Cordial saludo.. tengo varios días configurando un servidor postfix el cual, no puedo negarlo me ha maltratado mucho, pero despues de unos cuantos rounds unos cuantos ojos morados creo que llego la hora de ponerlo de frente a internet y que lo hagan una mierd...., se que depronto es abusar de ustedes que me han ayudado mucho, pero necesito otro favor si es posible a continuación adjunto la configuración de postfix (main.cf) les pido que si les sobra un poco de tiempo me indiquen que otras cosas se le pueden poner a la configuración para que quede mas seguro. cualquier sugerencia bienvenida es (incluyendo que le sobra) Jaime V queue_directory = /var/spool/postfix command_directory = /usr/sbin daemon_directory = /usr/lib/postfix mail_owner = postfix unknown_local_recipient_reject_code = 450 debug_peer_level = 2 debugger_command = PATH=/bin:/usr/bin:/usr/local/bin:/usr/X11R6/bin xxgdb $daemon_directory/$process_name $process_id & sleep 5 sendmail_path = /usr/sbin/sendmail newaliases_path = /usr/bin/newaliases mailq_path = /usr/bin/mailq setgid_group = maildrop html_directory = /usr/share/doc/packages/postfix/html manpage_directory = /usr/share/man sample_directory = /usr/share/doc/packages/postfix/samples readme_directory = /usr/share/doc/packages/postfix/README_FILES mynetworks = 127.0.0.0/8 mydomain = org myhostname = incubarcaribe.org biff = no mail_spool_directory = /var/mail canonical_maps = hash:/etc/postfix/canonical virtual_maps = hash:/etc/postfix/virtual relocated_maps = hash:/etc/postfix/relocated transport_maps = hash:/etc/postfix/transport sender_canonical_maps = hash:/etc/postfix/sender_canonical masquerade_exceptions = root masquerade_classes = envelope_sender, header_sender, header_recipient program_directory = /usr/lib/postfix inet_interfaces = all masquerade_domains = mydestination = $myhostname, localhost.$mydomain defer_transports = #disable_dns_lookups = yes relayhost = smtpd_sender_restrictions = hash:/etc/postfix/access smtpd_client_restrictions = smtpd_helo_required = no smtpd_helo_restrictions = strict_rfc821_envelopes = no smtpd_use_tls = no smtp_use_tls = no mailbox_size_limit = 0 message_size_limit = 10240000 smtp_sasl_auth_enable = no smtpd_sasl_auth_enable = yes smtpd_sasl_security_options = noanonymous smtpd_sasl_local_domain = $myhostname broken_sasl_auth_clients = yes smtpd_recipient_restrictions = permit_sasl_authenticated,permit_mynetworks,reject_unauth_destination mailbox_transport = lmtp:unix:/var/spool/postfix/public/lmtp mailbox_command = /usr/lib/cyrus/bin/deliver local_recipient_maps = debug_peer_level = 2 debugger_command = PATH=/bin:/usr/bin:/usr/local/bin:/usr/X11R6/bin xxgdb $daemon_directory/$process_name $process_id & sleep 5
2005/7/23, jvelez@dinanet.net.co:
creo que llego la hora de ponerlo de frente a internet y que lo hagan una mierd....,
Postfix es de por sí bastante seguro, pero antes es mejor que expliques un poco cómo tienes montada la red, qué servicio(s) vas a dar, qué otros servicios tienes en el equipo donde piensas tener Postfix, equipos, cortafuegos, etc. La seguridad en un servidor de correo pasa en gran medida por tener la última versión del programa en sí para evitar posibles puntos flacos. También depende del tipo de servicio que quieres dar, la cantidad de usuarios que piensas tener, disponibilidad del servidor (¿24 horas?), tipo de autentificación y seguridad que piensas implementar, etc. Saludos, -- Camaleón
On Sat, 23 Jul 2005 23:36:46 +0200
Camaleón
El 26/07/05, Josep M. Queralt escribió:
Pero si adjuntaba el fichero de configuración !!! Que más le quieres pedir.... :-)
Pues por ejemplo, que diga cómo va a utilizar Postfix, si como servidor local o remoto, sólo para enviar correo sin recepción, como spooler, con qué programa de recogida de correo lo va a utilizar, etc. ya que dependiendo del uso habrá que utilizar más o menos seguridad, habrá parámetros que no tendrá que utilizar o sí... Resulta más sencillo que una persona comente primero el uso que se le quiere dar a una aplicación y si se le produce algún error, que no leer el fichero de configuración sin saber cuál es el objetivo. ;-) Saludos, -- Camaleón
On Tue, 26 Jul 2005 18:00:14 +0200
Camaleón
El 26/07/05, Josep M. Queralt escribió:
Bueno, también es importante saber que le va a funcionar 0:-)
Claro, por eso debe explicar "un poco" cuál es la situación real, pues nos está pidiendo consejo sobre seguridad, lo cual no sólo depende de Postfix, también del número de usuarios, tipo de servicio (Webmail, IMAP, POP3), etc. Por ejemplo, me extraña que no tenga activado TSL, si lo que busca es seguridad. Otra cosa que me escama es "#disable_dns_lookups = yes", no sé si está activado, comentado o quiere tomar el valor predeterminado... Me falta información, lo demás pasa por conjeturas que pueden o no ser válidas, según las necesidades de Jaime. El fichero de configuración de Postfix a mi me dice el 65% del total de información, me faltarían más datos para poder darle una respuesta concreta y específica. :-) Saludos, -- Camaleón
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2005-07-26 a las 18:58 +0200, Camaleón escribió:
Por ejemplo, me extraña que no tenga activado TSL, si lo que busca es seguridad. Otra cosa que me escama es "#disable_dns_lookups = yes", no sé si está activado, comentado o quiere tomar el valor predeterminado... Me falta información, lo demás pasa por conjeturas que pueden o no ser válidas, según las necesidades de Jaime.
Correcto. Por cierto, en vez de copiar el fichero de configuración, es mejor volcar la salida de "postconf -n", que lista los cambios respecto a los valores por defecto. - -- Saludos Carlos Robinson -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.0 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFC6TwHtTMYHG2NR9URAt3DAJ43Cfox2RrolI9ySoSB4uJwwZ0AiwCfdF9V HmC9lfJQ1pek4kkKRXpQhZA= =8gWq -----END PGP SIGNATURE-----
Cordial saludo... antes que nada me disculpo por no escribir antes, pero ya no estoy conectado todo lo que me gustaria a internet, pero para responder preguntas, comento: si pregunto sobre seguridad, pero no tengo habilitado lo de TLS(como ilogico), el correo esta trabajando junto con cyrus y funciona junto con usuarios que estan en en un arbol LDAP para simplificar la cosa lo que instale es un producto que se llama openexchange que tiene todo eso (Cyrus-Postfix-LDAP)y que ademas de colaboración tiene correo con un cliente Webmail el correo debe estar disponible todo el dia y la noche (para intranet e internet) (y hasta ahora ha trabajado bien) la comunicacion entre cyrus y ldap es con sasl la configuracion de /etc/saslauthd.conf: ldap_servers: ldap://localhost:389/ ldap://ox-server.de:389/ #ldap_bind_dn: uid=mailadmin,dc=ox-server,dc=de #ldap_bind_pw: xxxxxx ldap_search_base: ou=Users,ou=OxObjects,dc=ox-server,dc=de ldap_filter: uid=%u ldap_group_scope: sub configuracion de /etc/imapd.conf (si lo de TLS esta dessactivado, es que TLS no tengo ni idea) configdirectory: /var/lib/imap partition-default: /var/spool/imap sievedir: /var/lib/sieve sieveusehomedir:no admins: cyrus root postfix allowanonymouslogin: no autocreatequota: 10000 reject8bit: no quotawarn: 90 timeout: 480 poptimeout: 10 dracinterval: 0 #drachost: localhost sasl_pwcheck_method: saslauthd #sasl_pwcheck_method: auxprop #sasl_mech_list: PLAIN LOGIN allowplaintext: yes lmtp_overquota_perm_failure: no #lmtpsocket: /var/lib/imap/socket/lmtp lmtpsocket: /var/spool/postfix/public/lmtp lmtp_downcase_rcpt: yes # # if you want TLS, you have to generate certificates and keys # #tls_cert_file: /usr/ssl/certs/cert.pem #tls_key_file: /usr/ssl/certs/skey.pem #tls_ca_file: /usr/ssl/CA/CAcert.pem #tls_ca_path: /usr/ssl/CA configuracion de /etc/cyrus.conf # standard standalone server implementation START { # do not delete this entry! recover cmd="ctl_cyrusdb -r" # this is only necessary if using idled for IMAP IDLE idled cmd="idled" } # UNIX sockets start with a slash and are put into /var/lib/imap/socket SERVICES { # add or remove based on preferences imap cmd="imapd" listen="imap" prefork=0 # imaps cmd="imapd -s" listen="imaps" prefork=0 pop3 cmd="pop3d" listen="pop3" prefork=0 # pop3s cmd="pop3d -s" listen="pop3s" prefork=0 sieve cmd="timsieved" listen="sieve" prefork=0 # at least one LMTP is required for delivery # lmtp cmd="lmtpd" listen="lmtp" prefork=0 # lmtpunix cmd="lmtpd" listen="/var/lib/imap/socket/lmtp" prefork=0 lmtpunix cmd="lmtpd" listen="/var/spool/postfix/public/lmtp" prefork=1 # this is only necessary if using notifications # notify cmd="notifyd" listen="/var/lib/imap/socket/notify" proto="udp" prefork=1 } EVENTS { # this is required checkpoint cmd="ctl_cyrusdb -c" period=30 # this is only necessary if using duplicate delivery suppression delprune cmd="cyr_expire -E 3" at=0400 # this is only necessary if caching TLS sessions tlsprune cmd="tls_prune" at=0400 # Uncomment the next entry, if you want to automatically remove # old messages of EVERY user. # This example calls ipurge every 60 minutes and ipurge will delete # ALL messages older then 30 days. # enter 'man 8 ipurge' for more details # cleanup cmd="ipurge -d 30 -f" period=60 }
On Sat, 23 Jul 2005 13:16:10 -0500 (COT) jvelez@dinanet.net.co wrote: jvelez> tengo varios días configurando un servidor postfix el cual, no puedo jvelez> negarlo me ha maltratado mucho, pero despues de unos cuantos rounds unos jvelez> cuantos ojos morados creo que llego la hora de ponerlo de frente a No te quejes, SendMail es peor. :-) De todas maneras si usas WebMin para la configuración no saldrás con los ojos amoratados, solo con algunos rasguños. jvelez> sample_directory = /usr/share/doc/packages/postfix/samples Para versiones recientes de Postfix no es necesario ese parámetro jvelez>unknown_local_recipient_reject_code = 450 Juraría que el código standard es el 550 jvelez> mydestination = $myhostname, localhost.$mydomain Yo le añadiría $mydomain jvelez> #disable_dns_lookups = yes Yo lo tengo activado, es decir "no" para que haga la resolución inversa. jvelez> mailbox_size_limit = 0 Recuerda que los usuarios son insaciables, y si vas a tener muchos más vale que les limites el tamaño del buzón de correo jvelez> smtp_sasl_auth_enable = no jvelez> smtpd_sasl_auth_enable = yes jvelez> smtpd_sasl_security_options = noanonymous jvelez> smtpd_sasl_local_domain = $myhostname jvelez> broken_sasl_auth_clients = yes jvelez> smtpd_recipient_restrictions = jvelez> permit_sasl_authenticated,permit_mynetworks,reject_unauth_destination Imagino que aquí es donde más daño te hizo :-) Estas líneas activan (en la parte de Postfix) el acceso de usuarios procedentes de Internet al servidor SMTP. Se supone que has activado el demonio "smtpd" en los servicios con los que arranca el ordenador y deberías tener esta línea que no he sabido ver: smtpd_sasl_application_name = smtpd Yo cambiaría las restricciones en las direcciones de destino que el cliente SMTP puede enviar al recibir un "RCPT TO": smtpd_recipient_restrictions = permit_mynetworks permit_sasl_authenticated reject Es decir, permite lo que se envía desde la red local y desde clientes autentificados, rechazando todo lo demás Solo una cosa más: Si a pesar de todo no autentificara con clientes remotos (internet), prueba a forzar la autentificación "pam" ejecutando como "root" /usr/sbin/saslauthd -a pam -- Salutacions - Saludos, Josep M. Queralt
participants (4)
-
Camaleón
-
Carlos E. R.
-
Josep M. Queralt
-
jvelez@dinanet.net.co