problema con postfix

Joe Oblivian lavagetto@gmail.com
Sab 16 Apr 2005 12:41:37 CEST 

Il giorno 16/apr/05, alle 02:18, davide cavaliere ha scritto:

> Buona sera a tutti,
>

Ciao, questa e' una domanda tecnica, va postata sulla lista palermo, 
palermo@lists.linux.it. Sposto il thread li'

>
> Utilizzo Postfix cyrus-sasl e courier-imap-ssl

bene

> Fino a qualche tempo fa pensavo che la mia configurazione andava
> benissimo

Congiuntivo!

>  ma ultimamente ricevo spam inviato direttamente collegandosi
> al mio server. Provo a spiegarmi meglio: a guardare la voce Received:
> nell'header del msg trovo come primo server proprio il mio. Cosa 
> (penso)
> possa avvenire solo collegandosi direttamente al mio server con telnet
> (o con un altro server?)

non necessariamente. Uno spambot fa piu' o meno la stessa cosa.

>  l'indirizzo dal quale arriva il messaggio č un
> indirizzo telecom, non ha un mx record e nessun dns record;

Confermo che e' uno spambot allora, o un open relay (ma dagli header di 
cui parli, mi pare improbabile)

>  per lo meno
> il server non funziona da open-relay (almeno per questo funziona) 
> quindi
> solo gli utenti che si autenticano possono spedire mail all'esterno,
> perņ in questi tre giorni ho testato il mio server (munito di telnet ed
> anche shell esterna, in modo da non passare il controllo
> permit_mynetworks)

bene

>  e mi sono accorto che chiunque potrebbe spedire mail
> ai miei utenti spacciandosi per un'altro dei miei utenti o anche cosa
> ancora peggiore per un altro utente qualsiasi!

E su queesto _non_ puoi farci nulla. Nell'email (ma anche nella 
corrispondenza tradizionale) non c'e' uno stretto controllo sul 
mittente. L'unico modo accettabile di "firmare" un messaggio di posta 
e' firmarlo con gpg

> Lavorando sulla configurazione del server sono riuscito a diminuire il
> danno (vedere configurazione qui di seguito), quindi ho imposto la
> verifica dell'indirizzo prima di accettare MAIL FROM, e ho impostato
> alcune restrizioni per RCPT TO.
>

beh direi che e' il minimo per non trovarsi inondati di spam. Ma rcpt 
to? non capisco...

> Magari potrei accontentarmi dei risultati ma.... proprio non riesco a
> sopportare che qualcuno potrette inviare ai miei utenti mail
> spacciandosi per un altro utente, nella configurazione ho inserito gli
> opportuni paramentri ma č ancora possibile farlo (spacciarsi per un mio
> utente).

E su questo, per quanto ne so, c'e' davvero poco da fare se non 
adottare misure non standard. E poi se tu impedisci di spacciarsi per 
un tuo utente sul tuo server il rpoblema rimane: se io voglio mandare 
un'email a pope@vatican.va da damny@azita.homelinux.net basta che usi 
telnet sul server opportuno... qindi tu non hai un reale controllo su 
chi invia la posta a nome di chi, fermo restando che dagli headers uno 
un'idea se la fa.

>
> Alla luce di questa lunga premessa mi posto parte (penso che sia la
> parte rilevante a proposito di questi problemi) e spero che vi sia tra
> di voi un anima pia che conosca postfix quanto basta per potermi dare
> una mano.
>

ci provo

> smtpd_sasl_auth_enable = yes
> smtpd_sasl2_auth_enable = yes
> smtpd_sasl_security_options = noanonymous
> smtpd_sasl_local_domain = $mydomain
> broken_sasl_auth_clients = yes
> smtpd_client_restrictions = 
> permit_sasl_authenticated,permit_mynetworks,
> reject_rbl_client relays.ordb.org
>

uhm ecco il primo punto su cui interverrei:

_devi_ usare almeno reject_rbl_client sbl-xbl.spamhau
s.org. Io quando ragioni di causa maggiore (basilarmente la lemeness di 
chi manda posta da un host che non e' registrato come MX) avevo messo

smtpd_recipient_restrictions = 
reject_unauth_pipelining,permit_sasl_authenticate
d,permit_mynetworks,reject_unauth_destination, reject_rbl_client 
blackholes.easynet.nl,reject_rbl_client relays.ordb.org,rejec
t_rbl_client sbl-xbl.spamhaus.org,reject_rbl_client 
http.dnsbl.sorbs.net,reject_
rbl_client zombie.dnsbl.sorbs.net,reject_rbl_client 
bl.spamcop.net,reject_rbl_cl
ient dun.dnsrbl.net,reject_rbl_client relays.ordb.org,reject_rbl_client 
opm.blit
zed.org,reject_rbl_client sbl-xbl.spamhaus.org,reject_rbl_client 
korea.services.
net,reject_rbl_client opm.blitzed.org,reject_rbl_client 
dialups.visi.com,reject_
rbl_client relays.visi.com,reject_rbl_client 
list.dsbl.org,reject_rbl_client cn-
kr.blackholes.us,reject_rbl_client 
singapore.blackholes.us,reject_rbl_client tha
iland.blackholes.us,reject_rbl_client 
malaysia.blackholes.us,reject_rbl_client c
hina.blackholes.us,reject_rbl_client 
korea.blackholes.us,reject_rbl_client argen
tina.blackholes.us,reject_rbl_client 
brazil.blackholes.us,reject_rbl_client taiw
an.blackholes.us,reject_rbl_client 
nigeria.blackholes.us,reject_rbl_client cbl.a
buseat.org,permit


> smpt_helo_restrictions = reject_invalid_hostname
> #       permit
>
> smtpd_recipient_restrictions = permit_sasl_authenticated,
> permit_mynetworks, reject_non_fqdn_sender, reject_unauth_destination

se usi sasl, perche' metti permit_mynetworks? ha davvero senso?

> smtpd_use_tls = yes
> smtpd_tls_auth_only = no
> smtpd_tls_key_file = /etc/ssl/postfix/lazita.key.pem
> smtpd_tls_cert_file = /etc/ssl/postfix/lazita.crt.pem
> smtpd_tls_CAfile = /etc/ssl/postfix/root.pem
> smtpd_tls_loglevel = 3
> smtpd_tls_received_header = yes
> smtpd_tls_session_cache_timeout = 3600s
> tls_random_source = dev:/dev/urandom
> smtpd_sender_restrictions = warn_if_reject, check_sender_access

tutto ok

> hash:/etc/postfix/access, reject_authenticated_sender_login_mismatch,
> reject_unauthenticated_sender_login_mismatch, reject_unverified_sender,
> reject_sender_login_mismatch, reject_unknown_sender_domain

anche qui sarebbe bastato reject_authenticated_sender_login_mismatch

> # permit
>
> #relay-conf
> smtp_sasl_auth_enable = yes
> smtp_sasl_password_maps = hash:/etc/postfix/saslpass
> smtp_sasl_security_options = noanonymous
>
>
> #add configurations
> #smtpd_sasl_application_name = smtpd
> smtpd_reject_unlisted_sender = yes
> smtpd_sender_login_maps = hash:/etc/mail/users
>
>
> Grazie per l'aiuto
>

Prego. Come vedi,  il problema che ti assilla e' un problema generale 
di SMTP, e creddo che i suoi svaantaggi siano ben bilanciati dai 
vantaggi in termini di scarso overhead delle comunicazioni.

Joe

>
> http://lazita.homelinux.net
> Apache/2.0.50 (Gentoo/Linux)


Gentoo resta semrpe male ;-)

Maggiori informazioni sulla lista palermo