Cómo activar un puerto alternativo para evitar a esos ISP que bloquean el 25

Imagen de Epe

Muchos ISP en el planeta están utilizando una técnica muy simple pero efectiva para prevenir el SPAM, y es bloquear el puerto 25 en salida para las conexiones home (tipicamente no para las empresariales).

Así los spammers no tienen la forma de enviar su desagradable spam desde una conexión home. Estas conexiones normalmente son poco costosas (en Quito las hay desde 19.99usd/mes y seguramente menos). Un spammer cobra digamos 40 o 50usd por enviar su puto spam y con eso ya tiene pagada su conexión.

Resultado del envio de spam? La IP queda marcada en listas negras y todos nosotros nos afectamos por la avaricia del pendejo que por 40usd llenó decenas de miles de buzones de spam.

Qué hace el spammer? Se cambia la MAC address y con eso resuelve el asunto porque el ISP le dará otra IP

no es sólo por el spammer, sino también por el qe tiene virus en su maquina, los virus envían spam y a ellos mismos usando smtp (25).

En el país, varios proveedores serios han comenzado a bloquear el puerto 25.. los spammers entoncs están migrando a otros proveedores pequeñitos que todavía no han tenido la chispa de bloquear el 25....

Ahora, los proveedores la unica solución que están dando a los usuarios que se quejan de no poder acceder a sus servidores es que usen de servidor de correo saliente el servidor del proveedor.. cosa que afecta mucho pues altera el cómo el SPF se interpreta.

La solución de parte nuestra ha sido muy simple: hemos abierto el message submission agent (587) que es un puerto diseñado para aceptar conexiones entrantes de usuarios autenticados .. los spammers no pueden usar el 587 para enviar su spam porque el MSA:
1- solo permite usuarios autenticados, o correos a usuarios cuyo destino sea el servidor mismo
2- no todos los servidores tienen el 587 abierto

Cómo se activa?

editar /etc/mail/sendmail.mc

buscar una linea que dice:

dnl DAEMON_OPTIONS(`Port=submission, Name=MSA, M=Ea')dnl

y cambiarla por:

DAEMON_OPTIONS(`Port=submission, Name=MSA, M=Ea')dnl

dnl es el comentario, lo que hice fue quitaarle el comentario.

Reconfigurar el sendmail.cf:

m4 /etc/mail/sendmail.mc > /etc/mail/sendmail.cf

reiniciar sendmail

service sendmail restart

verificar ya funcione:

netstat -anp|egrep 587

Configurar el servidor de correo saliente para que use el puerto 587, tengo aqui 3 tutoriales para thunderbird, outlook express y outlook:
http://www.nuestroserver.com/tutoflash/oeotropuerto.htm

http://www.nuestroserver.com/tutoflash/outlookotropuerto.htm

http://www.nuestroserver.com/tutoflash/thunderotropuerto.htm

Referencias: ver RFC 2476

http://www.sendmail.org/~gshapiro/8.10.Training/MSA.html

Felicitaciones a todos los proveedores que hasta el momento lo han hecho, que yo sepa: andinanet, satnet, stealth telecom

Comentarios

Como activar otro puerto en postfix

Imagen de marcelosilva

Según lo que encontre en internet para los usuarios que utilizamos postfix es necesario editar el archivo master.cf y añadir la siguiente linea.

587 inet n - n - - smtpd

Y cambiar el puerto en los clientes que se conectan al servidor de correo

no conozco mucho, pero te

Imagen de Epe

no conozco mucho, pero te sugeriría algo general: no estamos abriendo simplemente un puerto, sino que estamos activando el MSA. Quizá lo que estás indicando es abrir un segundo puerto(que no es lo mismo)..o lo que indicas activa el MSA?

Saludos
epe
--
NuestroServer.com
Ecuador: +(593) 9 9246504, +(593) 2 600 4454
USA: +1 305 359 4495, España: +34 91 7617884


Saludos
epe

EcuaLinux.com

+(593) 9 9924 6504

Servicios en Software Libre

En postfix también se puede

Imagen de RazaMetaL

En postfix también se puede lograr.

[url]http://www.davekb.com/browse_computer_tips:postfix_submission:txt[/url]

Para el envio de correos se debe configurar el SMTP en el MUA con la siguiente información:

Port: 587
TLS: yes
Usuario y contraseña

------------

Antes de preguntar visita el [url=http://www.sindominio.net/ayuda/preguntas-inteligentes.html]link[/url] :evil:

 

[img]http://www.bbspot.com/Images/News_Features/2003/01/os_quiz/debian.jpg[/img]

-----

Visita este [url=http://www.sindominio.net/ayuda/preguntas-inteligentes.html]link[/url] :evil:

[img]http://www.bbspot.com/Images/News_Features/2003/01/os_quiz/debian.jpg[/img]

(adsbygoogle = window.adsbygoogle || []).push({});

ah, quiero mostrar la

Imagen de Epe

ah, quiero mostrar la diferencia, aqui vemos un telnet al puerto 25, mira como acepta un mail desde una cuenta fantasma:

[eperez@eperez ~]$ telnet mail.nuestroserver.com 25
Trying 72.55.140.174...
Connected to mail.nuestroserver.com (72.55.140.174).
Escape character is '^]'.
220 srv9.tungurahua.com ESMTP Sendmail 8.13.8/8.13.8; Tue, 27 May 2008 12:03:20 -0500
ehlo epe
250-srv9.tungurahua.com Hello 9.190-154-125.uio.satnet.net [190.154.125.9] (may be forged), pleased to meet you
250-ENHANCEDSTATUSCODES
250-PIPELINING
250-8BITMIME
250-SIZE 12000000
250-ETRN
250-AUTH LOGIN PLAIN
250-DELIVERBY
250 HELP
mail from: ernesto@mailinator.com
250 2.1.0 ernesto@mailinator.com... Sender ok
quit
221 2.0.0 srv9.tungurahua.com closing connection
Connection closed by foreign host.

Si te dija te da un mensaje 250 Sender Ok... aceptó el sender, aún cuando es falseta (no soy mailinator.com)

ahora mira como al mismo servidor, intento hacerle lo mismo al puerto 587:

[eperez@eperez ~]$ telnet mail.nuestroserver.com 587
Trying 72.55.140.174...
Connected to mail.nuestroserver.com (72.55.140.174).
Escape character is '^]'.
220 srv9.tungurahua.com ESMTP Sendmail 8.13.8/8.13.8; Tue, 27 May 2008 12:04:45 -0500
ehlo epe
250-srv9.tungurahua.com Hello 9.190-154-125.uio.satnet.net [190.154.125.9] (may be forged), pleased to meet you
250-ENHANCEDSTATUSCODES
250-PIPELINING
250-8BITMIME
250-SIZE 12000000
250-AUTH LOGIN PLAIN
250-DELIVERBY
250 HELP
mail from: ernesto@mailinator.com
530 5.7.0 Authentication required
quit
221 2.0.0 srv9.tungurahua.com closing connection
Connection closed by foreign host.

Fijate el mensaje de error: 530 5.7.0 Authentication required

no tiene forma de autenticar, no le funciona el MSA...

Saludos
epe
--
NuestroServer.com
Ecuador: +(593) 9 9246504, +(593) 2 600 4454
USA: +1 305 359 4495, España: +34 91 7617884


Saludos
epe

EcuaLinux.com

+(593) 9 9924 6504

Servicios en Software Libre

No deberías anunciar

Imagen de acl

No deberías anunciar autenticación de texto plano en una conexión sin encripción. A mis mailservers les tengo anunciando starttls en una conexión en la que TLS no ha sido iniciado y recien después les anuncio que hay autenticación.

--
haber != a ver
ha != a

en efecto puede quitarse.

Imagen de Epe

en efecto puede quitarse. Para eso habría que usar encriptación, indicarle eso a miles de clientes no nos es posible en un principio

al que desee, quitar la a de la línea del sendmail.mc que les indiqué descomentar.
Saludos
epe
--
NuestroServer.com
Ecuador: +(593) 9 9246504, +(593) 2 600 4454
USA: +1 305 359 4495, España: +34 91 7617884


Saludos
epe

EcuaLinux.com

+(593) 9 9924 6504

Servicios en Software Libre

No, quitar la "a" en el

Imagen de acl

No, quitar la "a" en el DAEMON_OPTIONS es desactivar autenticación y con eso terminas con un proceso igualito al que te da problemas de spam, pero en otro puerto. No ganas nada.

A lo que me refería es que falta es poner un

define(`confAUTH_OPTIONS', `A p')dnl

para que las autenticaciones en texto plano solo aparezcan cuando esté activa la capa de encripción.
--
haber != a ver
ha != a

Para exim: 1. Agregar el

Imagen de deathUser

Para exim:

1. Agregar el puerto para MSA

daemon_smtp_port = 25 : 587

2. Rechazar conexiones no autenticadas en el puerto MSA:

acl_check_from:
# drop conexiones no autenticadas en el puerto MSA
drop condition = ${if ={$interface_port}{587} {1}{0}}
!authenticated = *
# accept todo lo autenticado ...
accept

Y listo, pueden implementar autenticación al nivel que gusten (con o sin encriptacion), ese paso está fuera del scope de este how-to ;)

bye
:)

Que bien.. ahora hay tres

Imagen de RazaMetaL

Que bien.. ahora hay tres recetas para lograr lo mismo y con diferentes ingredientes (sendmail, postfix y exim) :) Voy a colocar este thread en mis favoritos :evil:

------------

Antes de preguntar visita el [url=http://www.sindominio.net/ayuda/preguntas-inteligentes.html]link[/url] :evil:

 

[img]http://www.bbspot.com/Images/News_Features/2003/01/os_quiz/debian.jpg[/img]

-----

Visita este [url=http://www.sindominio.net/ayuda/preguntas-inteligentes.html]link[/url] :evil:

[img]http://www.bbspot.com/Images/News_Features/2003/01/os_quiz/debian.jpg[/img]

(adsbygoogle = window.adsbygoogle || []).push({});

no es que me desagrade..

Imagen de Epe

no es que me desagrade.. pero creo que deberían ponerlas en su propio howto para que el usuario de exim/postfix no se confunda.. digo, pienso eso. No les voy a llamar copiones.. copiones.

Saludos
epe
--
NuestroServer.com
Ecuador: +(593) 9 9246504, +(593) 2 600 4454
USA: +1 305 359 4495, España: +34 91 7617884


Saludos
epe

EcuaLinux.com

+(593) 9 9924 6504

Servicios en Software Libre