Fwd: [opensuse-es] falsificacion de cuenta en postfix
El día 24 de febrero de 2009 20:59, Carlos E. R.
Vamos a ver, la utilidad del SPF es que los que reciben correos tuyos puedan verificar si el servidor que les está enviando el correo es el autorizado para enviarles correo. Si la IP no está en la lista la acción a realizar depende del modificador. Mira por ejemplo suse:
cer@nimrodel:~> host -t TXT suse.com suse.com descriptive text "v=spf1 mx ~all" ·····································^
Fíjate bien en el simbolito, y luego mira lo que significa en la tabla:
* + for a PASS result. This can be omitted; e.g., +mx is the same as mx. * ? for a NEUTRAL result interpreted like NONE (no policy). * ~ for SOFTFAIL, a debugging aid between NEUTRAL and FAIL. * - for FAIL, the mail should be rejected (see below).
Si quieres que los servidores tiren a la basura los correos que digan venir de tu servidor, y vengan de otra IP, tienes que marcar FAIL. Tu configuración equivale a "Neutral", o sea, aceptar el correo aunque venga de un farsante. Suse ha puesto "SOFTFAIL" porque lo está evaluando.
Tu debes evaluar lo que quieres hacer, si te conviene o no hacer que fallen esos correos, porque puede tener resultados perniciosos.
Si quieres que el SPF sirva para bloquear correos, debes configurarlo para que lo haga. Y si quieres que actue blandamente, pues lo dejas como está. Y ojo que ese cambio no sólo afecta a tu servidor.
Y si no, pues busca otro camino para anular esos correos sin recurrir al SPF. Pero si lo quieres hacer con SPF, tienes que ser duro... y arriesgarte a las consecuencias.
Yo no te puedo aconsejar sobre como usar o si debes usar SPF; sólo te advierto de que tal y como lo tienes no actúa.
entiendo, lo que mas me preocupa es que el spamassassin no esta
tomando en cuenta el filtrado como no , en ves de poner yes
X-Spam-Status: No, score=3.666 tagged_above=3 required=4.6 tests=[AWL=-6.932
ahora por otro lado eh visto algo raro , pero algunos correos que
recibo veo que no les pasa el filtrado por el sa , solo veo que el
amavisd-new
algo asi:
Received: from localhost (localhost [127.0.0.1])
by ns1.misuperdominio.org.ni (Postfix) with ESMTP id 33D8B1607BEBA
for
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Content-ID:
Yo no te puedo aconsejar sobre como usar o si debes usar SPF; sólo te advierto de que tal y como lo tienes no actúa.
entiendo, lo que mas me preocupa es que el spamassassin no esta tomando en cuenta el filtrado como no , en ves de poner yes
X-Spam-Status: No, score=3.666 tagged_above=3 required=4.6 tests=[AWL=-6.932
Si te fijas, si está actuando correctamente. El primer baremo es negativo: "AWL=-6.932" - y esa puntuación anula a las otras posteriores que sí lo clasificarían como spam. AWL es Auto White List, es decir, que la dirección de remite de donde viene el correo es una dirección habitualmente buena y por tanto le da una puntuación como no spam. Está trabajando correctamente. Lo que podrías, quizás, es inventarte una regla (es perl) que detecte cuando un correo con tu from no es tuyo, y añadirle puntos positivos. Ahora mismo no se me ocurre, pero compara todas las cabeceras de los correos tuyos de verdad con los que no son tuyos, a ver que diferencias hay, e inventar una regla que actúe. Otra cosa que puedes hacer, pero que no se como se hace, es decirle al postfix que exija autentificación a todo correo que diga venir de tu dominio, aunque vaya dirigido a tu dominio. Esto debe estar en el FAQ.
ahora por otro lado eh visto algo raro , pero algunos correos que recibo veo que no les pasa el filtrado por el sa , solo veo que el amavisd-new
algo asi:
Received: from localhost (localhost [127.0.0.1]) by ns1.misuperdominio.org.ni (Postfix) with ESMTP id 33D8B1607BEBA for
; Wed, 11 Feb 2009 15:15:59 -0600 (CST) X-DKIM: Sendmail DKIM Filter v2.5.5 ns1.misuperdominio.org.ni 33D8B1607BEBA X-Virus-Scanned: amavisd-new at misuperdominio.org.ni esto es normal o no?
No te puedo decir sin saber exactamente como está configurado todo. ¿Quien dispara el SA en tu servidor? Porque también veo otra cosa extraña, y ya te lo dije, que es la cabecera DKIM. ¿Que pinta ahí en un correo que no es tuyo, quien la introduce? ¿Sendmail? ¿Tienes un postifx y un sendmail en cadena? - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.9 (GNU/Linux) iEYEARECAAYFAkmkxo0ACgkQtTMYHG2NR9U6OQCcDSpUe/YtNsc39fcedZagJFOF p/cAn30l+ENl+iW+SimLWnjgsoXThFGF =TOXE -----END PGP SIGNATURE-----
El día 24 de febrero de 2009 22:18, Carlos E. R.
Si te fijas, si está actuando correctamente. El primer baremo es negativo: "AWL=-6.932" - y esa puntuación anula a las otras posteriores que sí lo clasificarían como spam. AWL es Auto White List, es decir, que la dirección de remite de donde viene el correo es una dirección habitualmente buena y por tanto le da una puntuación como no spam. Está trabajando correctamente.
Lo que podrías, quizás, es inventarte una regla (es perl) que detecte cuando un correo con tu from no es tuyo, y añadirle puntos positivos. Ahora mismo no se me ocurre, pero compara todas las cabeceras de los correos tuyos de verdad con los que no son tuyos, a ver que diferencias hay, e inventar una regla que actúe.
Otra cosa que puedes hacer, pero que no se como se hace, es decirle al postfix que exija autentificación a todo correo que diga venir de tu dominio, aunque vaya dirigido a tu dominio. Esto debe estar en el FAQ.
lo buscare en la FAQ
No te puedo decir sin saber exactamente como está configurado todo. ¿Quien dispara el SA en tu servidor?
el amavisd-new lo hace
Porque también veo otra cosa extraña, y ya te lo dije, que es la cabecera DKIM. ¿Que pinta ahí en un correo que no es tuyo, quien la introduce? ¿Sendmail? ¿Tienes un postifx y un sendmail en cadena?
eso es lo extraño no tengo ni una pizca de instalado el sendmail ..
- -- Saludos
= -- rickygm http://gnuforever.homelinux.com -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
El 2009-02-24 a las 21:57 -0600, troxlinux escribió:
ahora por otro lado eh visto algo raro , pero algunos correos que recibo veo que no les pasa el filtrado por el sa , solo veo que el amavisd-new
algo asi:
Received: from localhost (localhost [127.0.0.1]) by ns1.misuperdominio.org.ni (Postfix) with ESMTP id 33D8B1607BEBA for
; Wed, 11 Feb 2009 15:15:59 -0600 (CST) X-DKIM: Sendmail DKIM Filter v2.5.5 ns1.misuperdominio.org.ni 33D8B1607BEBA X-Virus-Scanned: amavisd-new at misuperdominio.org.ni esto es normal o no?
Se me ocurre que pueda ser por dos motivos: - El tamaño del correo excede el configurado y no se analiza por el SA - El valor de $sa_tag_level_deflt del amavisd-new es bajo (el predeterminado creo que es "2.0") y si el correo tiene una puntuación menor ("1.8"), no añade a la cabecera la información del SA. Ambas cosas son configurables y no indican un problema "per se". Saludos, -- Camaleón -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
El día 25 de febrero de 2009 2:41, Camaleón
Se me ocurre que pueda ser por dos motivos:
- El tamaño del correo excede el configurado y no se analiza por el SA
- El valor de $sa_tag_level_deflt del amavisd-new es bajo (el predeterminado creo que es "2.0") y si el correo tiene una puntuación menor ("1.8"), no añade a la cabecera la información del SA.
el amavisd-new lo tiene por efecto en 3.0 , en que puntuación seria conveniente?
Ambas cosas son configurables y no indican un problema "per se".
Saludos,
= -- rickygm http://gnuforever.homelinux.com -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
El 2009-02-25 a las 08:53 -0600, troxlinux escribió:
el amavisd-new lo tiene por efecto en 3.0 , en que puntuación seria conveniente?
En el que quieras, es sólo un parámetro "decorativo" :-) Si quieres que aparezca siempre (sea ham o spam) por la web "se dice se comenta" que puedes usar "undef" (sin olvidar el ";" al final). No veo los posibles valores documentados en la web del amavisd-new :-? Saludos, -- Camaleón -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2009-02-25 a las 08:53 -0600, troxlinux escribió:
- El valor de $sa_tag_level_deflt del amavisd-new es bajo (el predeterminado creo que es "2.0") y si el correo tiene una puntuación menor ("1.8"), no añade a la cabecera la información del SA.
el amavisd-new lo tiene por efecto en 3.0 , en que puntuación seria conveniente?
Lo que quieras. Yo lo tengo en 2.0, y sa_tag2_level_deflt a 5.0. Si quieres que te incluya cabeceras de reporte de spam aunque no sea spam, pues tienes que bajar el umbral, logicamente. No afecta a nada más. - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.9 (GNU/Linux) iEYEARECAAYFAkmlap4ACgkQtTMYHG2NR9V6XgCggVeY+v8I3GANhHoqBt1U4/FO 9LEAnjoqArR637G1sJP7KMQ/RKMIPr9i =KfwC -----END PGP SIGNATURE-----
participants (3)
-
Camaleón
-
Carlos E. R.
-
troxlinux