Mailinglist Archive: opensuse-es (2081 mails)
| < Previous | Next > |
Re: [opensuse-es] postfix: es normal este comportamiento?
- From: "Carlos E. R." <robin.listas@xxxxxxxxxxxxxx>
- Date: Tue, 14 Nov 2006 21:48:56 +0100 (CET)
- Message-id: <Pine.LNX.4.64.0611142129410.17571@xxxxxxxxxxxxxxxx>
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
El 2006-11-14 a las 19:25 +0100, Camaleón escribió:
> El 14/11/06, Carlos E. R. escribió:
>
> > > Eso será desde tu punto de vista. Claro que hay distinción. Por mis
> > > servidores sólo envía quien esté autentificado, no doy servicio a
> > > nadie salvo a mis usuarios.
> >
> > ¿Lo probamos? :-P
> >
> > Si tu servidor admite correo externo de entrada con destino a tus
> > usuarios, traga.
>
> Vamos a ello. He estado haciendo varias pruebas con distintos
> servidores (gestionados por mi con Postfix y otros remotos a los que
> no tengo acceso vía shell ni mediante ssh -son tipo hosting- que tiene
> una versión personalizada de Sendmail). Las pruebas con estos
> servidores han sido tanto con sesiones telnet como a través de
> clientes de correo (tipo Kmail).
>
> Los resultados han sido los siguientes:
>
> - Servidor Postfix gestionado por mi con dominio propio: sin
> autentificación se lo traga todo (tanto telnet como con cliente),
> luego Carlos ha tenido razón todo este tiempo... mis más sinceras
> excusas para Carlos tienen que ir por delante, eso lo primero. Y a
> Emiliano, que le he metido en un lío de mucho cuidado. Pero seguimos
> leyendo.
¡Arfff! Ya me estaban protestando mis neuronas ;-)
>
> - El servidor remoto no lo pasa, el mensaje es curioso, dice:
>
> "Client host rejected. Check your mail first."
>
> Ojo, el correo es de "usuario@xxxxxxxxxxxxx" a
> "usuario2@xxxxxxxxxxxxx" pero en una sesión telnet y a través de un
> cliente si no me autentifico me responde con ese mensaje.
Ese es el caso que llamo gris.
> Si pruebo con una dirección distinta al dominio (mail from:
> <noelamac@xxxxxxxxx> / rcpt to: <usuario@xxxxxxxxxxxxx>) el mensaje
> que muestra es:
>
> "Recipient address rejected. Invalid sender domain (0)"
Curioso. Claro, que puede ser por muchas razones... una de las cuales es
que diga que tu no estás en una IP de gmail (SPF,por ejemplo), o que la
resolución inversa de tu IP no es la de gmail. También, en el comando EHLO
no se que habrás puesto, pero no coincidirá. Hay muchas restricciones
posibles. Te tira antes de llegar a pedirte autorización.
> Bien, el tema se pone interesante. Mi intención (que era lo que
> pensaba todo este tiempo y que así pensaba que estaba configurado
> Postfix) es que el servidor realice una verificación previa del
> remitente y que si dice que es un usuario del dominio que gestiona
> Postfix, que lo verifique para ver si al menos antes de permitirle
> enviar el mensaje.
Pásale uno de esos verificadores de servidores de correos que hay por ahí
a ver si le has hecho algo raro :-p
>
> En la documentación* de Postfix relativo a esto veo alguna restricción
> interesante, como por ejemplo "reject_sender_login_mismatch" y
> "reject_unauthenticated_sender_login_mismatch" a las que les voy a
> echar un vistazo y voy a intentar configurar para determinar si
> realmente permiten conseguir el resultado que busco, similar a lo que
> hace el servidor remoto con el que he hecho las pruebas anteriores.
>
> * http://www.postfix.com/postconf.5.html#smtpd_sender_restrictions
A ver que dice eso...
reject_sender_login_mismatch
Reject the request when $smtpd_sender_login_maps specifies an owner
for the MAIL FROM address, but the client is not (SASL) logged in as
that MAIL FROM address owner; or when the client is (SASL) logged in,
but the client login name doesn't own the MAIL FROM address according
to $smtpd_sender_login_maps.
Ah. Ah. A ver... te has autentificado, pero tu from no es el de la
autorización... Cuidadín, es delicado. Eso es util, por ejemplo, en una
empresa, para que nadie se haga pasar por otro. Pero es muy malo si por
ejemplo me lo hace telefónica: si yo tengo varios remites, no voy a poder
mandarlos a través de tesa. Cuando se contrata un relay es para que te
envíe todo.
O dicho de otra forma, no tendrán problemas los clientes con programas de
cliente, que definen un SMTP distinto para cada una de las veinte mil
cuentas, pero los servidores como postfix lo tendrán crudo, porque usan
una unica autorización por dominio (smtp de salida).
¡ÑAC! Odio las documentaciones escritas por progamadores. ¡Ejemplos,
ejemplos, puñetas! :-/
> Saludos (y en especial a Carlos que ha aguantado como un jabato todo
> lo que, erróneamente, le estaba diciendo... cinco latigazos para mi).
Arf, arf... en un cuarto de hora, el cascarrabias de House ;-)
- --
Saludos
Carlos E. R.
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.2 (GNU/Linux)
Comment: Made with pgp4pine 1.76
iD8DBQFFWiu6tTMYHG2NR9URAnKEAJ40N0UXWY1I8Wn+ILNgBHfKMSDMkACeMgFM
/K1QTNQSEy8J07CuKZ5i130=
=rGCM
-----END PGP SIGNATURE-----
Hash: SHA1
El 2006-11-14 a las 19:25 +0100, Camaleón escribió:
> El 14/11/06, Carlos E. R. escribió:
>
> > > Eso será desde tu punto de vista. Claro que hay distinción. Por mis
> > > servidores sólo envía quien esté autentificado, no doy servicio a
> > > nadie salvo a mis usuarios.
> >
> > ¿Lo probamos? :-P
> >
> > Si tu servidor admite correo externo de entrada con destino a tus
> > usuarios, traga.
>
> Vamos a ello. He estado haciendo varias pruebas con distintos
> servidores (gestionados por mi con Postfix y otros remotos a los que
> no tengo acceso vía shell ni mediante ssh -son tipo hosting- que tiene
> una versión personalizada de Sendmail). Las pruebas con estos
> servidores han sido tanto con sesiones telnet como a través de
> clientes de correo (tipo Kmail).
>
> Los resultados han sido los siguientes:
>
> - Servidor Postfix gestionado por mi con dominio propio: sin
> autentificación se lo traga todo (tanto telnet como con cliente),
> luego Carlos ha tenido razón todo este tiempo... mis más sinceras
> excusas para Carlos tienen que ir por delante, eso lo primero. Y a
> Emiliano, que le he metido en un lío de mucho cuidado. Pero seguimos
> leyendo.
¡Arfff! Ya me estaban protestando mis neuronas ;-)
>
> - El servidor remoto no lo pasa, el mensaje es curioso, dice:
>
> "Client host rejected. Check your mail first."
>
> Ojo, el correo es de "usuario@xxxxxxxxxxxxx" a
> "usuario2@xxxxxxxxxxxxx" pero en una sesión telnet y a través de un
> cliente si no me autentifico me responde con ese mensaje.
Ese es el caso que llamo gris.
> Si pruebo con una dirección distinta al dominio (mail from:
> <noelamac@xxxxxxxxx> / rcpt to: <usuario@xxxxxxxxxxxxx>) el mensaje
> que muestra es:
>
> "Recipient address rejected. Invalid sender domain (0)"
Curioso. Claro, que puede ser por muchas razones... una de las cuales es
que diga que tu no estás en una IP de gmail (SPF,por ejemplo), o que la
resolución inversa de tu IP no es la de gmail. También, en el comando EHLO
no se que habrás puesto, pero no coincidirá. Hay muchas restricciones
posibles. Te tira antes de llegar a pedirte autorización.
> Bien, el tema se pone interesante. Mi intención (que era lo que
> pensaba todo este tiempo y que así pensaba que estaba configurado
> Postfix) es que el servidor realice una verificación previa del
> remitente y que si dice que es un usuario del dominio que gestiona
> Postfix, que lo verifique para ver si al menos antes de permitirle
> enviar el mensaje.
Pásale uno de esos verificadores de servidores de correos que hay por ahí
a ver si le has hecho algo raro :-p
>
> En la documentación* de Postfix relativo a esto veo alguna restricción
> interesante, como por ejemplo "reject_sender_login_mismatch" y
> "reject_unauthenticated_sender_login_mismatch" a las que les voy a
> echar un vistazo y voy a intentar configurar para determinar si
> realmente permiten conseguir el resultado que busco, similar a lo que
> hace el servidor remoto con el que he hecho las pruebas anteriores.
>
> * http://www.postfix.com/postconf.5.html#smtpd_sender_restrictions
A ver que dice eso...
reject_sender_login_mismatch
Reject the request when $smtpd_sender_login_maps specifies an owner
for the MAIL FROM address, but the client is not (SASL) logged in as
that MAIL FROM address owner; or when the client is (SASL) logged in,
but the client login name doesn't own the MAIL FROM address according
to $smtpd_sender_login_maps.
Ah. Ah. A ver... te has autentificado, pero tu from no es el de la
autorización... Cuidadín, es delicado. Eso es util, por ejemplo, en una
empresa, para que nadie se haga pasar por otro. Pero es muy malo si por
ejemplo me lo hace telefónica: si yo tengo varios remites, no voy a poder
mandarlos a través de tesa. Cuando se contrata un relay es para que te
envíe todo.
O dicho de otra forma, no tendrán problemas los clientes con programas de
cliente, que definen un SMTP distinto para cada una de las veinte mil
cuentas, pero los servidores como postfix lo tendrán crudo, porque usan
una unica autorización por dominio (smtp de salida).
¡ÑAC! Odio las documentaciones escritas por progamadores. ¡Ejemplos,
ejemplos, puñetas! :-/
> Saludos (y en especial a Carlos que ha aguantado como un jabato todo
> lo que, erróneamente, le estaba diciendo... cinco latigazos para mi).
Arf, arf... en un cuarto de hora, el cascarrabias de House ;-)
- --
Saludos
Carlos E. R.
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.2 (GNU/Linux)
Comment: Made with pgp4pine 1.76
iD8DBQFFWiu6tTMYHG2NR9URAnKEAJ40N0UXWY1I8Wn+ILNgBHfKMSDMkACeMgFM
/K1QTNQSEy8J07CuKZ5i130=
=rGCM
-----END PGP SIGNATURE-----
| < Previous | Next > |