1. Forum
  2. Fidonet
  3. ESP.SEGURIDAD

  • Puliendo el mail server

    From Enric Lleal Serra@2:343/107.1 to All on Wed Jun 17 14:50:18 2020
    * Originally in EOTB.AVISOS
    * Crossposted in ESP.REDES
    * Crossposted in ESP.SEGURIDAD


    ­Hola All!


    Aquí estaba ultimando hace tres semanas ultimando los detalles del servidor de correo, cuando me percaté que estaba enviando spam al mundo mundial... No masivamente, no a todas horas, pero sí con cierta cadencia... Me percaté en cuanto me activé los catch-all de los dominios que gestiono y empecé a recibir rebotes de los rechazos...

    ¿Y cómo podía ser? Tenía la seguridad perimetral bien, mi MTA no hacía relay por defecto ni a todos los dominios, todo iba autenticado, todo estaba parcheado al día, los registros DNS (SPF, DMARC, DKIM, etc) bien, blablabla...

    Como tampoco he tenido tiempo para dedicarle al tema, he ido haciendo divide & conquer, análisis segmentado de la situación, y he dado con el problema y luego con la solución:

    Problema:

    Mi seguridad perimetral, sobre nftables como os indiqué el otro día, no hace un *NAT efectivo sino que simplemente bloquea y redirige el tráfico a las máquinas/puertos internos que toca. Por tanto, las peticiones me llegan con la IP del interfaz de mi red interna...

    Eso no sería problema para la mayoría de servicios que simplemente "sirven" a las peticiones entrantes, pero lo es para mi postfix. Viendo la configuración de mi main.cf, descubrí lo que temía: se permite relay a las máquinas de mi segmento de red interna... Horror.

    Solución:

    A, Desmontar nftables para volverlo a montar haciendo el *NATeo y enmascarando bien la IP, suponiendo que sea posible hacerlo porque la conexión no me llega directamente a la VM que hace de firewall sino que pasa por el router de Fibra (¿algún experto en redes en la sala?).

    B, No permitir que se pueda hacer relay desde mi red interna.



    De momento, dado el tiempo del que dispongo, he tirado por B... y mano de santo, oyes.

    Lo explico por si alguien se encuentra en la misma tesitura que yo, y le ayuda. ;-)

    -
    A reveure!!
    Enric
    __________________________________________________________________
    FidoNet: 2:343/107.1 | beholderbbs.org | fidonet.cat | .es | .ws
    InterNet: kishpa(at)kishpa(dot)com | kishpa.com | GPG#0xDCCB8CFC

    ... O nos ponemos de acuerdo todos juntos, o nos colgarán a todos por separado. --- crashmail + golded + binkd
    * Origin: Black flag & crossed bones : Eye Of The Beholder BBS! (2:343/107.1)