Re: [opensuse-es] postfix: es normal este comportamiento? - Conclusiones
2006/11/15, Camaleón:
¿Qué se su supone que se consigue con esta configuración?
* http://readlist.com/lists/postfix.org/postfix-users/8/44010.html
Después de haber estado investigando un poco más a fondo y haber
estado haciendo algunas pruebas con el tema de la autentificación de
los usuarios en Postfix mediante sasl, he llegado a las siguientes
conclusiones:
- El uso del parámetro "reject_sender_login_mismatch" no sirve para
este caso ya que no exige al usuario que se autentifique, sólo
verifica la concordancia si éste lo hace.
- Es posible (y mucha* gente** lo pide***) obligar a los usuarios de
los dominios gestionados por Postfix que se autentifiquen si quieren
enviar correo independientemente de que el destino sea local (el
remoto ya lo hace) mediante "check_sender_access" y definiendo clase
restrictiva.
¿Para qué solicitar la autentificación en este caso? Pues para evitar
que se falsifique la dirección del remitente ("sender spoofing") del
campo "From". Con esta medida le dices a Postfix que si un usuario se
identifica como usuario de un dominio gestionado por Postfix se tiene
que identificar, es decir, se le fuerza a establecer una conexión
mediante autentificación, de lo contrario se le rechaza el correo.
Ejemplo:
telnet smtp.dominio.com 25
esmtp postfix
mail from:
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
2006/11/15, Camaleón:
Inciso: telefónica está petada hoy. No recibo los correos de la lista, aunque alguna prueba si entra. Viene a responder esto: (host tnetmx.telefonica.net[213.4.149.64] said: 451 <**@teleline.es> unable to verify address (in reply to MAIL FROM command)) Podría ser que fuera porque yo estoy en una IP dinámica, pero también falla si viene desde otros proveedores, pero como de ellos no veo el log, sólo me lo puedo imaginar. Así que hoy veo las respuestas en gmail. :-/
¿Qué se su supone que se consigue con esta configuración?
* http://readlist.com/lists/postfix.org/postfix-users/8/44010.html
Después de haber estado investigando un poco más a fondo y haber estado haciendo algunas pruebas con el tema de la autentificación de los usuarios en Postfix mediante sasl, he llegado a las siguientes conclusiones:
- El uso del parámetro "reject_sender_login_mismatch" no sirve para este caso ya que no exige al usuario que se autentifique, sólo verifica la concordancia si éste lo hace.
O sea, ¿que si se ha autentificado, el from sea de la persona que se autentifica? Fíjate que esto no sirve para el caso de que el correo se reciba desde otro servidor que nos use como relay, porque nos viene el correo de multiples froms con la misma autentificación.
- Es posible (y mucha* gente** lo pide***) obligar a los usuarios de los dominios gestionados por Postfix que se autentifiquen si quieren enviar correo independientemente de que el destino sea local (el remoto ya lo hace) mediante "check_sender_access" y definiendo clase restrictiva.
Eso es la zona gris que dije.
¿Para qué solicitar la autentificación en este caso? Pues para evitar que se falsifique la dirección del remitente ("sender spoofing") del campo "From". Con esta medida le dices a Postfix que si un usuario se identifica como usuario de un dominio gestionado por Postfix se tiene que identificar, es decir, se le fuerza a establecer una conexión mediante autentificación, de lo contrario se le rechaza el correo.
Ejemplo:
telnet smtp.dominio.com 25 esmtp postfix mail from:
ok rcpt to: Please authenticate first ... Sin esta restricción, el correo seguiría su curso.
¿Donde pones el "check_sender_access"?
Inconvenientes de aplicar la autentificación a los usuarios locales:
1) Por ejemplo (y en ésto no había caído) muchas aplicaciones de control (por ejemplo, programas para la gestión de los sais) permiten el envío de correos electrónicos para establecer avisos según sucesos y no tienen la opción de utilizar la autentificación por lo que no podrían enviar avisos por e-mail.
Supongo que puedes tener algo intermedio, usando permit_mynetworks, con lo que los locales de la red local entran - y creo que la red local puede ser tan restrictiva como sólo el servidor. Ó, puedes hacer que los programas de control escriban todos a otro servidor postfix distinto (sin salida externa), el cual envía al principal autentificandose. ¿Se puede hacer con un dominio virtual del principal? Lo que hecho yo de menos en la docuemntación del postfix es una descripción de como funciona y como se hace todo, no una descripción de cada opción una a una. O sea, documentación de usuario en vez de programador.
2) Otro inconveniente, es que algunos clientes de correo electrónico antiguos tampoco implementan la autentificación por lo que sus mensajes serían rechazados si se dieran las circunstancias (mensajes con remitentes y destinatarios del mismo dominio local)
Si.
La conclusión a la que llego es que es posible forzar la autentificación de usuarios locales a usuarios locales pero no siempre puede resultar conveniente ya que lo se gana por un lado (evitar falsos remitentes) se pierde por otro (pérdida de servicios interesantes como notificaciones en clientes que no implementan la autentificación).
Como siempre, equilibrios... - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.2 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFFXGf/tTMYHG2NR9URAjrSAKCRxUT/puSENJXSOMyEvtirsQYc3gCglFGb +9X9JFrOLW+xC8oNzKRLlHc= =FjTw -----END PGP SIGNATURE-----
2006/11/16, Carlos E. R.:
Inciso: telefónica está petada hoy. No recibo los correos de la lista, aunque alguna prueba si entra. Viene a responder esto:
Sí, ya te comenté en correos anteriores que el servidor de correo de Telefónica era pésimo, casca muy a menudo. Yo lo abandoné por Gmail.
Así que hoy veo las respuestas en gmail.
Acostúmbrate :-)
O sea, ¿que si se ha autentificado, el from sea de la persona que se autentifica?
Según he entendido de los mensajes de las listas de Postfix sobre este parámetro, se verifica que el usuario se autentifica con su nombre de usuario y con el de un compañero que está en el mismo dominio, por ejemplo.
¿Donde pones el "check_sender_access"?
En "smtpd_sender_restrictions"
Supongo que puedes tener algo intermedio, usando permit_mynetworks, con lo que los locales de la red local entran - y creo que la red local puede ser tan restrictiva como sólo el servidor.
Sí, pero sólo si el equipo está en la red donde se encuentra el servidor de correo.
Ó, puedes hacer que los programas de control escriban todos a otro servidor postfix distinto (sin salida externa), el cual envía al principal autentificandose. ¿Se puede hacer con un dominio virtual del principal?
Supongo que sí porque sasl utiliza "realms" por lo que entiendo que se podrían establecer políticas distintas a los dominios.
Lo que hecho yo de menos en la docuemntación del postfix es una descripción de como funciona y como se hace todo, no una descripción de cada opción una a una. O sea, documentación de usuario en vez de programador.
Sí, es un poco confuso. Podrían poner ejemplos o escenarios de aplicación como tiene Samba en su documentación, así te haces una idea del objetivo y cómo conseguirlo. P.S. Por cierto, no quería sacar el correo del hilo donde se encontraba, pensaba que al añadir la coletilla "- Conclusiones" se mantendría dentro pero veo que no. No sé si es por el cambio de lista o que para matener el mensaje en el mismo hilo hay que cambiar el asunto "por delante" y "por detrás" como he hecho yo :-P Saludos, -- Camaleón --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@suse.com
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2006-11-16 a las 15:12 +0100, Camaleón escribió:
2006/11/16, Carlos E. R.:
Inciso: telefónica está petada hoy. No recibo los correos de la lista, aunque alguna prueba si entra. Viene a responder esto:
Sí, ya te comenté en correos anteriores que el servidor de correo de Telefónica era pésimo, casca muy a menudo. Yo lo abandoné por Gmail.
Es el servidor de entrada (no el imap), y me sospecho algún problema de dns de ellos. Es la primera vez que me falla.
Así que hoy veo las respuestas en gmail.
Acostúmbrate :-)
Naaaa, ya estoy de vuelta :-P
O sea, ¿que si se ha autentificado, el from sea de la persona que se autentifica?
Según he entendido de los mensajes de las listas de Postfix sobre este parámetro, se verifica que el usuario se autentifica con su nombre de usuario y con el de un compañero que está en el mismo dominio, por ejemplo.
¿Donde pones el "check_sender_access"?
En "smtpd_sender_restrictions"
Supongo que puedes tener algo intermedio, usando permit_mynetworks, con lo que los locales de la red local entran - y creo que la red local puede ser tan restrictiva como sólo el servidor.
Sí, pero sólo si el equipo está en la red donde se encuentra el servidor de correo.
Por supuesto.
Ó, puedes hacer que los programas de control escriban todos a otro servidor postfix distinto (sin salida externa), el cual envía al principal autentificandose. ¿Se puede hacer con un dominio virtual del principal?
Supongo que sí porque sasl utiliza "realms" por lo que entiendo que se podrían establecer políticas distintas a los dominios.
Mmm.
Lo que hecho yo de menos en la docuemntación del postfix es una descripción de como funciona y como se hace todo, no una descripción de cada opción una a una. O sea, documentación de usuario en vez de programador.
Sí, es un poco confuso. Podrían poner ejemplos o escenarios de aplicación como tiene Samba en su documentación, así te haces una idea del objetivo y cómo conseguirlo.
P.S. Por cierto, no quería sacar el correo del hilo donde se encontraba, pensaba que al añadir la coletilla "- Conclusiones" se mantendría dentro pero veo que no. No sé si es por el cambio de lista o que para matener el mensaje en el mismo hilo hay que cambiar el asunto "por delante" y "por detrás" como he hecho yo :-P
Creo que es cosa del kmail. Como el kde es estilo windosero (¡Huy! perdón, se me escapó :-P) que se lo quiere hacer toico al usuario, pues es muy listo, y en cuanto cambias el tema dice: "Ahhh, una lista. Me cambian el subject. Quieren secuestrar un hilo. Pues no me da la gana, le borro los identificadores y que se fastidie" :-P ¡Yo si puedo, yo si puedo, chincha! :-P En cristiano, que el KMail se pasa de la raya y te ha borrado las cabeceras "In-Reply-To" y "References". Ignoro si es configurable (¿advanced?). - -- Saludos Carlos E. R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.2 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFFXIpytTMYHG2NR9URAq+SAJ4rKEsBOtClRNH0NbaLv4z/svlcgwCghYgZ 9MhYcVxPD5A7/7bL0XZ0IOE= =Fpox -----END PGP SIGNATURE-----
El 16/11/06, Carlos E. R. escribió:
Creo que es cosa del kmail.
:-? Escribo desde GMail. Saludos, -- Camaleón --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@suse.com
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2006-11-16 a las 17:02 +0100, Camaleón escribió:
El 16/11/06, Carlos E. R. escribió:
Creo que es cosa del kmail.
:-? Escribo desde GMail.
Ugh. Mis neuronas me piden que deje de jo^H^Hfastidiarlas y que me vaya a la siesta de una vez. Les haré caso. Pues eso, que los de gmail se pasan de listos ;-) Interpretan un cambio de tema como indicador para borrar los índices para que no salga yo como un energúmeno y le diga a alguien que deje de secuestrar hilos O:-) - -- Saludos Carlos E. R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.2 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFFXI0ltTMYHG2NR9URAt1YAJ9DoAWNUAWtW0drVBj5E87skj1RSgCgixOU PhAm6YWgqw25dYr0mprnf0I= =DraD -----END PGP SIGNATURE-----
Así que hoy veo las respuestas en gmail.
:-/
Yo las listas las leo tambien con gmail para no tener que descargarme todo el mogollón de correos. Eso si, a veces la lio porque no se ven bien los hilos, y ya me ha pasado de mandar correos a donde no era. Supongo que puedes tener algo intermedio, usando
permit_mynetworks, con lo que los locales de la red local entran - y creo que la red local puede ser tan restrictiva como sólo el servidor.
En mi problema de hace meses del servidor que me obligaba a autenficarme la solucion que me dieron fue meter la IP del ADSL detrás de la que estaba el servidor en una lista blanca para que todo el trafico que llegaba desde allí pasaba sin autentificación de ningún tipo (esto solo vale porque tengo ip fija claro) Como siempre, equilibrios... Tu lo has dicho y despues de los malabarismos que hemos hecho..... menos mal que no nos hemos caído ;-) Emi
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2006-11-16 a las 17:28 +0100, Emiliano Sutil escribió:
Así que hoy veo las respuestas en gmail.
:-/
Yo las listas las leo tambien con gmail para no tener que descargarme todo el mogollón de correos. Eso si, a veces la lio porque no se ven bien los hilos, y ya me ha pasado de mandar correos a donde no era.
No me terminan de convencer... para una emergencia, vale, pero a mi que me dejen con mi Pine que es rapidísimo (sólo en arrancar el KMail me tarda varios minutos - claro, que no son unos poquitos correos...)
Supongo que puedes tener algo intermedio, usando permit_mynetworks, con lo que los locales de la red local entran - y creo que la red local puede ser tan restrictiva como sólo el servidor.
En mi problema de hace meses del servidor que me obligaba a autenficarme la solucion que me dieron fue meter la IP del ADSL detrás de la que estaba el servidor en una lista blanca para que todo el trafico que llegaba desde allí pasaba sin autentificación de ningún tipo (esto solo vale porque tengo ip fija claro)
Pero el postfix también se puede autentificar contra otro, aunque claro, es un login/pass por cada servidor remoto, no por cada cliente tuyo.
Como siempre, equilibrios...
Tu lo has dicho y despues de los malabarismos que hemos hecho..... menos mal que no nos hemos caído ;-)
X-) - -- Saludos Carlos E. R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.2 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFFXKJItTMYHG2NR9URAss0AJ0QazwlgPU2BSF2vgjFZ54kTynBBQCfWzAu S1hHSSIEyq0zUAhTG7pgcEw= =wz3e -----END PGP SIGNATURE-----
participants (4)
-
Camaleón
-
Carlos E. R.
-
Carlos E. R.
-
Emiliano Sutil