Re: [Gutl-l] Seguridad en Postfix

2014-08-05 Por tema joel 

Estimado,

Yo te puse lo de mynetwoks por que uso fetchmail para recoger los 
correos de un multipop y me daba error si no dejaba que desde el 
servidor pudiera enviar correos sin autentificarse. O sea solo desde el 
servidor se pueden suplantar usuarios, pero yo no me voy a apuñalar yo 
mismo, no?


En cuanto a la clave y login yo en mi caso le pongo la configuración del 
correo al usuario y no le doy los datos, claro todos los clientes de 
correo en red usan pop3 y en el caso de los que tengan que usar mail por 
web o fuera de la red, le doy la los datos pero todos los usuarios míos 
tienen un acta de responsabilidad informática firmada, ademas que están 
advertidos que las contraseñas son personales e intransferibles, por lo 
que no me preocupa si alguien se apodera de una clave, eso es 
negligencia de un usuario y en mi caso lo he detectado fácil pues tengo 
una base de datos donde tengo el registro de todas las cuentas de 
usuario, correo e Internet tengo habilitada y en que PC, en los análisis 
de trazas verifico que desde una PC solo se autentifiquen con el correo 
que tiene instalado, de lo contrario al cabezón, le doy un cocotazo, 
después de los primeros cocotazos los otros usuarios entran en razón, lo 
mismo con Internet y las paginitas de proxies y otras.


Siempre existe la posibilidad de que se roben una contraseña, eso me 
parece que es inevitable si los usuarios no siguen las reglas y por 
supuesto deben conocer los riesgos de infringirlas. Por supuesto la 
Seguridad de la Red no es solo del administrador (aunque cuando tienes 
control de la Red y no solo hablo de los superpermisos sino de registros 
y otros métodos que te ayuden a saber que tienes realmente en tu red y 
que hacen tus usuarios tu seguridad mejora y evitas dolores de cabeza), 
cuando todos comienzan a entenderlo, entonces como dicen los expertos 
minimizas los riesgos y los daños.


--
Saludos

--

  Joel  Ventura Castillo
   J' Grupo Informática
  Empresa Importadora - Exportadora ILECO
 Dir.: O' Reilly No. 152 e/ San Ignacio y Mercaderes,
   Habana Vieja, Cuba.
   E-Mail: j...@ecoimpex.com.cu
   Teléf.: 8625081 al 84, Ext. 156


El 04/08/2014 11:08 p.m., Hugo Florentino escribió:

On Mon, 04 Aug 2014 07:42:45 -0500, joel wrote:

Amigo según mi experiencia lo correcto es

mynetworks = 127.0.0.1


Es lo mismo, las dos cosas se refieren al loopback, lo unico que yo
utilicé la notación CIDR y tu una dirección ip concreta de todas las
reservadas en ese rango.


y configuras SSL para que todos menos tu server tengan que
autentificarse para enviar correos sino vas a tener suplantación de
usuario.



El tema es que lo ideal es evitar también alguien que conozca una
combinación usuario/clave pueda usarla para acceder al SMTP y sin
embargo colocar en el encabezado From una dirección de correo diferente
a la declarada en la instrucción MAIL FROM inicial.



__
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l



--
Este mensaje ha sido analizado por MailScanner
en busca de virus y otros contenidos peligrosos,
y se considera que está limpio.

__
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l

Re: [Gutl-l] Seguridad en Postfix

2014-08-04 Por tema Hugo Florentino 

On Mon, 04 Aug 2014 07:42:45 -0500, joel wrote:

Amigo según mi experiencia lo correcto es

mynetworks = 127.0.0.1


Es lo mismo, las dos cosas se refieren al loopback, lo unico que yo 
utilicé la notación CIDR y tu una dirección ip concreta de todas las 
reservadas en ese rango.



y configuras SSL para que todos menos tu server tengan que
autentificarse para enviar correos sino vas a tener suplantación de
usuario.



El tema es que lo ideal es evitar también alguien que conozca una 
combinación usuario/clave pueda usarla para acceder al SMTP y sin 
embargo colocar en el encabezado From una dirección de correo diferente 
a la declarada en la instrucción MAIL FROM inicial.


--
Este mensaje ha sido analizado por MailScanner
en busca de virus y otros contenidos peligrosos,
y se considera que est� limpio.

__
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l

Re: [Gutl-l] Seguridad en Postfix

2014-08-04 Por tema Hugo Florentino 

On Mon, 04 Aug 2014 13:25:28 +, låzaro wrote:

y los correos en el cron, tendrían relay, mejor

mynetwork=

y permit_mynetworks NO SE PONE


  permit_sasl_authenticated,
  reject_unknown_sender_domain


Bueno, si no se confía en quien mete las manos en el servidor, supongo 
que tienes razón.
(Y luego hay socios que dicen que soy un poco paranoico al configurar 
los servicios, jejeje.)


de permit_sasl_authenticated para abajo, lo que pongas, está de más, 
ya que ahí,
si el correo es pa adentro, entra, si es relay pide password. Si 
dicho correo no
debe hacer realy, le da access denied. Así que si vas a poner algo, 
ponle encima

a de permit_sasl_authenticated ya que esa es la última declaración...



El tema esta en que si se pone permit_sasl_authenticated antes que 
reject_authenticated_sender_login_mismatch, lo mas probable es que un 
usuario pueda hacerse pasar por otro, que creo era lo que quería 
evitarse originalmente, de ahi mi sugerencia. Realmente cuando los 
usuarios son virtuales (por ejemplo mediante ldap) la cosa se complica 
un poco, porque verificar que la dirección pertenece al dueño de la 
cuenta es un poco más complejo, o al menos yo no he encontrado una 
solución elegante para eso.



--
Este mensaje ha sido analizado por MailScanner
en busca de virus y otros contenidos peligrosos,
y se considera que est� limpio.

__
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l

Re: [Gutl-l] Seguridad en Postfix

2014-08-04 Por tema Arian Molina Aguilera 


El 03/08/2014 11:41, Juan Carlos escribió:

El 01/08/14 23:49, Hugo Florentino escribió:

On Fri, 01 Aug 2014 23:39:58 -0400, Hugo Florentino wrote:

[...]
smtpd_sender_restrictions = permit_mynetworks,
  reject_authenticated_sender_login_mismatch,
  permit_sasl_authenticated,
  reject_unknown_sender_domain


Una observación a mi sugerencia:

Para mayor seguridad, conviene declarar mynetworks así, y no agregar 
ninguna otra subred:


mynetworks = 127.0.0.0/8




__
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l

umm sino añade otra subred nadie le puede entregar a ese smtp.

Esa es la idea, solo los que se autentiquen pueden mandar correo para 
afuera, es decir usarlo de relay, para adentro todo entra si no es un 
spammer ;).


--
Arian Molina Aguilera
Administrador de Redes y Servicios Telemáticos
Linux Usuario Registrado #392892
Telfs: +53(7)2047874, +53(7)204-2710 ext 123
jabber: ar...@artex.sa
Nodo Central ARTex S.A. La Habana. Cuba.




--
Este mensaje ha sido analizado por MailScanner
en busca de virus y otros contenidos peligrosos,
y se considera que está limpio.

 próxima parte 
A non-text attachment was scrubbed...
Name: arian.vcf
Type: text/x-vcard
Size: 4 bytes
Desc: no disponible
URL: 

__
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l

Re: [Gutl-l] Seguridad en Postfix

2014-08-04 Por tema Juan Carlos 

El 01/08/14 23:49, Hugo Florentino escribió:

On Fri, 01 Aug 2014 23:39:58 -0400, Hugo Florentino wrote:

[...]
smtpd_sender_restrictions = permit_mynetworks,
  reject_authenticated_sender_login_mismatch,
  permit_sasl_authenticated,
  reject_unknown_sender_domain


Una observación a mi sugerencia:

Para mayor seguridad, conviene declarar mynetworks así, y no agregar 
ninguna otra subred:


mynetworks = 127.0.0.0/8




__
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l

umm sino añade otra subred nadie le puede entregar a ese smtp.

--
S@lu2.
Juan Carlos Hernández Gallardo
Administrador de Red
Empresa Transporte Escolar Ciego de Ávila

 próxima parte 
Se ha borrado un adjunto en formato HTML...
URL: 

__
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l

--
Este mensaje ha sido analizado por MailScanner
en busca de virus y otros contenidos peligrosos,
y se considera que está limpio.

Re: [Gutl-l] Seguridad en Postfix

2014-08-04 Por tema joel 

Amigo según mi experiencia lo correcto es

mynetworks = 127.0.0.1

y configuras SSL para que todos menos tu server tengan que 
autentificarse para enviar correos sino vas a tener suplantación de usuario.




--
Saludos


  Joel  Ventura Castillo
   J' Grupo Informática
  Empresa Importadora - Exportadora ILECO
 Dir.: O' Reilly No. 152 e/ San Ignacio y Mercaderes,
   Habana Vieja, Cuba.
   E-Mail: j...@ecoimpex.com.cu
   Teléf.: 8625081 al 84, Ext. 156

El 02/08/2014 12:16 a.m., Jessy Vidal escribió:

El 2014-08-02 05:49, Hugo Florentino escribió:

On Fri, 01 Aug 2014 23:39:58 -0400, Hugo Florentino wrote:

[...]
smtpd_sender_restrictions = permit_mynetworks,
reject_authenticated_sender_login_mismatch,
permit_sasl_authenticated,
reject_unknown_sender_domain


Una observación a mi sugerencia:

Para mayor seguridad, conviene declarar mynetworks así, y no agregar
ninguna otra subred:

mynetworks = 127.0.0.0/8

Tengo Esos parametros declarado entalla y seguia con el problem, pero
buscando encontre algo que publico lazaro que parece que soluciona el
problema con pcre y en cuanto lo pruebe escribo para aka
saludos


__
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l


__
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l

--
Este mensaje ha sido analizado por MailScanner
en busca de virus y otros contenidos peligrosos,
y se considera que está limpio.

Re: [Gutl-l] Seguridad en Postfix

2014-08-04 Por tema låzaro 
y los correos en el cron, tendrían relay, mejor

mynetwork=

y permit_mynetworks NO SE PONE

>   permit_sasl_authenticated,
>   reject_unknown_sender_domain

de permit_sasl_authenticated para abajo, lo que pongas, está de más, ya que ahí,
si el correo es pa adentro, entra, si es relay pide password. Si dicho correo no
debe hacer realy, le da access denied. Así que si vas a poner algo, ponle encima
a de permit_sasl_authenticated ya que esa es la última declaración...



Thread name: "Re: [Gutl-l] Seguridad en Postfix" 
Mail number: 3 
Date: Mon, Aug 04, 2014 
In reply to: Hugo Florentino 
>
> On Fri, 01 Aug 2014 23:39:58 -0400, Hugo Florentino wrote:
> 
> [...]
> smtpd_sender_restrictions = permit_mynetworks,
>   reject_authenticated_sender_login_mismatch,
>   permit_sasl_authenticated,
>   reject_unknown_sender_domain
> 
> 
> Una observación a mi sugerencia:
> 
> 
> Para mayor seguridad, conviene declarar mynetworks así, y no agregar ninguna
> otra subred:
> 
> 
> mynetworks = 127.0.0.0/8
> 
> 
> --
> Este mensaje ha sido analizado por MailScanner
> en busca de virus y otros contenidos peligrosos,
> y se considera que est� limpio.
> 
> 
> __
> Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
> Gutl-l@jovenclub.cu
> https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
> 
> <
__
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
-- 
Este mensaje ha sido analizado por MailScanner
en busca de virus y otros contenidos peligrosos,
y se considera que est� limpio.

Re: [Gutl-l] Seguridad en Postfix

2014-08-02 Por tema Jessy Vidal 

El 2014-08-02 05:49, Hugo Florentino escribió:

On Fri, 01 Aug 2014 23:39:58 -0400, Hugo Florentino wrote:

[...]
smtpd_sender_restrictions = permit_mynetworks,
  reject_authenticated_sender_login_mismatch,
  permit_sasl_authenticated,
  reject_unknown_sender_domain


Una observación a mi sugerencia:

Para mayor seguridad, conviene declarar mynetworks así, y no agregar
ninguna otra subred:

mynetworks = 127.0.0.0/8
Tengo Esos parametros declarado entalla y seguia con el problem, pero 
buscando encontre algo que publico lazaro que parece que soluciona el 
problema con pcre y en cuanto lo pruebe escribo para aka

saludos
--
Jessy Hernandez Vidal
Jefe de Grupo de Informatización
Archivo Nacional de Cuba(ARNAC)
Compostela # 906 Esq. San Isidro.
Habana Vieja, Cuba.
Telefono:8612512
email: je...@arnac.cu
jabber: jessys...@jabber.arnac.cu
  YO USO LINUX   YO SOY LIBRE
Linux Mint 17

--
Este mensaje ha sido analizado por MailScanner
en busca de virus y otros contenidos peligrosos,
y se considera que est� limpio.

__
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l

Re: [Gutl-l] Seguridad en Postfix

2014-08-01 Por tema Hugo Florentino 

On Fri, 01 Aug 2014 23:39:58 -0400, Hugo Florentino wrote:

[...]
smtpd_sender_restrictions = permit_mynetworks,
  reject_authenticated_sender_login_mismatch,
  permit_sasl_authenticated,
  reject_unknown_sender_domain


Una observación a mi sugerencia:

Para mayor seguridad, conviene declarar mynetworks así, y no agregar 
ninguna otra subred:


mynetworks = 127.0.0.0/8


--
Este mensaje ha sido analizado por MailScanner
en busca de virus y otros contenidos peligrosos,
y se considera que est� limpio.

__
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l

Re: [Gutl-l] Seguridad en Postfix

2014-08-01 Por tema Hugo Florentino 

On Fri, 01 Aug 2014 18:44:56 -0400, Jessy Vidal wrote:

Tengo un servidor de correo que desde el thunderbird despues que esta
conf una cuenta le puedo modificar la dirección de email y sigue
enviando correos permitiendo la suplantación de identidad!
como puedo desactivarle esto .!
saludos


podrias intentar esto a ver si te funciona:

smtpd_sender_restrictions = permit_mynetworks,
  reject_authenticated_sender_login_mismatch,
  permit_sasl_authenticated,
  reject_unknown_sender_domain

--
Este mensaje ha sido analizado por MailScanner
en busca de virus y otros contenidos peligrosos,
y se considera que est� limpio.

__
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l

[Gutl-l] Seguridad en Postfix

2014-08-01 Por tema Jessy Vidal 
Tengo un servidor de correo que desde el thunderbird despues que esta 
conf una cuenta le puedo modificar la dirección de email y sigue 
enviando correos permitiendo la suplantación de identidad!

como puedo desactivarle esto .!
saludos

--
Jessy Hernandez Vidal
Jefe de Grupo de Informatización
Archivo Nacional de Cuba(ARNAC)
Compostela # 906 Esq. San Isidro.
Habana Vieja, Cuba.
Telefono:8612512
email: je...@arnac.cu
jabber: jessys...@jabber.arnac.cu
  YO USO LINUX   YO SOY LIBRE
Linux Mint 17


--
Este mensaje ha sido analizado por MailScanner
en busca de virus y otros contenidos peligrosos,
y se considera que está limpio.

__
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l