Puerto 25 permite enviar sin autenticacion

phoenix
Ambassador
Ambassador
Posts: 27272
Joined: Fri Sep 12, 2014 9:56 pm
Location: Liverpool, England

Re: Puerto 25 permite enviar sin autenticacion

Post by phoenix »

La autenticación en el puerto 25 no detendrá su problema y tampoco permitirá que nadie le envíe correo a menos que sean autyhenticated.

Realmente necesita determinar por qué su servidor es un "Open Relay ", ¿ha comprobado esto en un sitio de Internet que comprueba si hay un relé abierto?

¿su configuración "mynetworks " es correcta y ha comprobado algunos de los subprocesos del foro en este tema?
Regards

Bill

Rspamd: A high performance spamassassin replacement

Per ardua ad astra
alexsierrac
Posts: 27
Joined: Sat Sep 30, 2017 7:51 pm
Location: Bogotá - Colombia

Re: Puerto 25 permite enviar sin autenticacion

Post by alexsierrac »

Buen dia Phoenix:

De antemano muchisimas gracias por responder a mi peticion de ayuda

Tal como lo comente, realicé cada uno de los pasos indicados en el blog de Jorge de la Cruz referente a forzar la autenticacion SMTP para el envio de mails, pero las modificaciones realizadas no surten efecto y mi servidor sigue permitiendo el envio de correos sin exigir la autenticacion SMTP

Esto lo he comprobado mediante dos formas:

Prueba de Telnet

root@correo:~# telnet 190.##.##.85 25
Trying 190.##.##.85...
Connected to 190.##.##.85.
Escape character is '^]'.
220 correo.midominio.com ESMTP Postfix
ehlo correo.midominio.com
250-correo.midominio.com
250-PIPELINING
250-SIZE 31457280
250-VRFY
250-ETRN
250-STARTTLS
250-AUTH LOGIN PLAIN
250-AUTH=LOGIN PLAIN
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN
mail from: sistemas@midominio.com
250 2.1.0 Ok
rcpt to: sistemas@midominio.com
250 2.1.5 Ok


Tambien hago un Test desde https://www.dnsqueries.com/es/smtp_test_check.php y los resultados son los siguientes:

Test conexión: Fue posible conectarse usando el puerto 25 al servidor correo.midominio.com
Mensaje de bienvenida: El mensaje de bienvenida del hostname es correo.midominio.com
Acepta Null <> Sender: El servidor SMTP acepta NULL <> Sender
Acepta email para Postmaster: El servidor SMTP acepta emails para postmaster@correo.midominio.com. Esto es algo bueno, ya que esta direccion se usa para enviar comunicaciones de sistema
Acepta email para Abuse: El servidor SMTP acepta emails para abuse@correo.midominio.com. Esto es algo bueno, ya que esta direccion se usa para enviar comunicaciones de abusos
Acepta eMail a dominios literales: El servidor SMTP acepta emails para postmaster@[IP_ADDRESS]. Esto es algo bueno, ya que esta direccion la usa quien no conoce el nombre del dominio
Es Open Relay: He intentado enviar email a través del servidor SMTP y me lo ha aceptado. Esto es algo muy malo, significa que el servidor es open relay (aunque no estoy seguro de esto, por su gravedad, deberias comprobarlo!).


Por otro lado, al modificar zimbraMtaMyNetworks '127.0.0.0/8 192.168.0.40/32' y enviar un mensaje desde Hotmail por ejemplo, me devuelve el siguiente mensaje:

correo.midominio.com rechazó tus mensajes a las siguientes direcciones de correo:
sistemas@midominio.com (sistemas@midominio.com)
El mensaje no se entregó debido a que el sistema de correo electrónico de destino rechazó el mensaje por motivos de seguridad o de conflicto con una directiva. Por ejemplo, puede que la dirección de correo electrónico solo acepte mensajes de ciertos remitentes o que no acepte ciertos tipos de mensajes, como los que superan un tamaño concreto.
Póngase en contacto con el destinatario (por ejemplo, por teléfono) y colabore con él y con su administrador de correo para determinar qué directiva o parámetro bloquea el mensaje. Decidan también qué debe hacer usted para asegurarse de que los mensajes que envíe en el futuro no se rechacen.
Para obtener más información, vea Código de estado 5.7.1.

correo.midominio.com produjo este error:
Service unavailable; Client host [192.168.0.10] blocked using dnsbl.ahbl.org; List shut down. See: http://www.ahbl.org/content/last-notice ... es-jan-1st

Este mismo mensaje se devuelve desde cualquier direccion de correo (Gmail, Yahoo, etc) de la cual se envie a sistemas@midominio.com

Para evitar este mensaje, me toca retornar zimbraMtaMyNetworks '127.0.0.0/8 192.168.0.0/24' y ahi si funciona bien

Por favor ayudenme a solucionar este inconveniente, pues la verdad estoy recibiendo continuos ataques de Spam y soy algo novato en Zimbra

Agradezco mucho su pronta respuesta. Saludos...
phoenix
Ambassador
Ambassador
Posts: 27272
Joined: Fri Sep 12, 2014 9:56 pm
Location: Liverpool, England

Re: Puerto 25 permite enviar sin autenticacion

Post by phoenix »

Ha publicado los detalles de su dirección IP de LAN y no entiendo realmente lo que me está mostrando-que la IP nunca debe ser visible desde el Internet.

¿está detrás de un router NAT? ¿ha configurado un "Split DNS " (debería)? ¿es una nueva instalación de ZCS?
Regards

Bill

Rspamd: A high performance spamassassin replacement

Per ardua ad astra
alexsierrac
Posts: 27
Joined: Sat Sep 30, 2017 7:51 pm
Location: Bogotá - Colombia

Re: Puerto 25 permite enviar sin autenticacion

Post by alexsierrac »

Buen dia Phoenix:

Mi servidor se encuentra detras de un firewall Fortinet. Sin embargo, tambien he probado colocando en Mynetworks la IP publica del correo 190.##.##.85 pero tambien me devuelve el mismo mensaje cuando se envian mensajes desde otros dominios a mi dominio.

Es una instalacion relativamente nueva, pues esta en produccion desde diciembre del año pasado. La version de Zimbra es 8.7.11 y corre sobre Ubuntu Server 16.04

En cuanto a SplitDNS no creo que lo haya configurado. Como podria validarlo?

Muchas gracias por tu respuesta. Saludos...
phoenix
Ambassador
Ambassador
Posts: 27272
Joined: Fri Sep 12, 2014 9:56 pm
Location: Liverpool, England

Re: Puerto 25 permite enviar sin autenticacion

Post by phoenix »

Hola

La página SplitDNS en el wiki es aquí: https://wiki.zimbra.com/wiki/Split_DNS

Usted tendrá que poner un servidor DNS de la LAN (a menos que ya tengas uno?) y configurarlo como lo describe el artículo. Si ya tiene un SplitDNS las instrucciones en el "verify" sección de este artículo que te dicen cómo comprobar está correctamente configurado - Asegúrese de que ejecuta todos los comandos en esa sección. Puede enviar la salida aquí o enviarlos a mí en un PM Si usted piensa que la información es confidencial.

NUNCA debe agregar su dirección IP pública al ajuste de MyNetworks como esto hará que te problemas, la configuración actual de la IP de la LAN y la IP de loopback son correctos.

¿Sus necesidades de firewall Fortinet para reenviar los puertos correctos (25, 587 y 143) para la LAN IP del servidor de ZCS es hacerlo?

Obviamente no soy hablante nativo de español y espero que estas traducciones son aceptables.

Tener un buen fin de semana. :)
Regards

Bill

Rspamd: A high performance spamassassin replacement

Per ardua ad astra
alexsierrac
Posts: 27
Joined: Sat Sep 30, 2017 7:51 pm
Location: Bogotá - Colombia

Re: Puerto 25 permite enviar sin autenticacion

Post by alexsierrac »

Hola Phoenix

No te preocupes, entiendo perfectamente tu español

En la red LAN de mi servidor Zimbra existe un servidor DNS en el cual esta configurada la zona y la resolucion de nombre e IP para el servidor Zimbra. Esta esta funcionando correctamente tal como lo indica la entrada en el WiKi.

En el firewall estan configuradas las politicas que hacen NAT desde la IP publica hacia la IP privada de mi servidor, redirigiendo todos los puertos necesarios para Zimbra, entre ellos el 25, 587, 993 y 995. Sin embargo, en mi firewall tambien tengo configurado un filtro SPAM que me ayuda muchisimo a contenerlo, pero aun asi se me filtran ataques de Spam de manera frecuente, y eso se debe a que no he podido encontrar la manera de forzar la autenticacion obligatoria SMTP para el envio de mails, pues como te he comentado, tal parece que las instrucciones acerca de ese tema que he encontrado en muchisimas fuentes de internet solo funcionan para versiones Zimbra 8.6 y anteriores...

Estoy seguro que si encuentro la manera de forzar esa autenticacion, subsanare satisfactoriamente el control de ataques de SPAM

Quedo atento a tus nuevas instrucciones. Saludos....
pjimenezzimbra
Posts: 1
Joined: Wed May 30, 2018 6:02 pm

Re: Puerto 25 permite enviar sin autenticacion

Post by pjimenezzimbra »

alexsierrac talves lograste controlar el problema del puerto 25? estoy en el mismo problema

Saludos
kenobycold
Posts: 1
Joined: Thu Jun 07, 2018 10:31 pm

Re: Puerto 25 permite enviar sin autenticacion

Post by kenobycold »

Hola yo tengo el mismo problema con zimbra 8.8 y de hecho tengo un qmail (que quiero dejar atras) con el mismo problema que nunca pude resolver.
no autentica el puerto 25, es una instalación de prueba.
Gracias.
alexsierrac
Posts: 27
Joined: Sat Sep 30, 2017 7:51 pm
Location: Bogotá - Colombia

Re: Puerto 25 permite enviar sin autenticacion

Post by alexsierrac »

Lamentablemente NO he podido resolver el envio de mensajes sin autenticacion, pues a pesar de que he probado muchas "soluciones" que he encontrado por ahi en internet, estas no me han servido, y pues tambien a pesar de que he solicitado ayuda en diversos foros de expertos en Zimbra, tampoco he recibido una aplicable a mi version.

Afortunadamente cuento con un firewall que me ha permitido controlar un poco los ataques de Spam, sin embargo, de vez en cuando se logran colar algunos que me ponen en aprietos...

Sigo en espera de encontrar alguna solucion efectiva para este problema

Saludos...
phoenix
Ambassador
Ambassador
Posts: 27272
Joined: Fri Sep 12, 2014 9:56 pm
Location: Liverpool, England

Re: Puerto 25 permite enviar sin autenticacion

Post by phoenix »

El problema es que no se puede forzar la autenticación para el puerto 25 de lo contrario nunca recibirá ningún correo electrónico. ZCS (postfix) está haciendo exactamente lo que está diseñado para hacer y que está recibiendo correo electrónico para los dominios para los que es responsable.

Si recibe demasiado spam en su buzón, intente "ajustar" su sistema antispam o, quizás, usando rspamd para reemplazar el actual sistema antispam de ZCS. También puede buscar en fail2ban para bloquear la conexión de servidores no deseados.
Regards

Bill

Rspamd: A high performance spamassassin replacement

Per ardua ad astra
Post Reply