Me gustaría configurar Postfix (en ubuntu 14.04) para usar el puerto de envío, pero me preocupa que pueda convertirse en un relé abierto. Me gustaría saber cuáles son las mejores restricciones para cada una de las listas de restricciones (que de forma predeterminada tienen las variables $mua_, lo que significa que básicamente no hay restricciones).
Aquí está la configuración predeterminada de master.cf en Ubuntu:
submission inet n - - - - smtpd
-o syslog_name=postfix/submission
-o smtpd_tls_security_level=encrypt
-o smtpd_sasl_auth_enable=yes
-o smtpd_reject_unlisted_recipient=no
-o smtpd_client_restrictions=$mua_client_restrictions
-o smtpd_helo_restrictions=$mua_helo_restrictions
-o smtpd_sender_restrictions=$mua_sender_restrictions
-o smtpd_recipient_restrictions=
-o smtpd_relay_restrictions=permit_sasl_authenticated,reject
-o milter_macro_daemon_name=ORIGINATING
Y esto es lo que postconf -Mxdice (ampliará las variables $mua_):
submission inet n - - - - smtpd
-o syslog_name=postfix/submission
-o smtpd_tls_security_level=encrypt
-o smtpd_sasl_auth_enable=yes
-o smtpd_reject_unlisted_recipient=no
-o smtpd_client_restrictions=
-o smtpd_helo_restrictions=
-o smtpd_sender_restrictions=
-o smtpd_recipient_restrictions=
-o smtpd_relay_restrictions=permit_sasl_authenticated,reject
-o milter_macro_daemon_name=ORIGINATING
Entonces, supongo que, siempre que el usuario sea un usuario autenticado SASL, podrá enviar correos electrónicos usando cualquier cuenta y a cualquier destino, sin restricciones de helo o cliente (supongo que esto se debe a que los MUA -como Outlook- y no los servidores se conectarán a este puerto, por lo que no querrás ser demasiado exigente)
Algunas restricciones que creo que serían buenas a pesar de ese hecho serían:
reject_non_fqdn_senderyreject_unlisted_senderparasmtpd_sender_restrictionsreject_non_fqdn_recipientparasmtpd_recipient_restrictions
¿Cuáles son otras restricciones deseables en estas listas de restricciones?
Respuesta1
Nunca se convertirá en un relevo abierto si estásrequiriendo autenticación.
Si le preocupa que sus usuarios no utilicen buenas contraseñas, puede restringir las redes a rangos de IP específicos, ya sea con postfix, iptables o firewalls externos.
Otra buena idea sería agregar fail2ban como mecanismo de protección de fuerza bruta.
Al igual que con cualquier sistema de correo electrónico, siempre debe monitorear el abuso, asegurarse de tener un buzón de correo postal válido y el abuso. También es una buena práctica monitorear los PBR y establecer circuitos de retroalimentación.