Una de newbie sobre SENDMAIL

Cristian Othon Martinez Vera cfuga en itam.mx
Mar Mar 6 18:25:54 CST 2001 

On Tue, 6 Mar 2001, Qbito Freaky wrote:

> A ver:

 Por pasos.

> Siempre he entendido que el relay en Sendmail
> significa que si sendmail reside en el host A,
> éste permite el envio de mensajes de un host B a
> un C, indistintamente de si alguno de esos hosts
> son el mismo (A=C ó A=B ó B=C) o todos a la vez
> (A=B=C).

 Es mas amplio. Significa que si yo tengo sendmail en el host A, puedo
definir una serie de hosts B1, B2 ... Bn que pueden utilizar el servicio
para envio de correo.

> Entiendo que el archivo /etc/mail/access (al
> menos para mi sistema ese es el path), contiene
> hosts, dominios o direcciones de correo que
> reciben un tratamiento especial, es decir, que
> puedo agregar lineas como estas:
>
> host1		RELAY
> host2		RELAY
> dominio1	RELAY
> host3		REJECT
> dominio2	REJECT
> spammer en who.knows.com	REJECT
>
> etc... donde los hosts o dominios que tienen un
> RELAY estan permitidos para hacer esto y por el
> contrario los hosts, dominios y direcciones que
> tienen REJECT, no tienen permitida esta
> operacion.

 De acuerdo.

> Ahora, lo que no sé bien es: si yo digo que
> permito relay al dominio1 como en el ejemplo de
> arriba. ¿Qué pasa si desde un MUA conectado a
> Internet por medio de una cuenta dial-up a un ISP
> X quiero enviar un correo COMO alguien en dominio1?
> ¿Esa 'regla' en el /etc/mail/access me permite
> enviarlo porque lo estoy enviando como alguien en
> el dominio1?, ¿o debería negarme el envío porque
> estoy CONECTADO desde un host que NO pertenece al
> dominio1 sino al dominio al que pertenezca mi ISP
> (porque me conecto vía dial-up)?
> ¿A quien hace referencia esa línea en el archivo
> access entonces? ¿Al dominio al que pertenece el
> usuario COMO el que estoy enviando el mensaje o
> al HOST desde DONDE me estoy conectando para
> enviarlo?

 No te niega el servicio. En tu ejemplo, al conectarte al ISP, te asigna
una direccion de un dominio reconocido por el ISP como valido para
'relay'. Si esta bien configurado, debe permitirte enviar correo como
cualquier destinatario valido. Si tu inventas (siguiendo los terminos de
tu ejemplo) dominio1, el MUA del ISP deberia rechazar el envio.
/etc/mail/access en cuestion de RELAY hace referencia al host desde donde
te conectas para enviar correo.

> Tengo problemas con el relay en mi servidor de
> correo. Tiene open-relay y alguien ha estado
> enviando spam como loco desde ahí. Así que en
> busca de una solución y leyendo algunos manuales
> y artículos sobre sendmail me surgió esta duda,
> que no me he podido responder solo, porque mi
> servidor deja que cualquier hijo de vecina se
> conecte, mande correo con cualquier identidad y
> lo haga hacia cualquier parte.
>
> Aparte, la versión que tengo de sendmail es la
> 8.9.3 y según la página de sendmail, esta versión
> vienen con el relay negado por default pero no le
> veo por donde. Así que bajé la última versión -
> 8.11.3 - y resulta que con esa, de plano NO
> PERMITE EL RELAY para ningún lado.
>
> Y algo raro sucede: por ejemplo, quiero mandar un
> mensaje como alguien en dominio1 (donde 'dominio1'
> es el nombre del host mismo y 'alguien' es un
> usuario válido del sistema) hacia
> alguienmas en hotmail.com y me manda un mensaje de
> "Relay Denegado", así que meto a 'dominio1' al
> access:
>
> dominio1	RELAY
>
> y también al archivo /etc/mail/relay-domains y al
> /etc/mail/local-hostnames y NADA.
>
> Pero si agrego a hotmail.com en
> /etc/mail/relay-domains... Kataplum!!! Funciona
> como si nada. Así que este comportamiento me
> confunde aún más. Y eso que lo único que hago es
> cambiar los binarios (el de sendmail 8.9.3 y
> 8.11.3), i.e. los archivos de configuración son
> los mismos (/etc/sendmail.cf principalmente).

 Aunque se llamen igual el sendmail.cf de 8.9.3 y el de 8.11.3 SON
DIFERENTES. Tienes que generar el sendmail.cf de acuerdo a la version de
sendmail que utilices.

> Con la versión vieja, deja que TODO pase a través
> de él, pero con la nueva, no deja que NADA pase,
> a menos que el dominio "del destinatario" se
> encuentre en /etc/mail/relay-domains. ¿No es
> demasiado raro este comportamiento?

 Nop. Para eso sirve /etc/mail/relay-domains.

> Este servidor es un servidor remoto que yo
> administro, y en mi red local tengo una máquina
> linux como gateway para todas las demás (con una
> sola IP válida), así que enmascara y forwardea
> vía ipchains.
>
> En otra caja linux de adentro (de la red local),
> configuré el fetchmail para bajar por POP3 mi
> correo. Pero ¿como puedo configurar la(s)
> máquina(s) para que desde esta local, que ni
> siquiera es visible, ni mucho menos tiene una IP
> ni nombre válidos, pueda enviar correo, haciendo
> que el sendmail de la local se entienda con el de
> mi servidor remoto (que si tiene un Fully
> Qualified Domain Name e IP válida) y el correo de
> mi máquina local salga por medio de la remota y a
> nombre de ella?.

 Revisa la documentacion de sendmail (README.cf )referente a dominios
virtuales, enmascaramiento de host y lo que menciona acerca de SMART_HOST.
Despues de eso, revisa la documentacion de sendmail referente a dominios
virtuales, enmascaramiento de host y lo que menciona acerca de
SMART_HOST, porque no entenderas en la primera lectura, ya que por lo que
necesitas, tienes que agregar mucha funcionalidad (y por lo tanto muchos
parametros) a tu archivo de configuracion.

> Si se puede hacer, ¿tendría que pasarle los
> mensajes del sendmail de la máquina de adentro al
> gateway y luego a la máquina remota? o ¿se podría
> hacer directamente desde adentro hacia la remota?

 Despues de leer lo anterior tu decidiras cual es la mejor solucion para
tu caso.

> Por último: ¿donde encuentro referencias para
> usar: SSL en sendmail y POP3 (o IMAP) y/o
> POP3-antes-de-SMTP para que los usuarios se
> autentifiquen antes de poder enviar correo usando
> mi servidor?

http://poprelay.sourceforge.net/

> Si alguien llego a esta parte del mensaje, muchas
> gracias por su paciencia y si lo pueden contestar
> (con una respuesta útil), pues más agradecido
> aún...

					Saludos
-- 
 (o- Cristian Othon Martinez Vera <cfuga en itam.mx>  Pulchrum est paucorum
//\     http://eniac.rhon.itam.mx/~cfuga/          hominum.
v_/_

---------------------------------------------------------
para salir de la lista, enviar un mensaje con las palabras
"unsubscribe ayuda" en el cuerpo a majordomo en linux.org.mx

Más información sobre la lista de distribución Ayuda