Zimbra Open Relay en las redes de confianza
2,974 views
Skip to first unread message
juanm
May 26, 2008, 5:45:35 PM5/26/08
to Zimbra Grupo
Hola, mi nombre es Juan Manuel.
Instalé Zimbra sobre un debian etch r3, todo me funcionó de maravillas
hasta que comencé a hacerle algunas pruebas, lo primero que detecté es
que el pone por defecto que el segmento de IP donde se encuentra
zimbra es una red de confianza, lo que implica que cualquir usuario
puede hacer open relay contra el servidor, utilizando un cliente de
correo o mediante comandos telnet.
En ese caso comencé a hacer pruebas, en priemra instancia, borré el
segmento de ip de la red de confianza y solo lo deje que pudiera
hacer relay 127.0.0.1. En este caso cuando utilizo algun cliente de
correo, me funciona bien, pero cuando utilizo la web me da el error de
Relay Access Deny.
Alguien sabe que hacer en este caso???
Instalé Zimbra sobre un debian etch r3, todo me funcionó de maravillas
hasta que comencé a hacerle algunas pruebas, lo primero que detecté es
que el pone por defecto que el segmento de IP donde se encuentra
zimbra es una red de confianza, lo que implica que cualquir usuario
puede hacer open relay contra el servidor, utilizando un cliente de
correo o mediante comandos telnet.
En ese caso comencé a hacer pruebas, en priemra instancia, borré el
segmento de ip de la red de confianza y solo lo deje que pudiera
hacer relay 127.0.0.1. En este caso cuando utilizo algun cliente de
correo, me funciona bien, pero cuando utilizo la web me da el error de
Relay Access Deny.
Alguien sabe que hacer en este caso???
amperisblog
May 27, 2008, 9:23:11 AM5/27/08
to Zimbra Grupo
Hola,
Yo lo que haria es dejar la configuración de Zimbra como estaba por
defecto... y si lo que quieres
es que ciertas maquinas de tu red interna no accedan al correo (o al
puerto 25) es prohibirles el paso
mediante el firewall iptables que tengas en tu linux.
Si quieres tocar el Zimbra prueba de poner la 127.0.0.1 y tambien la
IP del propio servidor... puede ser que eso te funcione.
Yo lo que haria es dejar la configuración de Zimbra como estaba por
defecto... y si lo que quieres
es que ciertas maquinas de tu red interna no accedan al correo (o al
puerto 25) es prohibirles el paso
mediante el firewall iptables que tengas en tu linux.
Si quieres tocar el Zimbra prueba de poner la 127.0.0.1 y tambien la
IP del propio servidor... puede ser que eso te funcione.
juanm
May 27, 2008, 2:33:01 PM5/27/08
to Zimbra Grupo
ok, bueno te cuento que eso ya lo hice, pondre a continuación las
diferentes acciones que hice.
Nota: El segmento IP de mi red LAN es 10.5.1.0/24
1-) Lo primero que hice fue dejar en la red de confianza 127.0.0.1
En este caso obtuve los siguientes resultados:
----> Cuando intento hacer relay contra el servidor me lo deniega, que
es lo que estaba buscando.
----> Cuando intento enviar mensajeria por la web, me da un error en
los log que dice Relay Access Deny
2-) Lo segundo que hice fue restaurar mi red dentro de la red de
confianza
En este caso obtuve los siguientes resultados:
-----> Puedo hacer relay contra el servidor(por ejemplo, mi nombre de
dominio es vcl.ecc.cu, y puedo enviar mensajes donde el from es de
usu...@yahoo.com y el to es para usu...@hotmail.com), eso lo puedo
hacer mediante un cliente de mensajeria o por comandos smtp contra el
servidor.
-----> En el caso del Web, funciona bien.
Mi pregunta es:
Siendo zimbra una solucion enterprise muy bien lograda y que ademas
tiene como MTA Postfix, uno de los MTA mas seguros de hoy dia, hayan
dejado ese hueco de seguridad tan grande.
Salu2
diferentes acciones que hice.
Nota: El segmento IP de mi red LAN es 10.5.1.0/24
1-) Lo primero que hice fue dejar en la red de confianza 127.0.0.1
En este caso obtuve los siguientes resultados:
----> Cuando intento hacer relay contra el servidor me lo deniega, que
es lo que estaba buscando.
----> Cuando intento enviar mensajeria por la web, me da un error en
los log que dice Relay Access Deny
2-) Lo segundo que hice fue restaurar mi red dentro de la red de
confianza
En este caso obtuve los siguientes resultados:
-----> Puedo hacer relay contra el servidor(por ejemplo, mi nombre de
dominio es vcl.ecc.cu, y puedo enviar mensajes donde el from es de
usu...@yahoo.com y el to es para usu...@hotmail.com), eso lo puedo
hacer mediante un cliente de mensajeria o por comandos smtp contra el
servidor.
-----> En el caso del Web, funciona bien.
Mi pregunta es:
Siendo zimbra una solucion enterprise muy bien lograda y que ademas
tiene como MTA Postfix, uno de los MTA mas seguros de hoy dia, hayan
dejado ese hueco de seguridad tan grande.
Salu2
Ale ZAdmin
Jun 27, 2008, 9:55:25 AM6/27/08
to Zimbra Grupo
Bueno, esto es exactamente lo que no quiero que pase. ¿Alguien sabe
como evitar este agujero grande de seguridad?
Se me ocurre una solución pero es teorica. haber si encontramos una
solucion para esto.
Si yo en mi servidor configuro dos placas de red. una con la ip
publica, conectada a internet. y la otra con una ip privada, entonces
habilito el puerto 25 en la que tiene IP publica, en cambio, en la
otra, no se lo habilito...
eso soluciona el problema? ¿esto funcionaria teoricamente?
On 27 mayo, 15:33, juanm <juan...@gmail.com> wrote:
> ok, bueno te cuento que eso ya lo hice, pondre a continuación las
> diferentes acciones que hice.
>
> Nota: El segmento IP de mi red LAN es 10.5.1.0/24
>
> 1-) Lo primero que hice fue dejar en la red de confianza 127.0.0.1
>
> En este caso obtuve los siguientes resultados:
> ----> Cuando intento hacer relay contra el servidor me lo deniega, que
> es lo que estaba buscando.
> ----> Cuando intento enviar mensajeria por la web, me da un error en
> los log que dice Relay Access Deny
>
> 2-) Lo segundo que hice fue restaurar mi red dentro de la red de
> confianza
>
> En este caso obtuve los siguientes resultados:
>
> -----> Puedo hacer relay contra el servidor(por ejemplo, mi nombre de
> dominio es vcl.ecc.cu, y puedo enviar mensajes donde el from es de
> usua...@yahoo.com y el to es para usua...@hotmail.com), eso lo puedo
>
> - Mostrar texto de la cita -
como evitar este agujero grande de seguridad?
Se me ocurre una solución pero es teorica. haber si encontramos una
solucion para esto.
Si yo en mi servidor configuro dos placas de red. una con la ip
publica, conectada a internet. y la otra con una ip privada, entonces
habilito el puerto 25 en la que tiene IP publica, en cambio, en la
otra, no se lo habilito...
eso soluciona el problema? ¿esto funcionaria teoricamente?
On 27 mayo, 15:33, juanm <juan...@gmail.com> wrote:
> ok, bueno te cuento que eso ya lo hice, pondre a continuación las
> diferentes acciones que hice.
>
> Nota: El segmento IP de mi red LAN es 10.5.1.0/24
>
> 1-) Lo primero que hice fue dejar en la red de confianza 127.0.0.1
>
> En este caso obtuve los siguientes resultados:
> ----> Cuando intento hacer relay contra el servidor me lo deniega, que
> es lo que estaba buscando.
> ----> Cuando intento enviar mensajeria por la web, me da un error en
> los log que dice Relay Access Deny
>
> 2-) Lo segundo que hice fue restaurar mi red dentro de la red de
> confianza
>
> En este caso obtuve los siguientes resultados:
>
> -----> Puedo hacer relay contra el servidor(por ejemplo, mi nombre de
> dominio es vcl.ecc.cu, y puedo enviar mensajes donde el from es de
> hacer mediante un cliente de mensajeria o por comandos smtp contra el
> servidor.
> -----> En el caso del Web, funciona bien.
>
> Mi pregunta es:
> Siendo zimbra una solucion enterprise muy bien lograda y que ademas
> tiene como MTAPostfix, uno de los MTA mas seguros de hoy dia, hayan
> servidor.
> -----> En el caso del Web, funciona bien.
>
> Mi pregunta es:
> Siendo zimbra una solucion enterprise muy bien lograda y que ademas
> dejado ese hueco de seguridad tan grande.
>
> Salu2
>
> On 27 mayo, 09:23, amperisblog <amperisb...@gmail.com> wrote:
>
>
>
> > Hola,
>
> > Yo lo que haria es dejar la configuración de Zimbra como estaba por
> > defecto... y si lo que quieres
> > es que ciertas maquinas de tu red interna no accedan al correo (o al
> > puerto 25) es prohibirles el paso
> > mediante el firewall iptables que tengas en tu linux.
>
> > Si quieres tocar el Zimbra prueba de poner la 127.0.0.1 y tambien la
> > IP del propio servidor... puede ser que eso te funcione.
>
> > On 26 mayo, 23:45, juanm <juan...@gmail.com> wrote:
>
> > > Hola, mi nombre es Juan Manuel.
>
> > > Instalé Zimbra sobre un debian etch r3, todo me funcionó de maravillas
> > > hasta que comencé a hacerle algunas pruebas, lo primero que detecté es
> > > que el pone por defecto que el segmento de IP donde se encuentra
> > > zimbra es una red de confianza, lo que implica que cualquir usuario
> > > puede hacer open relay contra el servidor, utilizando un cliente de
> > > correo o mediante comandos telnet.
>
> > > En ese caso comencé a hacer pruebas, en priemra instancia, borré el
> > > segmento de ip de la red de confianza y solo lo deje que pudiera
> > > hacer relay 127.0.0.1. En este caso cuando utilizo algun cliente de
> > > correo, me funciona bien, pero cuando utilizo la web me da el error de
> > > Relay Access Deny.
>
> > > Alguien sabe que hacer en este caso???- Ocultar texto de la cita -
>
> Salu2
>
> On 27 mayo, 09:23, amperisblog <amperisb...@gmail.com> wrote:
>
>
>
> > Hola,
>
> > Yo lo que haria es dejar la configuración de Zimbra como estaba por
> > defecto... y si lo que quieres
> > es que ciertas maquinas de tu red interna no accedan al correo (o al
> > puerto 25) es prohibirles el paso
> > mediante el firewall iptables que tengas en tu linux.
>
> > Si quieres tocar el Zimbra prueba de poner la 127.0.0.1 y tambien la
> > IP del propio servidor... puede ser que eso te funcione.
>
> > On 26 mayo, 23:45, juanm <juan...@gmail.com> wrote:
>
> > > Hola, mi nombre es Juan Manuel.
>
> > > Instalé Zimbra sobre un debian etch r3, todo me funcionó de maravillas
> > > hasta que comencé a hacerle algunas pruebas, lo primero que detecté es
> > > que el pone por defecto que el segmento de IP donde se encuentra
> > > zimbra es una red de confianza, lo que implica que cualquir usuario
> > > puede hacer open relay contra el servidor, utilizando un cliente de
> > > correo o mediante comandos telnet.
>
> > > En ese caso comencé a hacer pruebas, en priemra instancia, borré el
> > > segmento de ip de la red de confianza y solo lo deje que pudiera
> > > hacer relay 127.0.0.1. En este caso cuando utilizo algun cliente de
> > > correo, me funciona bien, pero cuando utilizo la web me da el error de
> > > Relay Access Deny.
>
>
> - Mostrar texto de la cita -
Reply all
Reply to author
Forward
0 new messages