Hace tiempo nos dimos a la tarea en mi centro de trabajo de solucionar la
suplantación de identidad en zimbra. Acá teniamos ese problema antes de la
inminente visita de la OSRI el pasado diciembre nos dimos a la tarea de ver
como solucionarlo y antes que llegara la inspeccion ya lo teníamos resuelto. La
versión de zimbra en aquel entonces era la 7.1.2. Aquí va la solución:
Si queremos que nuestros usuarios locales de la red se autentiquen antes de
enviar en mensajes debemos hacer lo siguiente:
Creamos un fichero con nuestros dominios denegandole el acceso:
nano mydomains
con el contenido
mydomain.com REJECT
sub.mydomain.com REJECT
Creamos la base de datos con el postmap al fichero creado.
postmap mydomains
Veremos que genero el fichero hash del mismo mydomains.db
Ahora modificamos el fichero main.cf
smtpd_sender_restrictions = permit_mynetworks, permit_sasl_authenticated,
check_sender_access hash:/opt/zimbra/postfix/conf/mydomain
Si esta autenticado ya, se activa la regla permit_sasl_authenticated y se les
permite pasar. Si no está autenticado, pasa a la regla check_sender_access y
como el fichero hash contiene los dominios que se niegan rechaza la conexion.
Nota: En las versiones anteriores de zimbra antes de la 7 especificamente, lo
haciamos escribiendo las opciones en el fichero zmmta.cf pero no se que pasa
que despues de la versión 7 el smtpd_sender_restrictions tenemos que ponerlo a
mano despues que reiniciamos zimbra porque no nos lo esta tomando desde el
fichero de configuración de zimbra ya que zimbra rescribe el main.cf cuando se
reinicia el servicio zmmtactl.
Lic. Omar Padrón Capote
Administrador de Red
ERMP Cfgos
Tel. 515887 o 515878 ext 115
----- Mensaje original -----
De: "Carlos R Laguna" <ay...@jovenclub.cu>
Para: gutl-l@jovenclub.cu
Enviados: Viernes, 2 de Marzo 2012 12:45:41
Asunto: Re: [Gutl-l] Zimbra cyrus-sasl + ldap
El 02/03/12 11:42, Jose Enrique Castillo escribió:
> Estoy seguro que si utilizas SMTP autenticado no hay suplantación de
> identidad, asi que busca algún programa de los que usa la OSRI o
> Segurmatica en sus test de vulnerabilidades y veras que con SMTP
> Autenticado no hay invento con eso, a no ser que estemos hablando de
> algo diferente
>
>
> El vie, 02-03-2012 a las 10:04 -0500, Yuniesky Machado Rojas escribió:
>> El 02/03/12 08:30, Jose Enrique Castillo escribió:
>>> Primero te recomendaría leer detenidamente la documentación que trae
>>> zimbra, esta en ingles, peor muy completa.
>>> en la pagina 41 del fichero admin.pdf te explica como evitar la
>>> suplantación de identidad utilizando SMTP Autenticado.
>>> Y si mal no recuerdo eso se puede habilitar desde la interfaz
>>> administrativa
>>>
>>>
>>>
>>> El vie, 02-03-2012 a las 07:42 -0500, Yuniesky Machado Rojas escribió:
>>>> El 01/03/12 13:48, Omar Padrón Capote escribió:
>>>>> El zimbra trae un antispam por defecto. Será que quieres evitar la
>>>>> suplantación de identidad pidiendo la auntenticacion smpt?
>>>>>
>>>>> Saludos
>>>>>
>>>>> Lic. Omar Padrón Capote
>>>>> Administrador de Red
>>>>> ERMP Cfgos
>>>>> Tel. 515887 o 515878 ext 115
>>>>>
>>>>> ----- Mensaje original -----
>>>>> De: ymach...@inivit.cu
>>>>> Para: "Lista cubana de soporte técnico en Tecnologias Libres"
>>>>> jovenclub.cu>
>>>>> Enviados: Jueves, 1 de Marzo 2012 11:51:53
>>>>> Asunto: [Gutl-l] Zimbra cyrus-sasl + ldap
>>>>>
>>>>> Saludos Listeros
>>>>>
>>>>> Tengo un server con zimbra 7.1.3 y quisiera implementar autentificacion
>>>>> sasl para evitar spam, ahora como puedo integrar cyrus-sasl con ldap de
>>>>> zimbra para autenticar el smtp?
>>>>>
>>>>> Gracias de Antemano
>>>>> --
>>>>> ********************************
>>>>> * Yuniesky Machado Rojas *
>>>>> * Administrador de Redes *
>>>>> * Instituto Nacional de Investigación en Viandas Tropicales
>>>>> *GNU/Linux User #481684 (http://counter.li.org)
>>>>> ********************************
>>>>>
>>>>> ______________________________________________________________________
>>>>> Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
>>>>> Gutl-l@jovenclub.cu
>>>>> https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
>>>>>
>>>>> ______________________________________________________________________
>>>>> Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
>>>>> Gutl-l@jovenclub.cu
>>>>> https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
>>>> Asi mismo quiero evitar la suplantacion de identidad autenticando el
>>>> smtp, ya lo he hecho en realidad pero tengo que poner en el fichero
>>>> sasl_passwd casi 100 user que tengo, quisiera autenticarlo directo con
>>>> mi ldap
>>>>
>>>>
>>>>
>>>>
>>>
>>>
>>> ______________________________________________________________________
>>> Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
>>> Gutl-l@jovenclub.cu
>>> https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
>> Ya eso tengo activado en la administracion web la autenticacion aun asi
>> hago telnet y puiedo enviar correo suplantando identidad, necesito
>> autenticar directo con ldap, de tal forma que si en el oulook express de
>> las estaciones de trabajo no se le pone, mi servidor requiere
>> autenticacion, no deja enviar nada ni recibir
>>
>> Saludos
>>
>
>
>
> ______________________________________________________________________
> Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
> Gutl-l@jovenclub.cu
> https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
>
El smtp autenticado por si solo no te protege de la suplantación de
identidad, te autenticas con tu usuarios pero tu id de correo puede ser
cambiado y así enviar el correo.Saludos
______________________________________________________________________
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
______________________________________________________________________
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
