Buenas, Disculpas si no fuí claro; espero serlo ahora. Respondo entre líneas también.
2012/5/7 Carlos Miranda Molina (Mstaaravin) <[email protected]> > Me voy a meter en este hilo porque (mejor me callo) > respondo entre lineas... > > 2012/4/30 Sebastian Muñiz <[email protected]>: > > En caso de que quieras seguir hosteandolo vos, asegurate: > > - Que tu bloque /24 de IPs no permita tráfico tcp dst 25 (difícil de > > verificar si no sos el dueño del bloque) > WTF qué mierda es esto...? > Si le dan IP pública casi seguro que tiene el puerto 25 habilitado y > es tan simple de verificar como hacer un > :~$ telnet IPPublica 25 > Significa que si tenes administración sobre todo el bloque /24 donde esta el IP de tu smtp, te asegures que ninguna ip tenga permitido tráfico con destino al 25 saliente Es mi experiencia que varios RBL bloquean el bloque /24 en vez de la única ip donde corre el smpt. Algunos bloquean la red que dice el whois de la ip (/24, ./16, etcs) O puesto de otra forma, aún cuando vos tengas el 200.200.200.10 como smtp, si el 200.200.200.11 puede originar correo y envía spam, tu bloque (que incluye 200.200.200.10) puede terminar en una lista. > > - Que todo el correo saliente pase por algun anti spam. (muchas veces los > > que envían spam no son los usuarios sino virulos en sus maquinas > windows). > Es al pedo, con utilizar autenticación siempre es suficiente, ademas > los worms, spambots, etc son capaces de tomar las configuraciones de > los clientes de correo (Outlook, etc) > Precisamente. Hay ciertos/pocos virulos para windows que son capaces de autenticarse. Por eso ademas sugiero un filtro para correo saliente. > > - Usar "submission" en vez del 25 para smtp (salvo para recibir correo de > > internet el 25 debe estar cerrado con icmp admin prohibited) > Información antigua, casi todos los MTAs modernos soportan submission. > De acuerdo, solo sugiero usarlo. > icmp admin prohibited WTF, de dónde lo sacaste de la galera....? > qué tiene que ver ICMP en la capa 4 del modelo OSI con un protocolo en > capa 7 (SMTP) > Estás tirando fruta, para eso decí que directamente bloqueas todo > tráfico entrante al puerto 25 y listo. > Estoy hablando del tráfico saliente, y el concepto de bloqueo admite varias implementaciones. ICMP soporta varios mensajes.( http://www.windowsnetworking.com/articles_tutorials/Understanding-ICMP-Protocol-Part2.html) Si simplemente haces un -j DROP de las conexiones salientes al 25, la aplicación no se entera que pasa, y se queda esperando un time out. Clásico caso de ventana dura, que no actualiza el estado hasta que da timeout. En vez de dropear los SYN de inicio de conexión, se puede hacer que al intentar la conexion el firewal devuelva un ICMP que informe a la app que abrió el socket que no va a poder salir por decisión administrativa. En iptables es algo así como iptables -A FORWARD -s/-d -p tcp/udp --dport/sport \ -p icmp --icmp-type echo-request -j REJECT --reject-with icmp-admin-prohibited > > - Usar SPF para publicar los IPs autorizados para el dominio. > + dkim > Nunca aprendí/entendí dkim. No se si se relaciona con SPF. WTF, tu ISP no tiene nada mal configurado, el nombre que asigna para > las IPs reversas es cpe-xx.xx.xx.xx.telecentro-reversos.com.ar > Ahora, si vos no le pedis que asigne el reverso correspondiente a la > IP 186.19.44.44 siempre va a mostrar esa información. > Si, y no. Pero es muy largo para desarrollar acá. Lo que decís es cierto a medias. Si intentas hacer la resolución directa de cpe-xx.xx.xx.xx.telecentro-reversos.com.ar vas a ver que no existe. Entonces un smtp que intente verificar el hostname haciendo una resolución inversa de tu ip de origen y luego directa con el hostname que recibió de la anterior, tiene todo el derecho de sospechar que algo anda mal. > rblcheck está muerto desde el 2004 y no tiene actualizada la lista de > servidores RBL > Es probable, ando lejos del email, precisamente por estos problemas. > > Saludos > > PD: perdón por salir con los tapones de punta, pero cuando leo cosas > que confunden y no ayudan en nada me molesta bastante. > No hay problema. Es probable que tenga errores de concepto o que no me haya podido explicar. Igual que los que escribimos acá, intento ayudar. Saludos, Sebastián.
-- Para desuscribirte tenés que visitar la página https://listas.linux.org.ar/mailman/listinfo/lugar-gral/ Usuarios Software Libre Argentina (USLA)
