Permitir que apenas determinados usuários possam enviar e-mail pelo postfix. [RESOLVIDO]

marcosti
(usa Ubuntu)

Enviado em 16/09/2015 - 11:10h

Bom dia prezados!

Eu estou com um problema que talvez seja simples para vocês, mas que está me tirando o sono:
Aqui no serviço administro um servidor web, Ubuntu Server, como Apache e PHP5, onde são hospedadas páginas em sua grande maioria wordpress.
Acontece que essas páginas têm que poder enviar e-mail, seja para troca de senha dos administradores da página, seja para comunicados. Até então o servidor usava o sendmail instalado e as páginas podiam mandar emails a partir do servidor local para qualquer destino. Tudo funcionava, mas o servidor web caía na lista de SPAMS constantemente.
Diante disso, decidi abandonar o sendmail, e instalar o Postfix e controlar esses envios por usuários do sistema, por exemplo: Somente os usuários joao@localhost.com e pedro@localhost.com podem enviar email, no servidor, dessa forma os administradores das páginas, que são o joão e o pedro, teriam que colocar o login e senha na página para estas enviarem e-mails automaticamente.
Se alguém tentasse enviar e-mail de uma página com qualquer outro usuário que não fosse joao@localhost.com e pedro@localhost.com, com suas respectivas senhas, o envio seria negado.
Observação: O servidor não irá receber e-mails, apenas enviar.

Pesquisei sobre como fazer isso na NET, e tentei diversos tutorias, principalmente usando Postfix + SASL,mas não obtive sucesso. Assim que realizava as configurações, tentava um envio usando "telnet localhost 25" e não pedia autenticação, o e-mails eram enviados normalmente sem qualquer controle, tanto para e-mails do domínio quanto para externos.

Diante disso, vem a questão: A forma ideal para conseguir o que almejo, é usando o SASL mesmo ou teria outra forma melhor de resolver isso?
Outra coisa, se houver uma forma de bloquear o MAIL FROM a determinados usuários, mesmo que sem senha já seria de bom tamanho, afinal, eu poderia criar nomes cabulosos de e-mail e passar só para o administrador da página.

Desde já agradeço...

stefaniobrunhara
(usa CentOS)

Enviado em 16/09/2015 - 14:48h

Acho que isto não vai resolver seu problema. Tenho o postfix+sasl+etc... etc... comfigurado no meu servidor de email, e recentemente tive problema de spam no meus servidor, mesmo forçando o usuário com autenticação, meu servidor caiu no blacklist. O que percebei foi que o usuário apache é o cara que envia todos os e-mails das paginas e não cai neste critério de checagem de senha, me parece que o sistema php, digo wordpress, joomla, etc... usa uma espécie de credencial para enviar em nome do usuários@domnio.com.br, ou seja, o sistema verifica se a senha do usuário e verdadeira e com isto o apache envia.

Agora se se tem uma falha de código, na sua pagina o cara vai consegui enviar sem checar esta credencial.

O correto e você corrigir a falha, atualizar o php, atualizar a versão do wordpress etc... etc...

Primeira veze que aconteceu isto comigo, foi o squirrelmail, que estava muito antigo e o cara explorava uma fraque do código, atualizei e resolveu.

Segunda vez foi o wordpress, eu estava com algumas permissões "chmod 777" em alguns diretórios para o wordpress escrever no disco, então mudei isto e só permite o wordpress subir atualizações usando ftp, dai ele usa as permissões do usuário do ftp e desta forma o apache não consegue escrever código para envio de spam no meu disco.

marcosti
(usa Ubuntu)

Enviado em 17/09/2015 - 09:35h

Entendi Estefânio...

Eu realizei algumas ações semelhantes a essa que você indicou, outras ainda não. Vou seguir seus conselhos.
Aproveitando, uma outra dúvida.
Quando você implementou o SASL junto ao Postfix, a senha era exigida caso você enviasse o e-mail via "telnet localhost 25"?
Pergunto isso, pois eu segui vários tutorias, fiz os passo a passos, e muito deles até indicavam que que o SMTP estava trabalhando com autenticação quando eu dava o "EHLO", mas nunca pedia senha, seja em texto puro, base64 e o que for.

Abraço!

stefaniobrunhara
(usa CentOS)

Enviado em 17/09/2015 - 10:46h

No caso do telnet não vai pedir senha hora nenhuma, o que impede o envio é uma serie de checagem que o servidor faz. Se você esta em um link de internet com ip fixo e dns reverso configurado você vai conseguir enviar o email usando o telnet, o servidor vai achar que você é uma servidor configurado certo, caso não tenha o servidor vai recusar sua mensagem. O mecanismo SPF faz esta checagem.



# telnet 201.17.131.141 25
Trying 201.17.131.141...
Connected to 201.17.131.141.
Escape character is '^]'.
220 mail.sangiovanne.com.br ESMTP Postfix
helo ns15.xxx.com.br
250 mail.sangiovanne.com.br
mail from: cpd@xxx.com.br
250 2.1.0 Ok
rcpt to: estefanio@brunhara.com
550 5.7.1 <ns15.xxx.com.br>: Helo command rejected: Please see http://www.openspf.net/Why?s=mfrom;id=cpd%40xxx.com.br;ip=179.18x.218.23x;r=ns1.sangiovanne.com.br

Se você tentar enganar a checagem do dns você ainda tem a checagem do "ehlo"

# telnet 192.168.0.250 25
Trying 192.168.0.250...
Connected to 192.168.0.250.
Escape character is '^]'.
220 mail.sangiovanne.com.br ESMTP Postfix
ehlo localhost
250-mail.sangiovanne.com.br
250-PIPELINING
250-SIZE 20480000
250-VRFY
250-ETRN
250-AUTH PLAIN LOGIN CRAM-MD5
250-AUTH=PLAIN LOGIN CRAM-MD5
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN
mail from: suporte@sangiovanne.com.br
250 2.1.0 Ok
rcpt to: estefanio@brunhara.com
554 5.7.1 <localhost>: Helo command rejected: Nada de fake localhost por aqui

O assunto é muito extenso.

marcosti
(usa Ubuntu)

Enviado em 17/09/2015 - 13:21h

Valew Estefânio!!!
Obrigado mesmo pelas dicas.

Sei que já te explorei demais, mas caso tenha algum material que tu tenha seguido, o que pelo menos esteja mais correto e puder me enviar o link ficaria muito grato. marcosti@live.com

Abraço aê!!!

stefaniobrunhara
(usa CentOS)

Enviado em 17/09/2015 - 17:50h

Se você quiser instalar uma maquina virtual com centos 6.6 eu instalo o servidor para você ver funcionando e ter ele como fonte de estudo para acerta seu servidor de produção. Meu Skype é brunhara(Arroba)msn.com. Na época eu segui esta receita de bolo porém adaptei para o mandriva, e a 2 anos atrás adaptei para o centos 6

http://www200.pair.com/mecham/spam/virtual2p1.html
http://www200.pair.com/mecham/spam/virtual.html
http://www.numaboa.com/informatica/linux/instalacoes/1121-debian-postfix?showall=1