña) - SSL/TLS Pero el proveedor de Emiliano sólo pide los siguientes datos: - Servidor de correo saliente: smtp.dominio.com - Que el destinatario sea usuario@dominio.com ¡Y nada más! ¿Tú crees que es normal? Yo al menos tengo configurado Postfix para que "todo el mundo que lo quiera utilizar esté dentro de la red local o no" tenga que autentificarse, de lo contrario Postfix no envía nada. Saludos, -- Camaleón --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@suse.com
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2006-11-13 a las 18:16 +0100, Camaleón escribió:
El 13/11/06, Carlos E. R. escribió:
¡Y eso es correcto, contro!
:-~
Es como si yo te bombardeo a tu cuenta en gmail desde una cuenta en terra y te mando un millón de correos. Pues bien, gmail los va a aceptar sin rechistar hasta que se llene el buzón - pruébalo. Tengo por ahí un script para mandar cienes de correos a una cuenta cualquiera, me lo dices y te mando los correítos :-P
Sí, GMail los va a aceptar, claro, eso no es lo que estamos debatiendo. A ver cómo lo explico...
A ver.
Lo que decimos Emiliano y yo es que (siguiendo con el ejemplo de una cuenta de GMail) si yo no configuro mi cliente de correo para que se autentifique no voy a poder enviar un mensaje utilizando como servidor de correo saliente "smtp.gmail.com". Si yo no me autentifico ante "smtp.gmail.com" el servidor de correo de GMail me va a decir que no envía el mensaje... independientemente del remitente y del destinatario. ¿Correcto?
A ver. Primero, que yo no configuro mi postfix para decirle que use smtp.gmail.com. Yo lo que hago es pasarle un correo con destino a gmail.com y allá se las entienda - y se las entiende y pasa y llega. Tu lo que estás diciendo es usar un programa de correo plan kmail o thunderbird para que use "smtp.gmail.com". Bueno, yo no se como está programado el mini-servidor saliente del mozilla, kmail, etc, y no se si lo va a admitir. Es su problema. Pero por lo que a gmail respecta, ellos no saben si yo estoy usando un kmail, un mozilla, un outlook, un postfix, un spameador, o un telnet puro y duro: les da igual: ni pueden saberlo (1) ni les importa. Es una conexión smtp entrante, de acuerdo al protocolo smtp, que dice que quiere enviar un correo a fulano@gmail.com - y en el momento en que el servidor de gmail ve que él es el destinatario de ese correo, ya sabe que no puede pedir autentificación y no la pide, y el correo entra. ¡Vaya que si entra! Ahora bien, si en ese mismo telnet o lo que sea, quiero mandar un correo a "usuario@midominio.es", le va a pedir login y password, y si no, pues no pasa. (1) En realidad, si lo sabe, porque la cadena de saludo lo dice muchas veces, pero eso simplemente va al log, no tiene porqué emplear ese conocimiento. A ver si nos entendemos. Al servidor de correo de gmail le importa un bledo que tu definas una cuenta "robada" en el kmail, que uses postfix, sendmail, o un telnet a dedo. Por lo que el sabe, le están hablando en smtp que es lo que entiende: y lo que le llega por smtp es un correo con destino a _él_, y tiene obligación de aceptarlo, _sin_ login/pass. Lo que no puede hacer es aceptar un correo con destino a terceros sin pedir autorización.
Bien, recapitulemos: para poder enviar un correo con el servidor de GMail, necesito configurar mi cliente de correo con los siguientes datos:
- Servidor de correo saliente: smtp.gmail.com - Mi servidor requiere autentificación (nombre de usuario y contraseña) - SSL/TLS
Pero el proveedor de Emiliano sólo pide los siguientes datos:
- Servidor de correo saliente: smtp.dominio.com - Que el destinatario sea usuario@dominio.com
¡Y nada más! ¿Tú crees que es normal?
Sí. Absolutamente. Repito: si el destinatario del correo está en "dominio.com" el servidor "dominio.com" no puede pedir autorización. Si el destinatario del correo está en "gmail.com", gmail tampoco me pedirá autorización. Tienes que darte cuenta que, a lo que el postfix repecta, lo que tu llamas "cuenta" en el kmail es una entelequia que no existe. Cada correo que reciba es independiente, y lo mande kmail, outlook, o sendmail, le da igual: es smtp. Si es con destino a su dominio, tiene obligación de aceptarlo. Si es con destino al exterior, comprobará el login/pass, ¡y ojo! lo pedirá en todos los correos, uno a uno, si van para fuera. No existen "cuentas" para el postfix, ni para nadie.
Yo al menos tengo configurado Postfix para que "todo el mundo que lo quiera utilizar esté dentro de la red local o no" tenga que autentificarse, de lo contrario Postfix no envía nada.
Y yo te aseguro que si alguien desde fuera quiere enviar un correo a tu dominio, con destino a tu dominio, tu postfix lo acepta - y si no lo acepta, es que lo tienes puesto para que no reciba correos del exterior en absoluto. Puedes aislar el postfix. Yo lo tengo aislado, no puedo recibir correos de nadie. Es lógico, no tengo IP fija, no tengo nombre de dominio, recibo el correo por fetchmail, y cierro la IP externa. Por supuesto. O puedo abrirlo sólo para el correo local. Pero si lo abro al exterior, para que la gente del exterior me envíe correos, no puedo pedirles autorización para recibir correos. Yo en mi servidor no te puedo pedir a tí autorización para que me mandes un email. ¡Me quedaría aislado! - -- Saludos Carlos E. R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.2 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFFWNFQtTMYHG2NR9URAuQ5AKCRdcXAP9TbmJYRo6QcdDcmFO5W5gCeIlKp f1Z+twFaFWKwTfV2c/pEzPU= =7CAB -----END PGP SIGNATURE-----
¡Y eso es correcto, contro!
Es como si yo te bombardeo a tu cuenta en gmail desde una cuenta en terra y te mando un millón de correos. Pues bien, gmail los va a aceptar sin rechistar hasta que se llene el buzón - pruébalo. Tengo por ahí un script para mandar cienes de correos a una cuenta cualquiera, me lo dices y te mando los correítos :-P
Pero en ese caso no estas usando como SMTP saliente del de gmail, si no el de terra, que es el que tiene que autentificarte. ¿o no? porque ya dudo de todo. Repito: el servidor destinatario de los correos no puede pedir
autorización a los correos entrantes, vengan de donde vengan, y sean cuantos sean; sólo puede pedir autorización cuando los correos tienen que viajar al exterior, esto es, no es el destinatario y se pide un relay.
Esto es así:
Origen Destino login/auth -------------+-----------------+-------------- donde_sea midominio no midominio donde_sea si donde_sea donde_sea2 rechazado midominio midominio si/no (indefinido) normalmente, "no".
Muy aclaratoria la tabla, eso es correcto. pero yo añadiría otra columna que es el SMTP que usa el origen. y si el origen esta usando el SMTP del destino cuando no es un usuario valido en el destino pues también le rechazaría. Ahora si me dices que eso no funciona así, pues eso es otra cosa, Hablando de todo un poco hace un tiempo mande un correo con el problema inverso: http://lists.suse.com/archive/suse-linux-s/2006-Oct/0047.html En ese el servidor de destino si que pedía autentificación a mi server a pesar de mandar correos con destino la propia maquina y la verdad en aquel momento era un engorr,. porque no me dejaba enviarles correo sin autentificar. (como has dicho hasta ahora Carlos que no tiene sentido autentificar al que envía). La diferencia es que yo los correos aquella vez los estaba enviando con mi propio smtp no con el suyo. Pero como ves si que hay servidores que autentifican al que envía. No se si esto ultimo añade mas leña al fuego..... Emi - --
Saludos Carlos E. R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.2 (GNU/Linux) Comment: Made with pgp4pine 1.76
iD8DBQFFWI74tTMYHG2NR9URAvFIAKCXVINh1zVSK6EVg1loAaiEcnc3/ACfZx09 ijB1T0c0yEIz3sjXUc0JZqI= =92z1 -----END PGP SIGNATURE-----
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2006-11-13 a las 18:22 +0100, Emiliano Sutil escribió:
¡Y eso es correcto, contro!
Es como si yo te bombardeo a tu cuenta en gmail desde una cuenta en terra y te mando un millón de correos. Pues bien, gmail los va a aceptar sin rechistar hasta que se llene el buzón - pruébalo. Tengo por ahí un script para mandar cienes de correos a una cuenta cualquiera, me lo dices y te mando los correítos :-P
Pero en ese caso no estas usando como SMTP saliente del de gmail, si no el de terra, que es el que tiene que autentificarte. ¿o no? porque ya dudo de todo.
¿Y que diferencia hay entre servidor saliente de smtp o entrante? Da igual. Cada correo, cada conversación smtp, es independiente, y se valora independientemente si puede pasar o no. El que haya pasado antes por veinte servidores smtp o uno o ninguno, me da igual: me están hablando en smtp, pues eso es lo que me importa. A ver, si yo defino en mi kmail que tu dominio es mi servidor saliente (saliente para el kmail), tu servidor no se va a enterar. Ahora, no me va a dejar mandar ningñún correo al exterior, sólo al interior. (Léete el otro correo a Camaleón, por no repetirme)
Repito: el servidor destinatario de los correos no puede pedir autorización a los correos entrantes, vengan de donde vengan, y sean cuantos sean; sólo puede pedir autorización cuando los correos tienen que viajar al exterior, esto es, no es el destinatario y se pide un relay.
Esto es así:
Origen Destino login/auth -------------+-----------------+-------------- donde_sea midominio no midominio donde_sea si donde_sea donde_sea2 rechazado midominio midominio si/no (indefinido) normalmente, "no".
Muy aclaratoria la tabla, eso es correcto. pero yo añadiría otra columna que es el SMTP que usa el origen. y si el origen esta usando el SMTP del destino cuando no es un usuario valido en el destino pues también le rechazaría. Ahora si me dices que eso no funciona así, pues eso es otra cosa,
Funciona así. El servidor de mi dominio no sabe si es el primer servidor de la cadena o no, ni le importa. Eso de servidor de origen es una entelequia que se ve después analizando por donde ha pasado cada uno de los correos. Entiendeme: el kmail, el outlook, lo que sea, cuando hablan con tu servidor postfix, hablan mediante smtp. A todos los efectos, son un servidor smtp, aunque tengan funcionalidad limitada (sólo saliente). No están usando un protocolo especial con cuentas y todo eso, eso no existe. Actúan como un servidor smtp, y cuando el postfix les pida el login/pass, si se lo pide, se la darán - y tendrán que darsela para cada uno de los veintemil correos, a no ser que haya algún tipo de streaming, pero eso es otra historia.
Hablando de todo un poco hace un tiempo mande un correo con el problema inverso: http://lists.suse.com/archive/suse-linux-s/2006-Oct/0047.html
En ese el servidor de destino si que pedía autentificación a mi server a pesar de mandar correos con destino la propia maquina y la verdad en aquel momento era un engorr,. porque no me dejaba enviarles correo sin autentificar. (como has dicho hasta ahora Carlos que no tiene sentido autentificar al que envía). La diferencia es que yo los correos aquella vez los estaba enviando con mi propio smtp no con el suyo. Pero como ves si que hay servidores que autentifican al que envía.
No se si esto ultimo añade mas leña al fuego.....
Me acuerdo. Observa lo que te respondí: | Si el servidor del dominio 2 remoto (isp) est* exigiendo | autentificaci*n cuando se lo entrega el servidor interno del dominio 1, | con correos destinados al dominio 2, es un problema del ISP. No se trata | de unrelay, es correo directo al destinatario, y no se debe exigir | autentificaci*n, es imposible. Deben resolverlo ellos. | | No obstante, hay algunos servidores que cuando el correo es para ellos | (son los destinatarios) y el originante es un cliente de ellos, le | exigen autentificaci*n, sin deber hacerlo. En mi opini*n, es un bug; | pero el postfix puede resolverlo si conoce la autentificaci*n necesaria. | | En cualquier caso, debes hablar con ellos. | | Todo esto suponiendo que haya entendido bien la situaci*n. Y desde luego, hay servidores rotos, sobre todo en windows. Conozco uno que hace esto: fulano@externo --> mengano@servidor = entra bien. mengano@servidor --> fulano@externo = pide auth. fulano@servidor --> mengano@servidor = ¡pide auth! BUG. - -- Saludos Carlos E. R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.2 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFFWNZktTMYHG2NR9URAm3JAJsFKW6W5/I7a/Rv63BZcycssYx20wCfSJs4 S+wKMjPF9Gn1Z98STypdciY= =6XnE -----END PGP SIGNATURE-----
Bueno, Resumiendo, yo pensaba que las conexiones smtp originadas entre un cliente de correo y un servidor de correo si que se podían autentificar independientemente de a donde iban. Es decir yo pensaba que es distinta una conexión cliente de correo - servidor de correo que una conexión servidor de correo - servidor de correo. En mi problema de la otra vez, en la que yo no quería que me autentificaran era cuando era mi servidor de correo el que hablaba con su servidor de correo, pero que si usaba un cliente de correo si que me autentificara. Y ahora quiero lo mismo, que me autentifique si uso directamente el servidor SMTP desde un cliente de correo y que no, si lo que uso es un servidor de correo. Pero claro si no hay distinción alguna entre los 2 tipos de conexión lo veo chungo. Yo en esa maquina tengo alojados un montón de dominios y cualquiera configurando una cuenta que no existe puede llenarla de spam, cosa que no me parece lógica, pero si es así como va pues que se le va a hacer.... Un saludo Emiliano Sutil
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2006-11-14 a las 09:38 +0100, Emiliano Sutil escribió:
Bueno,
Resumiendo, yo pensaba que las conexiones smtp originadas entre un cliente de correo y un servidor de correo si que se podían autentificar independientemente de a donde iban. Es decir yo pensaba que es distinta una conexión cliente de correo - servidor de correo que una conexión servidor de correo - servidor de correo.
En mi problema de la otra vez, en la que yo no quería que me autentificaran era cuando era mi servidor de correo el que hablaba con su servidor de correo, pero que si usaba un cliente de correo si que me autentificara.
Y ahora quiero lo mismo, que me autentifique si uso directamente el servidor SMTP desde un cliente de correo y que no, si lo que uso es un servidor de correo. Pero claro si no hay distinción alguna entre los 2 tipos de conexión lo veo chungo. Yo en esa maquina tengo alojados un montón de dominios y cualquiera configurando una cuenta que no existe puede llenarla de spam, cosa que no me parece lógica, pero si es así como va pues que se le va a hacer....
Es así, no hay distinción. Ahora bien, puedes hacer lo que hace gmail, que tiene dos servidores distintos: uno es el smtp.gmail.com que sólo admite clientes autentificados vaya a donde vaya, y que no esta publicado como receptor de correo en el DNS, por lo que pueden hacer eso, y otros son los públicos, en los que se acepta el correo con destino interior sin autentificación (porque son públicos) y están listados con registro MX para el dominio gmail.com Pero el resultado es el mismo: gmail tiene abierto al exterior un servidor SMTP en el que cualquiera puede introducir correo si es con destino a gmail. Para los demás listeros, aclaro que hemos estado con el tema en privado, ya que la lista no funcionaba. Le he enviado a estos dos ;-) un correo usando thunderbird y definiendo como servidor de salida uno de los listados como públicos por gmail (gmail-smtp-in.l.google.com), sin usar autorización alguna. CQD :-) Es tu caso: tienes un servidor público en el que te pueden meter correo, porque para eso está. Puedes poner un servidor privado (en internet) para clientes, en el que se pida siempre autorización - pero dado que tienes uno público, los spammers te entrarán por ahí y no ganas nada con esa diferenciación. Los de gmail lo hacen por cuestiones administrativas o de gestión de tráfico: sus razones son de miles o millones de usuarios y de dólares, no son las tuyas. Pero no sufras porque no hay abierto ningún agujero extra a los spammers. Si yo fuera un spammer, no me molestaría en configurar una cuenta ficticia en el thunderbird, porque es muy pesado. Los spammers tienen herramientas propias que se encargan de ello, y actúan como un servidor SMTP especializado y algo limitado, probablemente sólo de salida. No configuran cuentas en el thunderbird o kmail o outlook, aunque el correo incluya cabeceras que parezcan indicar lo contrario: simplemente lo simulan para engañarte. Por tanto, lo pongas como lo pongas, las cuentas te las pueden llenar de spam porque son cuentas de correo que recibien correo, usen el camino que usen. Tienes que usar las medidas habituales: listas negras (con mucho cuidado, puedes perder correo legítimo: hasta a SuSE lo listan), SA, amavis, SPF, Domain key signature, etc. Mira, hay un truco que se usa que es que el servidor de correo en la primera conexión dice que no. A la segunda, pasado un tiempo breve, dice que si. Una cosa tan sencilla tira pa'tras a muchos spammers, porque el software que usan no reintenta, va a enviar miles de correos lo más rápido que puedan, supongo que antes de que les tiren la conexión (usan zombies, pe, y se pueden caer, digo yo. O conexiones wifi robadas). No se entretienen en volver a intentarlo, mientras que cualquier servidor de correo normal vuelve a intentar la conexión durante dias. http://en.wikipedia.org/wiki/Graylisting - -- Saludos Carlos E. R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.2 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFFWbNPtTMYHG2NR9URAlLRAJ4kBbakUmrDUhiRxqsWSnJGObRzoQCfQLoi EcUWO1I5pJAPRKBvlQpF6K4= =XneF -----END PGP SIGNATURE-----
El 14/11/06, Carlos E. R. escribió:
Es así, no hay distinción.
Eso será desde tu punto de vista. Claro que hay distinción. Por mis servidores sólo envía quien esté autentificado, no doy servicio a nadie salvo a mis usuarios.
Pero el resultado es el mismo: gmail tiene abierto al exterior un servidor SMTP en el que cualquiera puede introducir correo si es con destino a gmail.
Pero no hablamos de Gmail, sólo lo hemos estado utilizando como ejemplo y para hacer pruebas. Creo que Emiliano no busca ese servicio universal, sino que quiere restringirlo, lo cual me parece absolutamente normal tratándose de sus dominios.
Para los demás listeros, aclaro que hemos estado con el tema en privado, ya que la lista no funcionaba. Le he enviado a estos dos ;-) un correo usando thunderbird y definiendo como servidor de salida uno de los listados como públicos por gmail (gmail-smtp-in.l.google.com), sin usar autorización alguna.
Cierto, hemos visto como Gmail tiene habilitado un servicio universal de envío, por lo que entiendo que tiene que tener una horda de servidores analizando el correo que pasa por ahí para evitar que se les cuele algo más que los correos de Carlos... :-)
Es tu caso: tienes un servidor público en el que te pueden meter correo, porque para eso está.
Sigo pensando que ese servicio no lo quiere, no hablamos de un isp sino de sus dominios.
Los de gmail lo hacen por cuestiones administrativas o de gestión de tráfico: sus razones son de miles o millones de usuarios y de dólares, no son las tuyas.
Las razones son las mismas: controlar lo que pasa por ese servidor, que es suyo.
Por tanto, lo pongas como lo pongas, las cuentas te las pueden llenar de spam porque son cuentas de correo que recibien correo, usen el camino que usen.
De eso no hablamos. El spam le llega igual, de sus ervidor o de otros o directo, no importa. Sólo quiero que entiendas que los servidores que tú denominas "privados" (a los que todo el mundo puede enviar lo que quiera, pero no utilizar su servidor de correo) exijen que los usuarios se autentifiquen. No hablamos de evitar spam ni de técnicas para reducirlo, hablamos de servidores de correo que se exijen autentificación (como smtp.gamil.com) para permitir ser utilizado sólo por sus usuarios. Saludos, -- Camaleón --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@suse.com
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2006-11-14 a las 13:47 +0100, Camaleón escribió:
El 14/11/06, Carlos E. R. escribió:
Es así, no hay distinción.
Eso será desde tu punto de vista. Claro que hay distinción. Por mis servidores sólo envía quien esté autentificado, no doy servicio a nadie salvo a mis usuarios.
¿Lo probamos? :-P Si tu servidor admite correo externo de entrada con destino a tus usuarios, traga.
Pero el resultado es el mismo: gmail tiene abierto al exterior un servidor SMTP en el que cualquiera puede introducir correo si es con destino a gmail.
Pero no hablamos de Gmail, sólo lo hemos estado utilizando como ejemplo y para hacer pruebas. Creo que Emiliano no busca ese servicio universal, sino que quiere restringirlo, lo cual me parece absolutamente normal tratándose de sus dominios.
Vale, que lo restrinja. Luego tendrá que pedir ayuda de nuevo porque sus clientes protestarán porque no pueden recibir ni un sólo correo externo.
Para los demás listeros, aclaro que hemos estado con el tema en privado, ya que la lista no funcionaba. Le he enviado a estos dos ;-) un correo usando thunderbird y definiendo como servidor de salida uno de los listados como públicos por gmail (gmail-smtp-in.l.google.com), sin usar autorización alguna.
Cierto, hemos visto como Gmail tiene habilitado un servicio universal de envío, por lo que entiendo que tiene que tener una horda de servidores analizando el correo que pasa por ahí para evitar que se les cuele algo más que los correos de Carlos... :-)
Igual que todo el mundo. Usan spf, domain key signature, patrones, bayes, lo que sea.
Es tu caso: tienes un servidor público en el que te pueden meter correo, porque para eso está.
Sigo pensando que ese servicio no lo quiere, no hablamos de un isp sino de sus dominios.
Es un dominio de correo en el que quiere recibir correo del exterior, luego es un servidor "público". Sólo puede pedir autentificación cuando se le pide enviar un correo al exterior, pero nunca cuando el destino es interior, propio.
Por tanto, lo pongas como lo pongas, las cuentas te las pueden llenar de spam porque son cuentas de correo que recibien correo, usen el camino que usen.
De eso no hablamos. El spam le llega igual, de sus ervidor o de otros o directo, no importa. Sólo quiero que entiendas que los servidores que tú denominas "privados" (a los que todo el mundo puede enviar lo que quiera, pero no utilizar su servidor de correo) exijen que los usuarios se autentifiquen.
Sólo se autentifican para enviar correo al exterior. Compruébalo, telnet en ristre, y verás que tengo razón. Y observa que todos los servidores que tienen dominio en internet para recibir correo de la gente de fuera tienen servidores públicos listados en el DNS como tales (MX). Los privados pueden existir o no, pero los públicos son obligatorios. - -- Saludos Carlos E. R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.2 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFFWcCotTMYHG2NR9URApN7AJ4h3ZPXlH6upxCmg++8KOo+3xvaIwCdFowB a7IJ+R7prP6kjxI9zIiLhGs= =54Y3 -----END PGP SIGNATURE-----
El día 14/11/06, Carlos E. R.
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
El 2006-11-14 a las 13:47 +0100, Camaleón escribió:
El 14/11/06, Carlos E. R. escribió:
Es así, no hay distinción.
Eso será desde tu punto de vista. Claro que hay distinción. Por mis servidores sólo envía quien esté autentificado, no doy servicio a nadie salvo a mis usuarios.
¿Lo probamos? :-P
Si tu servidor admite correo externo de entrada con destino a tus usuarios, traga.
Vale, vamos a ver. Yo no se como lo tiene camaleón. Yo se como está el mi ahora y está como dices tu. Todo entra. La cuestión es que igual que hay un servidor en gmail y los del otro post que te comentaba de hace meses si que autentifica para usarlo como smtp envie donde envie, que es lo que yo quiero (o no porque luego vendrá el otro problema.)
Pero el resultado es el mismo: gmail tiene abierto al exterior un servidor SMTP en el que cualquiera puede introducir correo si es con destino a gmail.
Pero no hablamos de Gmail, sólo lo hemos estado utilizando como ejemplo y para hacer pruebas. Creo que Emiliano no busca ese servicio universal, sino que quiere restringirlo, lo cual me parece absolutamente normal tratándose de sus dominios.
Vale, que lo restrinja. Luego tendrá que pedir ayuda de nuevo porque sus clientes protestarán porque no pueden recibir ni un sólo correo externo.
Esto es otra cosa, pero la verdad es que el servidor del post ese de hace meses el unico que no era capaz de enviar correos era yo. Con el resto de correo exteno si que recibía el correo.
Para los demás listeros, aclaro que hemos estado con el tema en privado, ya que la lista no funcionaba. Le he enviado a estos dos ;-) un correo usando thunderbird y definiendo como servidor de salida uno de los listados como públicos por gmail (gmail-smtp-in.l.google.com ), sin usar autorización alguna.
Cierto, hemos visto como Gmail tiene habilitado un servicio universal de envío, por lo que entiendo que tiene que tener una horda de servidores analizando el correo que pasa por ahí para evitar que se les cuele algo más que los correos de Carlos... :-)
Igual que todo el mundo. Usan spf, domain key signature, patrones, bayes, lo que sea.
Es tu caso: tienes un servidor público en el que te pueden meter correo, porque para eso está.
Sigo pensando que ese servicio no lo quiere, no hablamos de un isp sino de sus dominios.
Es un dominio de correo en el que quiere recibir correo del exterior, luego es un servidor "público". Sólo puede pedir autentificación cuando se le pide enviar un correo al exterior, pero nunca cuando el destino es interior, propio.
Por tanto, lo pongas como lo pongas, las cuentas te las pueden llenar de spam porque son cuentas de correo que recibien correo, usen el camino que usen.
De eso no hablamos. El spam le llega igual, de sus ervidor o de otros o directo, no importa. Sólo quiero que entiendas que los servidores que tú denominas "privados" (a los que todo el mundo puede enviar lo que quiera, pero no utilizar su servidor de correo) exijen que los usuarios se autentifiquen.
Sólo se autentifican para enviar correo al exterior. Compruébalo, telnet en ristre, y verás que tengo razón.
Vale vamos a poner las cartas encima de la mesa y nos olvidamos de gmail. El dominio es iranon.com # host -t MX iranon.com iranon.com mail is handled by 10 mail.iranon.com. bien, mas: #host mail.iranon.com mail.iranon.com is an alias for mail2.iranon.net. mail2.iranon.net has address 82.223.146.251 mail.iranon.com is an alias for mail2.iranon.net. mail.iranon.com is an alias for mail2.iranon.net. Ese servidor pide autenficación para enviar a cualquier dominio que no este en su lista de dominios. (que son unos cuantos) y no pide nada de nada para los que están en su lista de dominios. Es decir funciona como dice Carlos. La cuestión es hacer lo que decimos camaleón y yo, que pida autentificación siempre que alguien lo use como SMTP, y que conste que hay servidores que lo hacen, sea correcto o no. La prueba del telnet 25 con ese server traga, como podeis probar. Emi
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2006-11-14 a las 16:39 +0100, Emiliano Sutil escribió:
Vale, vamos a ver. Yo no se como lo tiene camaleón. Yo se como está el mi ahora y está como dices tu. Todo entra. La cuestión es que igual que hay un servidor en gmail y los del otro post que te comentaba de hace meses si que autentifica para usarlo como smtp envie donde envie, que es lo que yo quiero (o no porque luego vendrá el otro problema.)
El primer paso entonces es quitarlo del DNS. Y lo digo en serio: no puedes listarlo como servidor de correo.
Vale, que lo restrinja. Luego tendrá que pedir ayuda de nuevo porque sus clientes protestarán porque no pueden recibir ni un sólo correo externo.
Esto es otra cosa, pero la verdad es que el servidor del post ese de hace meses el unico que no era capaz de enviar correos era yo. Con el resto de correo exteno si que recibía el correo.
No se eso, no lo entiendo bien.
Vale vamos a poner las cartas encima de la mesa y nos olvidamos de gmail. El dominio es iranon.com # host -t MX iranon.com iranon.com mail is handled by 10 mail.iranon.com.
bien, mas:
#host mail.iranon.com mail.iranon.com is an alias for mail2.iranon.net. mail2.iranon.net has address 82.223.146.251 mail.iranon.com is an alias for mail2.iranon.net. mail.iranon.com is an alias for mail2.iranon.net.
Ese servidor pide autenficación para enviar a cualquier dominio que no este en su lista de dominios. (que son unos cuantos) y no pide nada de nada para los que están en su lista de dominios. Es decir funciona como dice Carlos.
Que es lo normal y correcto. No soy sólo yo, ahí tienes a Mario también ;-)
La cuestión es hacer lo que decimos camaleón y yo, que pida autentificación siempre que alguien lo use como SMTP, y que conste que hay servidores que lo hacen, sea correcto o no.
Vale, pues entonces empieza por quitarlo del DNS: no puede estar listado
en el DNS como un servidor de correo, porque deja de serlo. Lo conviertes
exclusivamente en un servidor de clientes. No podrás recibir en ese
postfix correo externo de nadie.
Prueba por:
smtpd_recipient_restrictions = check_sender_access,reject_unauth_destination
que no me funciona, por cierto (Server configuration error). O
"permit_sasl_authenticated", que yo no puedo probarlo porque no tengo
activado sasl.
No se como se hace ahora mismo, empieza a probar. En el FAQ no viene. Ten
en cuenta que se trata de hacerlo funcionar contra natura, no me se como
se consigue.
Puede ser esto:
smtpd_client_restrictions = permit_sasl_authenticated,reject
De momento, me rechaza:
cer@nimrodel:~> telnet nimrodel.valinor 25
Trying 192.168.1.12...
Connected to nimrodel.valinor.
Escape character is '^]'.
220 nimrodel.valinor ESMTP Postfix
EHLO pepito
250-nimrodel.valinor
250-PIPELINING
250-SIZE 10240000
250-VRFY
250-ETRN
250-AUTH PLAIN LOGIN
250 8BITMIME
MAIL FROM: cer@localhost
250 Ok
RCPT TO: cer@nimrodel.valinor
554
El 14/11/06, Carlos E. R. escribió:
Eso será desde tu punto de vista. Claro que hay distinción. Por mis servidores sólo envía quien esté autentificado, no doy servicio a nadie salvo a mis usuarios.
¿Lo probamos? :-P
Si tu servidor admite correo externo de entrada con destino a tus usuarios, traga.
Vamos a ello. He estado haciendo varias pruebas con distintos
servidores (gestionados por mi con Postfix y otros remotos a los que
no tengo acceso vía shell ni mediante ssh -son tipo hosting- que tiene
una versión personalizada de Sendmail). Las pruebas con estos
servidores han sido tanto con sesiones telnet como a través de
clientes de correo (tipo Kmail).
Los resultados han sido los siguientes:
- Servidor Postfix gestionado por mi con dominio propio: sin
autentificación se lo traga todo (tanto telnet como con cliente),
luego Carlos ha tenido razón todo este tiempo... mis más sinceras
excusas para Carlos tienen que ir por delante, eso lo primero. Y a
Emiliano, que le he metido en un lío de mucho cuidado. Pero seguimos
leyendo.
- El servidor remoto no lo pasa, el mensaje es curioso, dice:
"Client host rejected. Check your mail first."
Ojo, el correo es de "usuario@midominio.com" a
"usuario2@midominio.com" pero en una sesión telnet y a través de un
cliente si no me autentifico me responde con ese mensaje.
Si pruebo con una dirección distinta al dominio (mail from:
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2006-11-14 a las 19:25 +0100, Camaleón escribió:
El 14/11/06, Carlos E. R. escribió:
Eso será desde tu punto de vista. Claro que hay distinción. Por mis servidores sólo envía quien esté autentificado, no doy servicio a nadie salvo a mis usuarios.
¿Lo probamos? :-P
Si tu servidor admite correo externo de entrada con destino a tus usuarios, traga.
Vamos a ello. He estado haciendo varias pruebas con distintos servidores (gestionados por mi con Postfix y otros remotos a los que no tengo acceso vía shell ni mediante ssh -son tipo hosting- que tiene una versión personalizada de Sendmail). Las pruebas con estos servidores han sido tanto con sesiones telnet como a través de clientes de correo (tipo Kmail).
Los resultados han sido los siguientes:
- Servidor Postfix gestionado por mi con dominio propio: sin autentificación se lo traga todo (tanto telnet como con cliente), luego Carlos ha tenido razón todo este tiempo... mis más sinceras excusas para Carlos tienen que ir por delante, eso lo primero. Y a Emiliano, que le he metido en un lío de mucho cuidado. Pero seguimos leyendo.
¡Arfff! Ya me estaban protestando mis neuronas ;-)
- El servidor remoto no lo pasa, el mensaje es curioso, dice:
"Client host rejected. Check your mail first."
Ojo, el correo es de "usuario@midominio.com" a "usuario2@midominio.com" pero en una sesión telnet y a través de un cliente si no me autentifico me responde con ese mensaje.
Ese es el caso que llamo gris.
Si pruebo con una dirección distinta al dominio (mail from:
/ rcpt to: ) el mensaje que muestra es: "Recipient address rejected. Invalid sender domain (0)"
Curioso. Claro, que puede ser por muchas razones... una de las cuales es que diga que tu no estás en una IP de gmail (SPF,por ejemplo), o que la resolución inversa de tu IP no es la de gmail. También, en el comando EHLO no se que habrás puesto, pero no coincidirá. Hay muchas restricciones posibles. Te tira antes de llegar a pedirte autorización.
Bien, el tema se pone interesante. Mi intención (que era lo que pensaba todo este tiempo y que así pensaba que estaba configurado Postfix) es que el servidor realice una verificación previa del remitente y que si dice que es un usuario del dominio que gestiona Postfix, que lo verifique para ver si al menos antes de permitirle enviar el mensaje.
Pásale uno de esos verificadores de servidores de correos que hay por ahí a ver si le has hecho algo raro :-p
En la documentación* de Postfix relativo a esto veo alguna restricción interesante, como por ejemplo "reject_sender_login_mismatch" y "reject_unauthenticated_sender_login_mismatch" a las que les voy a echar un vistazo y voy a intentar configurar para determinar si realmente permiten conseguir el resultado que busco, similar a lo que hace el servidor remoto con el que he hecho las pruebas anteriores.
* http://www.postfix.com/postconf.5.html#smtpd_sender_restrictions
A ver que dice eso... reject_sender_login_mismatch Reject the request when $smtpd_sender_login_maps specifies an owner for the MAIL FROM address, but the client is not (SASL) logged in as that MAIL FROM address owner; or when the client is (SASL) logged in, but the client login name doesn't own the MAIL FROM address according to $smtpd_sender_login_maps. Ah. Ah. A ver... te has autentificado, pero tu from no es el de la autorización... Cuidadín, es delicado. Eso es util, por ejemplo, en una empresa, para que nadie se haga pasar por otro. Pero es muy malo si por ejemplo me lo hace telefónica: si yo tengo varios remites, no voy a poder mandarlos a través de tesa. Cuando se contrata un relay es para que te envíe todo. O dicho de otra forma, no tendrán problemas los clientes con programas de cliente, que definen un SMTP distinto para cada una de las veinte mil cuentas, pero los servidores como postfix lo tendrán crudo, porque usan una unica autorización por dominio (smtp de salida). ¡ÑAC! Odio las documentaciones escritas por progamadores. ¡Ejemplos, ejemplos, puñetas! :-/
Saludos (y en especial a Carlos que ha aguantado como un jabato todo lo que, erróneamente, le estaba diciendo... cinco latigazos para mi).
Arf, arf... en un cuarto de hora, el cascarrabias de House ;-) - -- Saludos Carlos E. R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.2 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFFWiu6tTMYHG2NR9URAnKEAJ40N0UXWY1I8Wn+ILNgBHfKMSDMkACeMgFM /K1QTNQSEy8J07CuKZ5i130= =rGCM -----END PGP SIGNATURE-----
Bueno, habemus papam Hemos llegado a un consenso. Gracias a todos por las respuestas, en especial a Camaleón y Carlos, la discusión ha sido muy fructífera, ha servido para aclarar conceptos sobre el smtp muy interesantes. Camaleón, no me metiste en ningún lio, el que empezo preguntando fui yo y en el fondo yo queria que tuvieras razon tu, no Carlos, que era como yo quería que funcionase :-). Pero está claro, contra Carlos no se puede luchar, (aunque seguiremos intentandolo :-) "El fracaso es la madre del éxito") Podemos resumir, respondiendo al asunto del hilo: Si, es normal ese comportamiento. Un saludo y gracias de nuevo. PD: Respecto a las demás pruebas, de momento voy a descansar un tiempo del postfix que con la historia tengo abandonada mi TO-DO-LIST AH, y muy bueno el capitulo de House de ayer Emi
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2006-11-15 a las 09:28 +0100, Emiliano Sutil escribió:
Pero está claro, contra Carlos no se puede luchar, (aunque seguiremos intentandolo :-) "El fracaso es la madre del éxito")
Oye, de eso nada, que me equivoco también y bastante :-) Lo que pasa es que ese tema lo tenía claro. - -- Saludos Carlos E. R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.2 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFFWuz8tTMYHG2NR9URAp2qAJ0QH2vwgiE3MQQP7XpKFkuGgg2s/ACfQarC hb7wJd7uA3+6b9yNVM9MJyI= =OELi -----END PGP SIGNATURE-----
El 15/11/06, Carlos E. R. escribió:
Lo que pasa es que ese tema lo tenía claro.
Y tan claro :-). Yo estoy más perdida que un pulpo en un garaje :-P. En las listas de Postfix este tema ha generado hilos extensos con intervenciones del propio Wietse. He leído y releído la mayor parte de los mensajes donde se pregunta por eso uso del parámetro "reject_sender_login_mismatch" en Postfix y cómo configurarlo para obtener el resultado deseado pero no logro que funcione como creo que debe hacerlo. Sin entrar en muchos detalles, en este hilo* se resume bastante bien lo que estoy intentando hacer: smtpd_sender_restrictions = permit_sasl_authenticated permit_mynetworks reject_sender_login_mismatch reject_unknown_sender_domain Authenticated users may send Local connections may send (cron and such) The rest needs to be authenticated when they want to claim they are @rna.nl. Unknown sender domains are blocked ¿Qué se su supone que se consigue con esta configuración? * http://readlist.com/lists/postfix.org/postfix-users/8/44010.html Saludos, -- Camaleón --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@suse.com
Si no les es molestia pudieran a enviar las respuestas respecto al tema, probando algunas opciones de descargas con un cliente de correos los he borrado todos y lo mejor, no pude leer ninguno. Este es el original mio Hola a todos: Quisiera saber en que sitio pudiera descargar algún juego de video para Linux, algo así como el Quacke o el Tomb Raider, que es en 3ra persona. Tal vez no sea muy seria la solicitud, pero la verdad es que estos me entretienen de vez en cuando, solo que los tengo en para Windows, y es lo único que no hago en Linux, por lo que de un momento a otro pudiera tener la posibilidad de acabar de eliminar windows de mi PC. Salu2 -- Winston Roig Jr Linux User No. 395770 Amateur Radio Station C O 2 W F co2wf@amsat.org "Alea jacta est" --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@suse.com
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2006-11-16 a las 19:08 -0500, Winston Roig Jr escribió:
Si no les es molestia pudieran a enviar las respuestas respecto al tema,
¡Joder, tío! Otra vez secuestrando otro hilo. :-/ Estabamos hablando del postfix. Has cogido un correo de Camaleón, le has dado a responder, has borrado el tema, y has puesto el tuyo. ¡Deja de hacer eso, leches! Y responde a las respuestas que te han dado. Y si las has perdido, tienes opciones en el archivo para recuperarlas (http://lists.opensuse.org/opensuse-es/). ¡Pero nunca secuestres hilos! - -- Saludos Carlos E. R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.2 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFFW7F6tTMYHG2NR9URAs4CAKCQ6P8dojdhHEo3+E536WPzqmNtsgCfX7f/ 3/yVC15WDaDtHySRZqA+mDE= =+R0H -----END PGP SIGNATURE-----
El día 13/11/06, Carlos E. R.
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
El 2006-11-13 a las 12:32 +0100, Camaleón escribió:
Pregúntale (por curiosidad) por qué no utilizan la autentificiación (smtp auth) para el envío de correos por medio de su servidor para sus dominios y que en caso de recibir correos para sus dominios desde varios equipos cómo lo harían para detenerlo ya que afecta directamente a sus clientes, su ancho de banda y recursos.
¡Pues porque no se puede! Sería "ilegal".
Vamos a ver, si un servidor es el responsable de un dominio "alfa", está obligado a recibir todos los correos destinados a él, esto es, a "alfa", y no puede pedir ningún tipo de autentificación para recibirlos.
No está haciendo relay, está recibiendo el correo con destino a él. Su administrador tiene razón, lo que hace es correcto.
Así que si se recibe spam con origen "kk@terra.es" y destino "midireccion@midominio.com", que es el dominio de destino y administrado por ese servidor, pues te toca ajo y agua. El correo es para tí y no le puedes pedir autentificación.
Pero porque no le pido autentificación? como es posible que pueda usar ese SMTP cualquier persona del mundo mundial. O no lo acabo de entendero a mi eso me parece un agujero de seguridad. Cualquiera poniendo una direccion de correo falsa puede enviar un correo a mi servidor sin necesidad de user y pass. Pues si es correcto yo no lo acabo de ver..... Emi
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2006-11-13 a las 13:56 +0100, Emiliano Sutil escribió:
Pero porque no le pido autentificación? como es posible que pueda usar ese SMTP cualquier persona del mundo mundial. O no lo acabo de entendero a mi eso me parece un agujero de seguridad. Cualquiera poniendo una direccion de correo falsa puede enviar un correo a mi servidor sin necesidad de user y pass. Pues si es correcto yo no lo acabo de ver.....
No puedes pedir autorización porque tú eres el destinatario. Piensa. ¿Como voy a poderte mandar yo un correo si me vas a pedir a mí login y password para recibirlo? Cualquier persona del mundo mundial puede mandarte correos a tí, por supuesto, porque para eso sirve el correo. Lo que no pueden hacer es pedirle a un servidor intermediario que te los envíe, porque entonces hacen relay. Pero no es un servidor intermediario, sino que es el destinatario. - -- Saludos Carlos E. R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.2 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFFWHWntTMYHG2NR9URAsS6AKCVdCcFRClW6rqqEalhcRV/AUt81wCglbNo 08peiHaAYtbNjJky11ku3OI= =OIbr -----END PGP SIGNATURE-----
El día 13/11/06, Carlos E. R.
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
El 2006-11-13 a las 13:56 +0100, Emiliano Sutil escribió:
Pero porque no le pido autentificación? como es posible que pueda usar ese SMTP cualquier persona del mundo mundial. O no lo acabo de entendero a mi eso me parece un agujero de seguridad. Cualquiera poniendo una direccion de correo falsa puede enviar un correo a mi servidor sin necesidad de user y pass. Pues si es correcto yo no lo acabo de ver.....
No puedes pedir autorización porque tú eres el destinatario.
Piensa.
¿Como voy a poderte mandar yo un correo si me vas a pedir a mí login y password para recibirlo?
Cualquier persona del mundo mundial puede mandarte correos a tí, por supuesto, porque para eso sirve el correo.
Pero que use su propio servidor de correo para enviarlo, no el mio. Vamos digo yo. La cuestión es que entonces yo puedo no tener un smtp propio, sino usar el de cualquier otro para enviarle correos. Se me ocurre un refran muy espanol, que además de pxxxx, pongo la cama. Lo que no pueden hacer es pedirle a un servidor intermediario que te los
envíe, porque entonces hacen relay. Pero no es un servidor intermediario, sino que es el destinatario.
Lo que no se es como se puede arreglar, pero no me parece lógico, De ahi mi pregunta inicial..... Emi - --
Saludos Carlos E. R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.2 (GNU/Linux) Comment: Made with pgp4pine 1.76
iD8DBQFFWHWntTMYHG2NR9URAsS6AKCVdCcFRClW6rqqEalhcRV/AUt81wCglbNo 08peiHaAYtbNjJky11ku3OI= =OIbr -----END PGP SIGNATURE-----
2006/11/13, Emiliano Sutil
El día 13/11/06, Carlos E. R.
escribió: -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
El 2006-11-13 a las 13:56 +0100, Emiliano Sutil escribió:
Pero porque no le pido autentificación? como es posible que pueda usar ese SMTP cualquier persona del mundo mundial. O no lo acabo de entendero a mi eso me parece un agujero de seguridad. Cualquiera poniendo una direccion de correo falsa puede enviar un correo a mi servidor sin necesidad de user y pass. Pues si es correcto yo no lo acabo de ver.....
No puedes pedir autorización porque tú eres el destinatario.
Yo lo que creo que Emiliano pregunta es: Si yo configuro una cuenta de correo, digamos en Kmail y coloco los datos de salida de una cuenta que no tengo, pero que se que existe por ejemplo Usuario: pepito.perez@teletubbis.net Servidor de salida SMTP: smtp.teletubbis.net Podré enviar correos como Pepito Perez, sin que el servidor de Telefónica se de cuenta de ello? No me deberia de pedir una autorización, password o algo? Si es así, podría mandar basura a cualquier parte del mundo a nombre del Pepito Perez, no? Pobrre Pepito, no? Saludos Roberto =��u��y��jV���+��"�f�u맙��j7������zϮ�˛���m�)z{.��+���j��zw�zZ�yثy�"�w�r����&jw^�y��ƣy�)z{.�����ˬy�&
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2006-11-13 a las 19:14 +0100, Roberto Pineda escribió:
2006/11/13, Emiliano Sutil
: No puedes pedir autorización porque tú eres el destinatario.
Yo lo que creo que Emiliano pregunta es:
Si yo configuro una cuenta de correo, digamos en Kmail y coloco los datos de salida de una cuenta que no tengo, pero que se que existe por ejemplo
Usuario: pepito.perez@teletubbis.net Servidor de salida SMTP: smtp.teletubbis.net
Podré enviar correos como Pepito Perez, sin que el servidor de Telefónica se de cuenta de ello?
No.
No me deberia de pedir una autorización, password o algo?
Si, y no.
Si es así, podría mandar basura a cualquier parte del mundo a nombre del Pepito Perez, no?
No. Puedes mandarle todos los correos que quieras _a_ pepito, pero a nadie más. Es diferente. A pepito le puedes mandar lo que quieras, porque es correo para él y es su servidor de destino. Al resto del mundo no, porque eso es hacer relay, y ahí si que te pedirá login/pass. Y no lo he probado, el kmail puede que no se deje configurar de esa guisa.
Roberto =[aa][da]u[aa][dd]y[b6][a3]jV[ac][ba][c7]+[8a][97]"[9e]f[a7]u?[e9][ec]j7[9a][a2][97][a7][b2][eb]z?[9e]?[b1][ca][e2]m[ea])z{.[b1][ea]+[80][f6][ab]j[86][ed]zw[ab]zZ?[da]y?y[c7]"[a2]w[ac]r[89][9a][9d][da]&jw^[ba]y[9e][9e]?y[aa])z{.[b1][e7][ac][fa][a5][a6] ?y[ca]&
Curiosa firma... - -- Saludos Carlos E. R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.2 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFFWMrstTMYHG2NR9URAk4FAJ9EU5TK9E+D4cRVypscjzu+qkjNzQCgjR9X F2hpVfrLa1KnA0Q1FeJ1xPQ= =wJlo -----END PGP SIGNATURE-----
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2006-11-13 a las 16:25 +0100, Emiliano Sutil escribió:
Cualquier persona del mundo mundial puede mandarte correos a tí, por supuesto, porque para eso sirve el correo.
Pero que use su propio servidor de correo para enviarlo, no el mio. Vamos digo yo. La cuestión es que entonces yo puedo no tener un smtp propio, sino usar el de cualquier otro para enviarle correos. Se me ocurre un refran muy espanol, que además de pxxxx, pongo la cama.
Y eso es lo que hacemos, usamos nuestro propio servidor o el de nuestro ISP para enviarte el correo a tí. Mi ISP me pedirá a mi autorización, por supuesto, pero el tuyo no puede, no tiene derecho mientras el correo sea para él y no sea un relay. El correo es para tí, es tuyo, ¿a donde rayos quieres que lo enviemos si no es a tí? ¿No te das cuenta? El correo que va destinado a los usuarios de "midominio.es" por narices hay que entregarlo a "midominio.es", y no se puede entregar a "pepitolospalotes.es" porque no es de ellos. Es para "midominio.es" y "midominio.es" no tiene más remedio que aceptarlo porque es suyo, lo entregue quien lo entregue. Y al cartero no se le pide el DNI.
Lo que no pueden hacer es pedirle a un servidor intermediario que te los
envíe, porque entonces hacen relay. Pero no es un servidor intermediario, sino que es el destinatario.
Lo que no se es como se puede arreglar, pero no me parece lógico, De ahi mi pregunta inicial.....
No se puede arreglar aquello que está funcionando bien y como debe ser. Vamos a ver, lo explico otra vez. Yo tengo una cuenta en telefónica. Tu tienes una cuenta en gmail. Si yo te envio un correo, lo puedo enviar a telefónica y ellos a gmail - y gmail no puede exigir ningún tipo de login/pass a telefónica, porque el correo va destinado a gmail. Es más, yo puedo enviarte el correo directamente a tí en gmail, por mis medios, usando el protocolo smtp, que para eso está, y tampoco me va a pedir autorización. Para gmail da igual que el correo vaya directo o a través de un tercero, no hay ninguna diferencia: mientras sea para gmail tiene que aceptarlo por narices, es suyo. Lo único que pueden hacer en gmail es aplicar listas negras, y darse cuenta de que mi IP es dinámica y rechazarla, aunque esté feo. O usar otras medidas antispam, SPF, domain sig, SA, etc. Pero login/pass, ¡JAMAS! Y si no te lo crees, lo próximo que hago es mandarte un centenar de correos a tu cuenta en gmail, a ver si puedo o no puedo. ¡Pardiez! :-P - -- Saludos Carlos E. R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.2 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFFWLlytTMYHG2NR9URAmDDAJ9dYjfkecXQufbqM3+L0hp60c+rxgCfcWfa 3wxkb979RZ30enz08bdnmfY= =J4Gt -----END PGP SIGNATURE-----
El 13/11/2006 12:32:50 Camaleón escribió: noelamac> noelamac> Ya, pero yo puedo enviar spam desde ese servidor de forma anónima a noelamac> dominios de ese servidor, lo cual puede ser o no útil pero es posible. No, no eres anónimo, tú te autentificas al iniciar sesión en el dominio. Eres usuario de ese ISP. Hay muchos proveedores pequeños que tienen configurado sendmail o postfix para permitir relay desde sus propias IP publicas. -- Saludos, Josep M. Queralt
El día 13/11/06, Josep M. Queralt
El 13/11/2006 12:32:50 Camaleón escribió:
noelamac> noelamac> Ya, pero yo puedo enviar spam desde ese servidor de forma anónima a noelamac> dominios de ese servidor, lo cual puede ser o no útil pero es posible.
No, no eres anónimo, tú te autentificas al iniciar sesión en el dominio. Eres usuario de ese ISP.
Que si, que soy anonimo. Yo cojo el thunderbird configuro la cuenta como pepito@pepito.com y su smtp como servidor de correo saliente, envio un correo a ese servidor y no me pide ni user ni pass ni nada. Hay muchos proveedores pequeños que tienen configurado sendmail o
postfix para permitir relay desde sus propias IP publicas.
-- Saludos,
Josep M. Queralt
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2006-11-13 a las 13:53 +0100, Emiliano Sutil escribió:
Yo cojo el thunderbird configuro la cuenta como pepito@pepito.com y su smtp como servidor de correo saliente, envio un correo a ese servidor y no me pide ni user ni pass ni nada.
Si el destinatario de ese correo está en ese servidor, es correcto. No puedes pedirles autorización a los que te escriben correos a _ti_. - -- Saludos Carlos E. R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.2 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFFWHLPtTMYHG2NR9URAtq7AJ0SV9hBdlcU+Clt+X5NrgV8PKAlRACbBRsb Pd7AbcKMPnGL1GSEZWSo/po= =BW0U -----END PGP SIGNATURE-----
El 13/11/2006 10:34:27 Camaleón escribió: noelamac> noelamac> Haz el test que te enviamos* hace unos días para ver si te dice algo noelamac> extraño de ese servidor de correo (por ejemplo, si es un openrelay). noelamac> En base a los resultados, pues le dices lo que pasa. No es un "openrelay", pero tiene el "relay" abierto para sus propias IP públicas. Hay algunos proveedores que son amables con sus usuarios. :-) -- Saludos, Josep M. Queralt
El día 13/11/06, Josep M. Queralt
El 13/11/2006 10:34:27 Camaleón escribió:
noelamac> noelamac> Haz el test que te enviamos* hace unos días para ver si te dice algo noelamac> extraño de ese servidor de correo (por ejemplo, si es un openrelay). noelamac> En base a los resultados, pues le dices lo que pasa.
No es un "openrelay", pero tiene el "relay" abierto para sus propias IP públicas. Hay algunos proveedores que son amables con sus usuarios. :-)
Insisto, si fuera con sus usuarios me parecería correcto, pero en mi caso con cualquiera que quiera usar su smtp para enviar correos a ellos. Sin necesidad de ser su usuario...... --
Saludos,
Emi Josep M. Queralt
El 13/11/2006 13:15:29 Emiliano Sutil escribió: emiliano.sutil> Insisto, si fuera con sus usuarios me parecería correcto, pero en mi caso emiliano.sutil> con cualquiera que quiera usar su smtp para enviar correos a ellos. emiliano.sutil> Sin necesidad de ser su usuario...... Entonces lo entendí mal. :-( No es tan normal, salvo que se trate de usar un formulario web, que no veo que sea el caso. -- Saludos, Josep M. Queralt
El 13/11/2006 10:08:40 Emiliano Sutil escribió: emiliano.sutil> Para poder enviar correo se necesita user y pass, pero solo si la direccion emiliano.sutil> de correo destino no pertenece a ningun dominio de la maquina. Si va para la emiliano.sutil> Como digo a mi esto no me parece normal, pero el administrador de mi emiliano.sutil> proveedor me dice que si que es normal. emiliano.sutil> ¿Vosotros que opinais? En caso de que se pueda arreglar,. ¿que indicaciones emiliano.sutil> le deberia dar para solucionarlo? porque yo no puedo tocar nada, solo puedo emiliano.sutil> pedirle a el que lo haga Es normal si ellos lo tienen configurado de esta manera. :-) No hay nada que arreglar ya que se trata de una configuración consciente y voluntaria cual es permitir el "relay" desde su rango de direcciones IP públicas y pedir autentificación en los demás casos. Yo pienso que es una política que beneficia al usuario ya que tiene en cuenta e éste y no al dominio desde el que envía. Si estás conectado con ellos ya te has autentificado al iniciar la conexión y si no estás conectado con ellos te pide la autentificación de usuario, no importándoles con que dirección de correo envías. -- Saludos, Josep M. Queralt
Es normal si ellos lo tienen configurado de esta manera. :-)
No hay nada que arreglar ya que se trata de una configuración consciente y voluntaria cual es permitir el "relay" desde su rango de direcciones IP públicas y pedir autentificación en los demás casos.
Esto que me dices no lo entiendo, yo he probado desde varias ips publicas que no estan en su rango y no me pide autenficacion para enviar si el dominio al que va el correo esta en la maquina. Yo pienso que es una política que beneficia al usuario ya que tiene en
cuenta e éste y no al dominio desde el que envía. Si estás conectado con ellos ya te has autentificado al iniciar la conexión y si no estás conectado con ellos te pide la autentificación de usuario, no importándoles con que dirección de correo envías.
Pero el caso es que no me pide autenficación de ningún tipo si envío a una cuenta de la maquina usando su smtp. vamos que cualquier spammer puede achicharrame el dominio con correos que nadie le va a pedir nada. A otros no enviará, pero a mi me frie. --
Saludos,
Josep M. Queralt
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2006-11-13 a las 13:03 +0100, Emiliano Sutil escribió:
Pero el caso es que no me pide autenficación de ningún tipo si envío a una cuenta de la maquina usando su smtp. vamos que cualquier spammer puede achicharrame el dominio con correos que nadie le va a pedir nada. A otros no enviará, pero a mi me frie.
Es correcto. Dile que ponga un SA. O ponlo tu. - -- Saludos Carlos E. R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.2 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFFWGOXtTMYHG2NR9URAoJEAJ9GngngM2cQew10H2Joaqm0lCn+0ACdGpaN fminhwnyWMFQzCTs8KgEJFk= =BcNH -----END PGP SIGNATURE-----
Este tema me parece excelente, mas sin embargo le he visto pocas veces en la lista de postfix, pero por una simple razon* logica*, al servidor no le importa por donde venga el correo, lo q' le importa es recibir el correo para los dominios q' tenga configurados y servir de relay a los mismos. Miren hagan la prueba, desde telnet a su servidor "*seguro*" telnet mail.servidorseguro.com 25 EHLO mail.servidorseguro.com MAIL FROM: billgates@microshit.com RCPT TO: micuenta@servidorseguro.com DATA Escribimos el mensaje que queramos de prueba, damos enter despues ponemos un punto y damos enter . 250 Mail queued for delivery. Listo el correo se envio y al que no le haga esto, acaba de cambiar los estandares y que pase el dato de como le hizo. Emiliano Sutil escribió:
Hola a todos
Resulta que tengo unos dominios contratados en un proveedor. Usan postfix como servidor de correo y he visto un comportamiento que no me cuadra pero desde alli me dicen que es normal.
Para poder enviar correo se necesita user y pass, pero solo si la direccion de correo destino no pertenece a ningun dominio de la maquina. Si va para la propia maquina no necesita autentificacion y es mas, puede enviarlo como una direccion que no pertenece al dominio. Ejemplo:
Si un tipo configura su correo como kk@terra.es mailto:kk@terra.es y usa como SMTP el servidor de correo de mi proveedor y envia un correo a midireccion@midominio.com mailto:midireccion@midominio.com como ese dominio pertenece a la misma maquina que el SMTP, pues acepta el correo, sin pedir pass ni nada.
Como digo a mi esto no me parece normal, pero el administrador de mi proveedor me dice que si que es normal.
¿Vosotros que opinais? En caso de que se pueda arreglar,. ¿que indicaciones le deberia dar para solucionarlo? porque yo no puedo tocar nada, solo puedo pedirle a el que lo haga
Un saludo
Emiliano Sutil
--------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@suse.com
Hola Estoy tratando de instalar qmail scanner, lo ternino de instalar sin errores pero cuando trato de hacer el test "./test_installation.sh -doit" me da el siguiente error QMAILQUEUE was not set, defaulting to /var/qmail/bin/qmail-scanner-queue.pl for this test... Sending standard test message - no viruses... done! Sending eicar test virus - should be caught by perlscanner module... qmail-inject: fatal: qq temporary problem (#4.3.0) Bad error. qmail-inject died Buscando por inet he descubierto que es problema de perl que no tiene activada la opcion suidperl, ?Alguien sabe como se activa esta opcion?. Un saludo y gracias --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@suse.com
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2006-11-14 a las 17:52 +0100, Antonio Moreno escribió: Antes de contestar... Acabas de secuestrar un hilo. Le has dado a "Responder" en tu Outlook a un correo de Mario Tello sobre: | Subject: Re: [opensuse-es] postfix: es normal este comportamiento? y luego has borrado el Tema y has puesto el tuyo. Pero esa trampa queda registrada a perpetuidad en el archivo de la lista.
Buscando por inet he descubierto que es problema de perl que no tiene activada la opcion suidperl, ?Alguien sabe como se activa esta opcion?.
Pon la entrada correspondiente en el /etc/permissions.local, de acuerdo con estas instrucciones: # don't set the setuid bit on suidperl! Set it on sperl instead if # you really need it as suidperl is a hardlink to perl nowadays. /usr/bin/suidperl root:root 755 O lo que es lo mismo, haces: cer@nimrodel:~> l /usr/bin/sperl* - -rwx--x--x 1 root root 1160012 2006-04-23 02:38 /usr/bin/sperl5.8.8* Y entonces editas el ficherito local de antes y añades: /usr/bin/sperl5.8.8 root:root 4755 Y ejecutas "SuSEconfig --module permissions". Listo. - -- Saludos Carlos E. R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.2 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFFWhiUtTMYHG2NR9URAgfpAJ9SBMzkLroJg5+A2DPjtPNmenXt4gCdGrHI aDdNVo9HlBRsvln99p8d0Tk= =94ru -----END PGP SIGNATURE-----
Joer me has pillao, :P, no te preocupes no volvera a ocurrir y lo tengo en
la libreta de direcciones ;)
Estas lineas que me dices
# don't set the setuid bit on suidperl! Set it on sperl instead if
# you really need it as suidperl is a hardlink to perl nowadays.
/usr/bin/suidperl root:root 755
las tengo en lugar de en el permissions.local, la tengo en el fichero
permissions, no se si sera correcto o no, ?Lo cambio al permission.local?
Un saludo y gracias por la respuesta
----- Original Message -----
From: "Carlos E. R."
Buscando por inet he descubierto que es problema de perl que no tiene activada la opcion suidperl, ?Alguien sabe como se activa esta opcion?.
Pon la entrada correspondiente en el /etc/permissions.local, de acuerdo con estas instrucciones: # don't set the setuid bit on suidperl! Set it on sperl instead if # you really need it as suidperl is a hardlink to perl nowadays. /usr/bin/suidperl root:root 755 O lo que es lo mismo, haces: cer@nimrodel:~> l /usr/bin/sperl* - -rwx--x--x 1 root root 1160012 2006-04-23 02:38 /usr/bin/sperl5.8.8* Y entonces editas el ficherito local de antes y aqades: /usr/bin/sperl5.8.8 root:root 4755 Y ejecutas "SuSEconfig --module permissions". Listo. - -- Saludos Carlos E. R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.2 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFFWhiUtTMYHG2NR9URAgfpAJ9SBMzkLroJg5+A2DPjtPNmenXt4gCdGrHI aDdNVo9HlBRsvln99p8d0Tk= =94ru -----END PGP SIGNATURE----- --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@suse.com
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2006-11-15 a las 09:05 +0100, Antonio Moreno escribió:
Joer me has pillao, :P, no te preocupes no volvera a ocurrir y lo tengo en la libreta de direcciones ;)
Es que esas cosas resaltan como un torero de rojo en la plaza :-P
Estas lineas que me dices
# don't set the setuid bit on suidperl! Set it on sperl instead if # you really need it as suidperl is a hardlink to perl nowadays. /usr/bin/suidperl root:root 755
las tengo en lugar de en el permissions.local, la tengo en el fichero permissions, no se si sera correcto o no, ?Lo cambio al permission.local?
Esas lineas son originales de SuSE, y debes dejarlas donde estaban. Tus modificaciones van al local. Fíjate que la original quita el suid, pero como el local se lee el último, no pasa nada, queda bien al final. Siempre que se hagan cambios en las configuraciones, mira a ver si existe un fichero algo.local, porque significa que los otros SuSE se reserva el derecho de cambiartelos sin previo aviso :-P Además, por lo que puse el comentario ese del suidperl es porque dice que no toques el suidperl, que es un link, sino el original (sperl...). - -- Saludos Carlos E. R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.2 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFFWuyKtTMYHG2NR9URApZjAJkBPUPeCakcofKZ0mF3q2noj2PgwgCfca2F 9mFK4TVO/m4Ip6frEFuOzOk= =DVl1 -----END PGP SIGNATURE-----
Gracias por la rapida contestacion, pero sigue sin funcionar.
Seguire investigando
Un saludo
To~o
----- Original Message -----
From: "Carlos E. R."
Joer me has pillao, :P, no te preocupes no volvera a ocurrir y lo tengo en la libreta de direcciones ;)
Es que esas cosas resaltan como un torero de rojo en la plaza :-P
Estas lineas que me dices
# don't set the setuid bit on suidperl! Set it on sperl instead if # you really need it as suidperl is a hardlink to perl nowadays. /usr/bin/suidperl root:root 755
las tengo en lugar de en el permissions.local, la tengo en el fichero permissions, no se si sera correcto o no, ?Lo cambio al permission.local?
Esas lineas son originales de SuSE, y debes dejarlas donde estaban. Tus modificaciones van al local. Fmjate que la original quita el suid, pero como el local se lee el zltimo, no pasa nada, queda bien al final. Siempre que se hagan cambios en las configuraciones, mira a ver si existe un fichero algo.local, porque significa que los otros SuSE se reserva el derecho de cambiartelos sin previo aviso :-P Ademas, por lo que puse el comentario ese del suidperl es porque dice que no toques el suidperl, que es un link, sino el original (sperl...). - -- Saludos Carlos E. R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.2 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFFWuyKtTMYHG2NR9URApZjAJkBPUPeCakcofKZ0mF3q2noj2PgwgCfca2F 9mFK4TVO/m4Ip6frEFuOzOk= =DVl1 -----END PGP SIGNATURE----- --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@suse.com
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2006-11-15 a las 12:25 +0100, Antonio Moreno escribió:
Gracias por la rapida contestacion, pero sigue sin funcionar.
Tendrás que decir que has hecho exactamente hasta ahora y que mensajes de error te está dando para que alguien te pueda ayudar. - -- Saludos Carlos E. R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.2 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFFW3ROtTMYHG2NR9URAhwJAJ0V5oklUtjsir/tYGkLZiOciY3U4QCfVE1h zZZZvMuIP4C4X5lMD5kqGFk= =YDXT -----END PGP SIGNATURE-----
El problema era que me faltaba la extension .pl en una la linea que he
tenido que aqadir en el fichero
/var/qmail/supervise/qmail-smtpd/run
QMAILQUEUE="/var/qmail/bin/qmail-scanner-queue.pl" ; export QMAILQUEUE
Ahora me da otro error, es el siguiente
ejecuto -> "./test_installation.sh -doit
setting QMAILQUEUE to /var/qmail/bin/qmail-scanner-queue.pl for this test...
Sending standard test message - no viruses...
done!
Sending eicar test virus - should be caught by perlscanner module...
X-Antivirus-MYDOMAIN-1.22-st-qms:[correo116368199062010836] clamdscan:
corrupt or unknown clamd scanner error or memory/resource/perms problem -
exit status 2
qmail-inject: fatal: qq temporary problem (#4.3.0)
Bad error. qmail-inject died
"
Si alguien sabe algo que me ayude que ando un poco perdido y las paginas en
las que encuentro posibles soluciones me pierden un poco mas.
Un saludo
To~o
----- Original Message -----
From: "Carlos E. R."
Gracias por la rapida contestacion, pero sigue sin funcionar.
Tendras que decir que has hecho exactamente hasta ahora y que mensajes de error te esta dando para que alguien te pueda ayudar. - -- Saludos Carlos E. R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.2 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFFW3ROtTMYHG2NR9URAhwJAJ0V5oklUtjsir/tYGkLZiOciY3U4QCfVE1h zZZZvMuIP4C4X5lMD5kqGFk= =YDXT -----END PGP SIGNATURE----- --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@suse.com
El 16/11/06, Antonio Moreno escribió:
X-Antivirus-MYDOMAIN-1.22-st-qms:[correo116368199062010836] clamdscan: corrupt or unknown clamd scanner error or memory/resource/perms problem - exit status 2
Sacado de la FAQ de ClamAV http://www.clamav.net/doc/0.88/html/node46.html I'm running qmail+Qmail-Scanner+ClamAV and get the following error in my mail logs: clamdscan: corrupt or unknown clamd scanner error or memory/resource/perms problem. What's wrong with it? Most likely clamd is not running at all, or you are running Qmail-Scanner and clamd under a different uid. If you are running Qmail-Scanner as qscand (default setting) you could put User qscand inside your clamd.conf file and restart clamd. Remember to check that qscand can create clamd.ctl (usually located at /var/run/clamav/clamd.ctl). The same applies to the log file. Saludos, -- Camaleón --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@suse.com
Ya si es lo que he encontrado, lo he modificado pero sigo igual
Gracias de todas formas
----- Original Message -----
From: "Camalesn"
X-Antivirus-MYDOMAIN-1.22-st-qms:[correo116368199062010836] clamdscan: corrupt or unknown clamd scanner error or memory/resource/perms problem - exit status 2
Sacado de la FAQ de ClamAV http://www.clamav.net/doc/0.88/html/node46.html I'm running qmail+Qmail-Scanner+ClamAV and get the following error in my mail logs: clamdscan: corrupt or unknown clamd scanner error or memory/resource/perms problem. What's wrong with it? Most likely clamd is not running at all, or you are running Qmail-Scanner and clamd under a different uid. If you are running Qmail-Scanner as qscand (default setting) you could put User qscand inside your clamd.conf file and restart clamd. Remember to check that qscand can create clamd.ctl (usually located at /var/run/clamav/clamd.ctl). The same applies to the log file. Saludos, -- Camalesn --------------------------------------------------------------------- Para dar de baja la suscripciC3n, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@suse.com --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@suse.com
2006/11/16, Antonio Moreno:
Ya si es lo que he encontrado, lo he modificado pero sigo igual
Más info... a ver si ahora hay suerte: The suggested setup is: put User qscand and AllowSupplementaryGroups in clamd.conf, then add user qscand to group clamav and make the socket dir and the log dir group writable by clamav. Another possible reason for the aforementioned problem is that your softlimit is set too low. Try raising it to 40MB at least. Saludos, -- Camaleón --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@suse.com
Nada, esto es imposible de resolver me caguen toooooooooooo, voy a seguir
mirando, pero creo que mi problema esta en el qmail-scanner
Seguire informando de mis progresos, aunque de momento me cuesta mucho
Un saludo y gracias
To~o
----- Original Message -----
From: "Camalesn"
Ya si es lo que he encontrado, lo he modificado pero sigo igual
Mas info... a ver si ahora hay suerte: The suggested setup is: put User qscand and AllowSupplementaryGroups in clamd.conf, then add user qscand to group clamav and make the socket dir and the log dir group writable by clamav. Another possible reason for the aforementioned problem is that your softlimit is set too low. Try raising it to 40MB at least. Saludos, -- Camalesn --------------------------------------------------------------------- Para dar de baja la suscripciC3n, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@suse.com --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@suse.com
El 15/11/06, Antonio Moreno escribió:
Seguire investigando
¿Ya revisaste algunos de los mensajes que aparecen en Google sobre este mismo error? QMAILQUEUE was not set http://www.google.com/search?hl=en&q=QMAILQUEUE+was+not+set&btnG=Google+Search Saludos, -- Camaleón --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@suse.com
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2006-11-14 a las 10:40 -0600, Mario Tello escribió:
250 Mail queued for delivery. Listo el correo se envio y al que no le haga esto, acaba de cambiar los estandares y que pase el dato de como le hizo.
Pos claro, eso vengo diciendo desde el principio :-) - -- Saludos Carlos E. R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.2 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFFWhXWtTMYHG2NR9URAnvXAJ0ZhbpVBse4K5FomuSwjVFiuhrtsgCdFi/p veZfN3FK8hrrsBjeAybuKyY= =Wjoy -----END PGP SIGNATURE-----
participants (8)
-
Antonio Moreno
-
Camaleón
-
Carlos E. R.
-
Emiliano Sutil
-
Josep M. Queralt
-
Mario Tello
-
Roberto Pineda
-
Winston Roig Jr