Sistema Operativo ALDOS
Dezoft

Si algunos de nuestros foros, manuales, ALDOS, paquetería o proyectos te han resultado de ayuda, apreciaremos mucho nos apoyes con un donativo.

 Índice > Todo acerca de Linux > Redes y Servidores Nuevo tema Publicar Respuesta
 Proteger Sendmail
Tema anterior Tema siguiente
   
Oscar Cáceres
Publicado en 25/01/10 05:10 (Leído 2095 veces)  

Participa mucho
Forum User

Inscrito: 13/01/10 Publicaciones: 62
País:Ciudad del Este - Paraguay
Hola a todos.


Nuevamente me dirijo a ustedes. Dado que ya pude solucionar mi inconveniente anterior (mi problemilla de correo saliente), Ahora continuando con mi mailserver me encuentro en la necesidad de darle más seguridad, como les comente anteriormente he seguido al pie de la letra el manual de configuración de este site y me ha ido de maravillas. Ahora mi consulta es;

1. He encontrado esta opción en el documento que se refiere a no permitir el envió de dominios inexistentes. dnl FEATURE(`accept_unresolvable_domains'Guiñodnl.
Si es que esta opción va activada, como viene por defecto, seria esto a lo que denomina openrelay. (lo tengo comentado) como indica el manual.

2. Estoy tratando de agregar una línea en el firewall que es como sigue;

iptables -A INPUT -s 192.168.0.0/16 -p tcp --sport 25 -j ACCEPT
iptables -A INPUT -s 192.168.0.0/16 -p tcp --dport 25 -j ACCEPT

Al agregar estas línea mis mails quedan en cola.

Oscar Cáceres
 
Perfil
 Citar
Oscar Cáceres
Publicado en 28/01/10 05:18  

Participa mucho
Forum User

Inscrito: 13/01/10 Publicaciones: 62
País:Ciudad del Este - Paraguay
Hola a todos

Antes que nada disculpen por escribir nuevamente, pero es solamente para especificar que hice con mi inconveniente de seguridad para sendmail, dado que no encontre ninguna respuesta aqui. Primeramente pense, será que no formule bien la pregunta por eso nadie responde?. y luego me dije o será que la pregunta es muy absurda.

Pues si señores, la pregunta es hasta estu.... interiorizandome mas en el tema me puedo percatar que no puedo agregar ami server puyblico una regla iptalbes es absurdo.

Entonces, la solución que encontre a mis intenciones de mayor seguridad para sendmail fue spamassasin y MailScanner.

Gracias.

Oscar Cáceres
 
Perfil
 Citar
Joel Barrios Dueñas
Publicado en 28/01/10 10:34  

Admin
Site Admin

Inscrito: 17/02/07 Publicaciones: 1739
País:Mexico
¿has probado hacerlo con Shorewall? Es más simple.

para poder ayudarte. es necesario publiques tus reglas de iptables. Probablemente tienes algo que está bloqueando la salida.

Quote by: Oscar+C%C3%A1ceres

Hola a todos.


Nuevamente me dirijo a ustedes. Dado que ya pude solucionar mi inconveniente anterior (mi problemilla de correo saliente), Ahora continuando con mi mailserver me encuentro en la necesidad de darle más seguridad, como les comente anteriormente he seguido al pie de la letra el manual de configuración de este site y me ha ido de maravillas. Ahora mi consulta es;

1. He encontrado esta opción en el documento que se refiere a no permitir el envió de dominios inexistentes. dnl FEATURE(`accept_unresolvable_domains'Guiñodnl.
Si es que esta opción va activada, como viene por defecto, seria esto a lo que denomina openrelay. (lo tengo comentado) como indica el manual.

2. Estoy tratando de agregar una línea en el firewall que es como sigue;

iptables -A INPUT -s 192.168.0.0/16 -p tcp --sport 25 -j ACCEPT
iptables -A INPUT -s 192.168.0.0/16 -p tcp --dport 25 -j ACCEPT

Al agregar estas línea mis mails quedan en cola.

 
Perfil Sitio Web
 Citar
Oscar Cáceres
Publicado en 01/02/10 03:11  

Participa mucho
Forum User

Inscrito: 13/01/10 Publicaciones: 62
País:Ciudad del Este - Paraguay
Buenos días Sr. Barrios.

Disculpe que responda recien, pero es que;

1. Andaba de viajes y desconectado y
2. No pense que nadie mas responda.

Yo, haía renunciado al tema de asegurar el mailserver atravez de un firewall, ya sea shorewall o iptables, dado que investigando, lo que pude comprender es que no devía hacerlo dado que es un server público. Pero ahora que estoy leiendo su mensaje, me sembro la duda, sera que si se puede? si usted lo dice, seria un honor que me lo pudiera hacer comprender aqui le dejo mis reglas iptables basico.

De ante mano muy agradecido por la respuesta.

Post data: Tengo cerrado el openrelay y en la cuenta potmaster tengo 19000 correos que considero spam, esta tan solo en una semana.

Oscar Cáceres
 
Perfil
 Citar
Oscar Cáceres
Publicado en 01/02/10 03:29  

Participa mucho
Forum User

Inscrito: 13/01/10 Publicaciones: 62
País:Ciudad del Este - Paraguay
Disculpas, por la distracción.

iptables -F
iptables -X
iptables -Z

iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT

iptables -A INPUT -i lo -j ACCEPT

iptables -A INPUT -p tcp --sport 25 -j ACCEPT
iptables -A INPUT -p tcp --dport 25 -j ACCEPT

iptables -A INPUT -p tcp --dport 110 -j ACCEPT

iptables -A INPUT -p tcp --dport 143 -j ACCEPT


iptables -A INPUT -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT -p tcp --sport 53 -j ACCEPT
iptables -A INPUT -p udp --sport 53 -j ACCEPT


iptables -A INPUT -s 191.168.1.20/30 -j ACCEPT

iptables -A INPUT -s 191.18.0.0/16 -p icmp -m icmp --icmp-type echo-request -i eth0 -j ACCEPT
iptables -A INPUT -s 192.168.1.0/20 -p icmp -m icmp --icmp-type echo-request -i eth0 -j ACCEPT
iptables -A INPUT -s 193.16.0.0/16 -p icmp -m icmp --icmp-type echo-request -i eth0 -j ACCEPT

iptables -A INPUT -p icmp -m icmp --icmp-type echo-request -i eth0 -j DROP

iptables -A INPUT -p tcp --dport 0:65535 -j DROP
iptables -A INPUT -p udp --dport 0:65535 -j DROP

Oscar Cáceres
 
Perfil
 Citar
Joel Barrios Dueñas
Publicado en 01/02/10 04:00  

Admin
Site Admin

Inscrito: 17/02/07 Publicaciones: 1739
País:Mexico
El cortafuegos que pusiste es muy simple y tiene un grave pro blema al final. Las últimas dos reglas abren TODOS los puertos. es como si no tuvieras muro cortafuegos.
 
Perfil Sitio Web
 Citar
Oscar Cáceres
Publicado en 01/02/10 04:06  

Participa mucho
Forum User

Inscrito: 13/01/10 Publicaciones: 62
País:Ciudad del Este - Paraguay
iptables -A INPUT -p tcp --dport 0:65535 -j DROP
iptables -A INPUT -p udp --dport 0:65535 -j DROP


Las ultimas dos lineas son DROP no ACCEPT

Oscar Cáceres
 
Perfil
 Citar
Joel Barrios Dueñas
Publicado en 03/02/10 03:12  

Admin
Site Admin

Inscrito: 17/02/07 Publicaciones: 1739
País:Mexico
Ooops. Cierto.

Mi recomendación sigue siendo utilizar Shorewall.
 
Perfil Sitio Web
 Citar
Oscar Cáceres
Publicado en 10/02/10 04:07  

Participa mucho
Forum User

Inscrito: 13/01/10 Publicaciones: 62
País:Ciudad del Este - Paraguay
Gracias Sr. Barrios.

Debere interiorizarme primero al respecto shorewall. Aunque ya estoy embarcado en clamav, clamav-milter, spamassasin y lo relacionado. Es mas estoy teniendo un inconveniente con clamav-milter, pero creo que que eso ya debe de ir en nuevo tema.

Oscar Cáceres
 
Perfil
 Citar
Contenido generado en: 0,20 segundos Nuevo tema Publicar Respuesta
 Todas las horas son UTC. Hora actual 07:15 .
Tema normal Tema normal
Tema persistente Tema persistente
Tema cerrado Tema cerrado
Nueva publicación Nueva publicación
Persistente con nueva publicación Persistente con nueva publicación
Cerrado con nueva publicación Cerrado con nueva publicación
Ver publicaciones anónimas 
Usuarios anónimos pueden publicar 
Se permite HTML Filtrado 
Contenido censurado