Postfix + Policyd-weight

Há muita controvérsia no uso de blacklist em servidores de correio, eu particularmente sou favorável se esta for uma lista séria. O problema é que cada dia surge uma lista dessas nova. Deixando esse problema de lado vamos ao que importa. Implementar blacklists direto no postfix tem os seguintes inconvenientes:

• Cada lista age separadamente
• Aumento de carga no postfix
• Cache de DNS ineficiente

Em geral você teria linhas da seguinte forma no seu main.cf

smtpd_client_restrictions = permit_mynetworks,
permit_sasl_authenticated,
check_client_access hash:/etc/postfix/access,
...
reject_unknown_client,
reject_rbl_client combined.njabl.org,
reject_rbl_client sbl-xbl.spamhaus.org,
reject_rbl_client bl.spamcop.net,

Então se algum host estiver listado em uma ele é barrado, o que pode não ser muito justo... Dai vem a idéia de colocar pesos nas respostas de cada lista, com essa idéia nasceu o policyd-weight, ele aplica pesos as respostas das consultas as blacklists, checagem de reverso etc, com isso a probabilidade de ocorrer um falso positivo é bem menor, pois uma maquina listada em uma blacklist mas que possua reverso e se anuncie seu nome corretamente no comando HELO terá a chance de não ser bloqueada. Vale a pena olhar o site do projeto e ler a documentação http://www.policyd-weight.org

# apt-get install policyd-weight

# policyd-weight defaults > /etc/policyd-weight.conf

Acerte os pesos e as mensagens em /etc/policyd-weight.conf

#/etc/init.d/policyd-weight restart

coloque no seu /etc/postfix/main.cf

smtpd_recipient_restrictions = check_recipient_access hash:/etc/postfix/access,
permit_mynetworks,
...
reject_unauth_pipelining,
reject_unknown_recipient_domain,
reject_unauth_destination,
check_policy_service inet:127.0.0.1:12525

# postfix reload

HP Pavilion zv5000 e Windows Vista

Pois é, as vezes acontece... Instalei o Windows Vista Business no meu Notebook, um HP Pavilion zv5120us, a máquina sofreu leves modificações para suportar o Windows Vista (se é que pode-se dizer que ela suporta) a máquina ganhou:

• processador P4 2.8Ghz no lugar de um Celeron 2.8Ghz
• 2Gb de Ram (400Mhz) no lugar dos 512Mb (333Mhz)
• Disco IDE de 120Gb no lugar dos 40Gb originais
• Gravador de DVD no lugar do Combo

O Saldo das modificações ficou em aproximadamente R$1000,00 e estimo que o note me atenda por pelo menos mais 2 anos.

O Instalador do Windows mudou bastante, agora ele te faz o mínimo de perguntas possível, e logo na segunda tela te pede a chave do produto.

A Instalação correu bem, após alguns reboots tive o sistema instalado, ou melhor, parcialmente instalado. O saldo foi:

• Sem drive de som
• Sem drive de vídeo

O som parecia mole, pois tinha acesso a internet e após o primeiro windows update ele resolveu o problema instalando o driver.

O Vídeo é que deu a maior canseira, parecia que ninguém havia usado uma ATI IGP9000 com Windows Vista, na verdade o modelo da placa é ATI Radeon 9000/9100 IGP, depois de muito procurar no site da microsoft algumas dicas para drivers de ATI para windows XP que funcionam no Vista, tentei e o meu funcionou, ótimo tenho agora a resolução do monitor certa 1280x800 32bits de cores.

Ok, tudo parece bom, mas havia mais 2 atualizações para fazer de acordo com o windows update, ao fazer as atualizações, uma hotfix e a outra do drive de som, este último parou de funcionar. Tudo bem, quando se trata de microsoft... já é de se esperar que uma atualização de driver possa fazer o dispositivo deixar de funcionar. Pois bem, tentei a mesma abordagem da placa de vídeo, instalei o driver velho (para windows XP) e ai funcionou.

PFSense

Toda empresa que contrata um link de acesso a internet, precisa de um firewall. o Projeto PFSense é excelente, ele é uma derivação de um outro projeto de firewall em livecd o M0n0wall. O Diferencial do PFSense é que ele vem com PF (de onde vem parte do nome) o firewall do OpenBSD, suporte a gerência via SSH e claro, gerência via web com uma GUI muito intuitiva.

A Implementação do PFSense na empresa começa a ficar interessante quando colocamos mais de um equipamento rodando PFSense e habilitamos o CARP e realizamos a redundância do firewall.

Mais informações http://www.pfsense.com

Debian etch e PATA drivers

Não é de hoje o problema do debian-installer com maquinas muito novas, desta vez meu problema foi com suporte a DVD-Rom PATA(isso mesmo... um IDE comum), a maquina inicia o instalador, mas no momento em que inicia a detecção de hardware informa que não foi possível encontrar um leitor de mídia, e então a instalação para.

Lembrei das imagens de instalador Debian do JAPA, usei para instalar o sarge em maquinas com interfaces SATA mais recentes ao lançamento da versão do debian. Ao entrar no site do sujeito, lá estava a imagem do etch re-assemblada perfeita! Para instalar bastou inicializar com as seguintes opções: all_generic_ide=1

A versão do d-i do JAPA nada mais é que a original com um kernel mais recente, use-a por sua conta e risco.

Jeguepanel

Já conhece(http://www.jeguepanel.net)? Não? Excelente ferramenta, ainda em desenvolvimento, o nome é engraçado, mas nao deixe as aparências enganarem você. A idéia é realmente muito boa, o núcleo do sistema roda em perl e shell script, recebe os comandos via socket inet, os comandos são bem simples e interpretados por um switch/case do núcleo em shell script. mole de estender, mole de manter, molesa pra debugar.

O que você precisa pra usar:

• Linux (preferencialmente Debian)
• postfix
• openldap
• courier
  

Com essa ferramenta fica fácil manter diversos domínios de email em um pool de servidores ou não, me arrisco até a dizer que se tudo correr bem a ferramenta será uma boa opção para quem não se adaptou ao qmail-ldap.

Publicando o registro SPF de seu dominio

Publicar o registro SPF de seu dominio é uma tarefa simple, e antes de fazer isto é preciso saber alguns prós e contras

Prós:

• É possível definir quais maquinas estão autorizadas a enviar emails
• Acaba com emails forjados usando seu dominio
• Larga adesão por grandes domínios conhecidos
  

Contras:

• O mecanismo só funciona se o MTA que recebe a mensagem realizar a checagem
• Quebra o funcionamento de redirecionamentos (aliases, .forward, etc), contornável com o mecanismo SRS
  
• Não impede que maquinas autorizadas enviem spam
  

Sabendo disso, para publicar seu registro SPF permitindo o envio de emails somente a partir do servidor de correio definido no DNS de seu dominio através do registro MX:

dominio.com.br. IN TXT "v=spf1 mx -all"

salve, incremente o serial do dominio e recarregue a zona.

Outras opções de configuração e inclusive um wizard de configuração está disponível no site oficial do projeto
Publicamos o registro, mas ainda não configuramos nosso servidor para realizar a checagem desta informação, mas esta fica pra proxima.

Protegendo aliases de email

Aliase de email são endereços de email válidos no dominio de email, recebem spam também, os problemas começam quando mais de um destinatário recebe emails a partir daquele endereço, e quando essa lista fica grande... ai não tem jeito, você precisa proteger este endereço.

main.cf:
smtpd_recipient_restrictions =
...
check_recipient_access hash:/etc/postfix/enderecos_protegidos
...
smtpd_restriction_classes = remetentes_autorizados
remetentes_autorizados = check_sender_access hash:/etc/postfix/remetentes_autorizados, reject

enderecos_protegidos:
todos@dominio.com.br remetentes_autorizados
funcionarios@dominio.com.br remetentes_autorizados

remetentes_autorizados:
dominio.com.br OK
email@dominio.com.br REJECT
email2@outrodominio.com.br OK

# postmap /etc/postfix/enderecos_protegidos
# postmap /etc/postfix/remetentes_autorizados
# postfix reload

Pronto, agora somente os aliases de email todos@dominio.com.br e funcionarios@dominio.com.br, só recebem emails de:

• Endereços de origem @dominio.com.br
• Com exceção de email@dominio.com.br
• email@outrodominio.com.br

Esta lista pode aumentar e você pode também em endereços protegidos, criar arquivos de controles diferentes para cada alias de emai.

Mesmo com esta configuração, os aliases de email ainda não estão 100% protegidos, pois é possivel forjar o endereço de origem do remente, para melhorar mais um pouco isto, é preciso publicar o registro SPF do dominio em questão, mas isso fica pra outro dia.

Postfix + LDAP + Grupos unix como aliases

Muito se fala sobre usar LDAP em conjunto com Postfix, bom, na maioria das vezes o uso é natural atravez da libnss_ldap, ou seja, nesta situação o postfix nem sabe que está trabalhando com LDAP, pois a verificação da existencia de usuários unix é feita utilizando chamadas da glibc, então para a existencia de usuários OK, mas para aliases de emails ou emails de grupo mesmo que sem proteção fica assim:

main.cf:
alias_maps = ldap:/etc/postfix/ldap-groups.cf, ldap:/etc/postfix/ldap-aliases.cf

ldap-aliases.cf:
server_host = localhost
version = 3
search_base = ou=Aliases, dc=dominio, dc=com, dc=br
query_filter = (&(objectClass=nismailalias)(cn=%u))
result_attribute = rfc822mailmember

ldap-groups.cf:
server_host = localhost
version = 3
search_base = ou=Groups, dc=dominio, dc=com, dc=br
query_filter = (&(objectClass=posixGroup)(cn=%u))
result_attribute = memberUid


Depois explico como melhorar um pouco a proteção disto usando restriction_classes do postfix.