Puerto 25 permite enviar sin autenticacion

phoenix
Ambassador
Ambassador
Posts: 25404
Joined: Fri Sep 12, 2014 9:56 pm

Re: Puerto 25 permite enviar sin autenticacion

Postby phoenix » Fri May 04, 2018 6:49 am

La autenticación en el puerto 25 no detendrá su problema y tampoco permitirá que nadie le envíe correo a menos que sean autyhenticated.

Realmente necesita determinar por qué su servidor es un "Open Relay ", ¿ha comprobado esto en un sitio de Internet que comprueba si hay un relé abierto?

¿su configuración "mynetworks " es correcta y ha comprobado algunos de los subprocesos del foro en este tema?


Regards

Bill

Rspamd: A high performance spamassassin replacement

If you'd like to see this implemented in a future version of ZCS then please vote on Bugzilla entries 97706 & 108168
alexsierrac
Posts: 23
Joined: Sat Sep 30, 2017 7:51 pm
Location: Bogotá - Colombia

Re: Puerto 25 permite enviar sin autenticacion

Postby alexsierrac » Fri May 04, 2018 9:11 pm

Buen dia Phoenix:

De antemano muchisimas gracias por responder a mi peticion de ayuda

Tal como lo comente, realicé cada uno de los pasos indicados en el blog de Jorge de la Cruz referente a forzar la autenticacion SMTP para el envio de mails, pero las modificaciones realizadas no surten efecto y mi servidor sigue permitiendo el envio de correos sin exigir la autenticacion SMTP

Esto lo he comprobado mediante dos formas:

Prueba de Telnet

root@correo:~# telnet 190.##.##.85 25
Trying 190.##.##.85...
Connected to 190.##.##.85.
Escape character is '^]'.
220 correo.midominio.com ESMTP Postfix
ehlo correo.midominio.com
250-correo.midominio.com
250-PIPELINING
250-SIZE 31457280
250-VRFY
250-ETRN
250-STARTTLS
250-AUTH LOGIN PLAIN
250-AUTH=LOGIN PLAIN
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN
mail from: sistemas@midominio.com
250 2.1.0 Ok
rcpt to: sistemas@midominio.com
250 2.1.5 Ok


Tambien hago un Test desde https://www.dnsqueries.com/es/smtp_test_check.php y los resultados son los siguientes:

Test conexión: Fue posible conectarse usando el puerto 25 al servidor correo.midominio.com
Mensaje de bienvenida: El mensaje de bienvenida del hostname es correo.midominio.com
Acepta Null <> Sender: El servidor SMTP acepta NULL <> Sender
Acepta email para Postmaster: El servidor SMTP acepta emails para postmaster@correo.midominio.com. Esto es algo bueno, ya que esta direccion se usa para enviar comunicaciones de sistema
Acepta email para Abuse: El servidor SMTP acepta emails para abuse@correo.midominio.com. Esto es algo bueno, ya que esta direccion se usa para enviar comunicaciones de abusos
Acepta eMail a dominios literales: El servidor SMTP acepta emails para postmaster@[IP_ADDRESS]. Esto es algo bueno, ya que esta direccion la usa quien no conoce el nombre del dominio
Es Open Relay: He intentado enviar email a través del servidor SMTP y me lo ha aceptado. Esto es algo muy malo, significa que el servidor es open relay (aunque no estoy seguro de esto, por su gravedad, deberias comprobarlo!).


Por otro lado, al modificar zimbraMtaMyNetworks '127.0.0.0/8 192.168.0.40/32' y enviar un mensaje desde Hotmail por ejemplo, me devuelve el siguiente mensaje:

correo.midominio.com rechazó tus mensajes a las siguientes direcciones de correo:
sistemas@midominio.com (sistemas@midominio.com)
El mensaje no se entregó debido a que el sistema de correo electrónico de destino rechazó el mensaje por motivos de seguridad o de conflicto con una directiva. Por ejemplo, puede que la dirección de correo electrónico solo acepte mensajes de ciertos remitentes o que no acepte ciertos tipos de mensajes, como los que superan un tamaño concreto.
Póngase en contacto con el destinatario (por ejemplo, por teléfono) y colabore con él y con su administrador de correo para determinar qué directiva o parámetro bloquea el mensaje. Decidan también qué debe hacer usted para asegurarse de que los mensajes que envíe en el futuro no se rechacen.
Para obtener más información, vea Código de estado 5.7.1.

correo.midominio.com produjo este error:
Service unavailable; Client host [192.168.0.10] blocked using dnsbl.ahbl.org; List shut down. See: http://www.ahbl.org/content/last-notice ... es-jan-1st

Este mismo mensaje se devuelve desde cualquier direccion de correo (Gmail, Yahoo, etc) de la cual se envie a sistemas@midominio.com

Para evitar este mensaje, me toca retornar zimbraMtaMyNetworks '127.0.0.0/8 192.168.0.0/24' y ahi si funciona bien

Por favor ayudenme a solucionar este inconveniente, pues la verdad estoy recibiendo continuos ataques de Spam y soy algo novato en Zimbra

Agradezco mucho su pronta respuesta. Saludos...
phoenix
Ambassador
Ambassador
Posts: 25404
Joined: Fri Sep 12, 2014 9:56 pm

Re: Puerto 25 permite enviar sin autenticacion

Postby phoenix » Sat May 05, 2018 12:18 pm

Ha publicado los detalles de su dirección IP de LAN y no entiendo realmente lo que me está mostrando-que la IP nunca debe ser visible desde el Internet.

¿está detrás de un router NAT? ¿ha configurado un "Split DNS " (debería)? ¿es una nueva instalación de ZCS?
Regards

Bill

Rspamd: A high performance spamassassin replacement

If you'd like to see this implemented in a future version of ZCS then please vote on Bugzilla entries 97706 & 108168
alexsierrac
Posts: 23
Joined: Sat Sep 30, 2017 7:51 pm
Location: Bogotá - Colombia

Re: Puerto 25 permite enviar sin autenticacion

Postby alexsierrac » Sat May 05, 2018 4:19 pm

Buen dia Phoenix:

Mi servidor se encuentra detras de un firewall Fortinet. Sin embargo, tambien he probado colocando en Mynetworks la IP publica del correo 190.##.##.85 pero tambien me devuelve el mismo mensaje cuando se envian mensajes desde otros dominios a mi dominio.

Es una instalacion relativamente nueva, pues esta en produccion desde diciembre del año pasado. La version de Zimbra es 8.7.11 y corre sobre Ubuntu Server 16.04

En cuanto a SplitDNS no creo que lo haya configurado. Como podria validarlo?

Muchas gracias por tu respuesta. Saludos...
phoenix
Ambassador
Ambassador
Posts: 25404
Joined: Fri Sep 12, 2014 9:56 pm

Re: Puerto 25 permite enviar sin autenticacion

Postby phoenix » Sat May 05, 2018 4:42 pm

Hola

La página SplitDNS en el wiki es aquí: https://wiki.zimbra.com/wiki/Split_DNS

Usted tendrá que poner un servidor DNS de la LAN (a menos que ya tengas uno?) y configurarlo como lo describe el artículo. Si ya tiene un SplitDNS las instrucciones en el "verify" sección de este artículo que te dicen cómo comprobar está correctamente configurado - Asegúrese de que ejecuta todos los comandos en esa sección. Puede enviar la salida aquí o enviarlos a mí en un PM Si usted piensa que la información es confidencial.

NUNCA debe agregar su dirección IP pública al ajuste de MyNetworks como esto hará que te problemas, la configuración actual de la IP de la LAN y la IP de loopback son correctos.

¿Sus necesidades de firewall Fortinet para reenviar los puertos correctos (25, 587 y 143) para la LAN IP del servidor de ZCS es hacerlo?

Obviamente no soy hablante nativo de español y espero que estas traducciones son aceptables.

Tener un buen fin de semana. :)
Regards

Bill

Rspamd: A high performance spamassassin replacement

If you'd like to see this implemented in a future version of ZCS then please vote on Bugzilla entries 97706 & 108168
alexsierrac
Posts: 23
Joined: Sat Sep 30, 2017 7:51 pm
Location: Bogotá - Colombia

Re: Puerto 25 permite enviar sin autenticacion

Postby alexsierrac » Sat May 05, 2018 6:46 pm

Hola Phoenix

No te preocupes, entiendo perfectamente tu español

En la red LAN de mi servidor Zimbra existe un servidor DNS en el cual esta configurada la zona y la resolucion de nombre e IP para el servidor Zimbra. Esta esta funcionando correctamente tal como lo indica la entrada en el WiKi.

En el firewall estan configuradas las politicas que hacen NAT desde la IP publica hacia la IP privada de mi servidor, redirigiendo todos los puertos necesarios para Zimbra, entre ellos el 25, 587, 993 y 995. Sin embargo, en mi firewall tambien tengo configurado un filtro SPAM que me ayuda muchisimo a contenerlo, pero aun asi se me filtran ataques de Spam de manera frecuente, y eso se debe a que no he podido encontrar la manera de forzar la autenticacion obligatoria SMTP para el envio de mails, pues como te he comentado, tal parece que las instrucciones acerca de ese tema que he encontrado en muchisimas fuentes de internet solo funcionan para versiones Zimbra 8.6 y anteriores...

Estoy seguro que si encuentro la manera de forzar esa autenticacion, subsanare satisfactoriamente el control de ataques de SPAM

Quedo atento a tus nuevas instrucciones. Saludos....

Return to “Spanish”

Who is online

Users browsing this forum: No registered users and 0 guests