Configurações básicas para o postfix

Tive problemas com máquinas dentro da minha sub-rede que continham o outlook configurado.

Tive dificuldade com a desinstalação do F-secure.  Pois o maldito não continha uma remoção fácil, a empresa não fornecia uma ferramenta de remoção que não reiniciasse as máquinas.

Desta forma caso eu executasse um comando remoto, todas as máquinas reiniciariam. E foi isto que acabou tendo que ser feito.

Enfim, mas como ainda não me livrei dele, algumas máquinas com o anti-virus desatualizado começaram a se infectar e utilizar uma configuração de e-mail válida para enviar vírus para a Internet!

O primeiro a me bloquear foi a TrendNet Rbl+, que funciona muito bem. Apesar de ter sido bloqueado em vários domínios que utilizam a ferramenta, eu tive uma certa dificuldade em conseguir o desbloqueio. Foram alguns dia tentando entender o comportamento da rede e de como implementar os bloqueios no Zimbra, que utiliza o postfix como smtpd. Sendo assim considero o serviço de qualidade. Pois me fez parar tudo para resolver o problema. (Ainda não fui liberado. )

Agradeço a ajuda do Dave Rand, da Trend, que me deu algumas dicas depois de afirmar que meu servidor de e-mail estava mal configurado.

1 – Exibir qual usuário autenticado está enviando e-mails pelo smtp.

Received: from Puccipc (unknown [172.16.99.121])
	(Authenticated sender: leonardo.pucci)
	by mail.santacasadefranca.com.br (Postfix) with ESMTPA id

Desta forma, voce consegue saber qual o e-mail que está com a senha fraca, ou com um outlook enviando vírus.

No caso do webmail isto não aparece, o que é uma pena. Pois identifcar o remetente é util em várias situações.

 

2 – Bloquear a rede interna.

Se voce optou pelo webmail. Se livre dos clientes na máquina. Terá que investir em storages, processamento, memoria e redundância. Mas se ficar bem feito. Vale o que custa. Se livre de qualquer ferramenta adicional.

3 – Permitir e-mails do sistema.

Permita alguns e-mails do sistema. Sistemas Erp costumam enviar e-mails pelo próprio sistema. Como a configuração de conexão fica dentro do banco de dados e é utilizado apenas pelo sistema. Esta é a excessão da regra acima.

Permita as impressoras. Hoje em dia é comum as impressoras enviarem e-mails. Passa a ser uma forma prática de escanear documentos.

Pensando neste cenário, vamos entender como o postfix executa seus bloqueios.

 

telnet 192.168.0.2 25                           # Comentario sobre regras de entrada postfix
Trying 192.168.0.2...
Connected to 192.168.0.2 (192.168.0.2).
Escape character is '^]'.
220 mail.example.com ESMTP Postfix              # <-Aqui se aplica: smtp_client_restrictions
HELO mail.example.com                           # <-Aqui se aplica: smtp_helo_restrictions
250 mail.example.com                            #
MAIL FROM:<ned@example.com>                     # <-Aqui se aplica: smtp_sender_restrictions
250 2.1.0 Ok                                    #
RCPT TO:<ned@example.com>                       # <-Aqui se aplica: smtp_recipient_restrictions
250 2.1.5 Ok                                    #
DATA                                            # <-Aqui se aplica: smtp_data_restrictions
354 End data with <CR><LF>.<CR><LF>             #
To:<ned@example.com>                            # <-Aqui se aplica: header_checks
From:<ned@example.com>                          #
Subject:SMTP Test                               #
This is a test message                          # <-Aqui se aplica: body_checks
.                                               #
250 2.0.0 Ok: queued as 301AE20034
QUIT
221 2.0.0 Bye
Connection closed by foreign host.

 

Agora que voce sabe a ordem de processamento das regras, vou focar em como bloquear o envio por smtpd

To be continued…