¿Cómo puedo permitir pop3 local pero hacer cumplir pop3s remotos en mi ubuntu / postfix / dovecot OS / MTA / MDA

Navega tus respuestas
1

Me gustaría permitir que los clientes locales accedan al correo electrónico a través de cualquiera de pop3, pop3s, imap o imaps si así lo desean, pero restringen los clientes remotos a pop3s e imaps, de forma similar a como lo hago para smtp usando la directiva postfix : 

smtpd_recipient_restrictions =
permit_mynetworks,
permit_sasl_authenticated,
reject_unauth_destination

La funcionalidad más adecuada que puedo encontrar en Dovecot es forzar a todos los clientes a usar autenticación segura con la directiva disable_plaintext_auth = yes .

Como solución alternativa, puedo configurar disable_plaintext_auth = no y agregar líneas a mi firewall utilizando iptables para permitir el acceso a puertos específicos, como por ejemplo: 

sudo iptables -A INPUT -i eth0 -p tcp -s 192.168.0.0/24 --dport 143 -j ACCEPT
sudo iptables -A INPUT -i eth0 -p tcp --dport 993 -j ACCEPT
sudo iptables -A INPUT -i eth0 -p tcp -s 192.168.0.0/24 --dport 110 -j ACCEPT
sudo iptables -A INPUT -i eth0 -p tcp --dport 995 -j ACCEPT

Pero esto parece bastante intrépido y presenta más problemas, por ejemplo: esto no permitirá STARTTLS a través del puerto 110 desde un cliente remoto.

¿Hay alguna otra forma de permitir que los clientes locales se autentiquen con mi sistema postfix / dovecot a través de una conexión segura o insegura mientras aún obliga a los clientes remotos a usar solo una autenticación segura?

    
pregunta Mr Purple 10.04.2013 - 00:48
fuente

1 respuesta

0

No desea enviar contraseñas sobre texto simple independientemente de si se trata de un usuario local o no local. Es solo una mala práctica y los argumentos de "pero solo está atravesando mi conmutador de confianza" inevitablemente conducen a una trampa. Cometerá un error, o alguien más lo hará, y de repente descubrirá meses más tarde que, de algún modo, los atacantes pudieron rastrear la contraseña de la cuenta de su CEO y filtrar correos electrónicos confidenciales a sus competidores. Simplemente no lo hagas.

Además, parte de tu premisa es incorrecta. Lo que hace postfix a través de permit_mynetworks no es lo mismo que lo que haría imap en texto claro. Esta opción de configuración le indica a postfix que acepte mensajes para retransmitir desde cualquier red local sin requerir autenticación , por lo que no habrá contraseñas que atraviesen la conexión no cifrada. Sin embargo, si permite que los clientes locales hablen directamente con imap o pop3, enviará las contraseñas en texto simple a través de la red. De lo contrario, ¿cómo distinguiría el servidor imap el usuario bob y el usuario alice?

Si su preocupación es la sobrecarga del cifrado, entonces realmente no es algo de qué preocuparse. AES es realmente rápido, especialmente si está utilizando un sistema con soporte AES-NI en el procesador (y un sistema operativo relativamente reciente que lo utiliza en openssl). El impacto en el rendimiento no vale la pena de preocuparse por las contraseñas de los usuarios que atraviesan la red sin cifrar.

    
respondido por el mricon 10.04.2013 - 16:06
fuente

Lea otras preguntas en las etiquetas

¿Hay algún motivo de seguridad técnica para no comprar el certificado SSL más barato que pueda encontrar? Destrucción de espacio libre