Auditoría de sistemas UNIX. Parte 23. Servidores de correo

Publicada en Por Sergio Hernando

Finalizamos el capítulo de red haciendo un análisis sobre los servicios de correo. Os adjunto un pequeño esquema de los puntos que componen esta serie, ya que al ser discontinua, más de uno se habrá perdido. En negrita está lo que hemos visto y en cursiva, lo que queda por ver.

1) Generalidades del sistema operativo
2) Análisis de red
3) Análisis de usuarios y grupos
4) Análisis de sistema de ficheros
5) Varios – Miscelánea

En el capítulo de hoy veremos los servicios de correo. Hablar de servicios de correo es casi equivalente a ver si se está empleando o no Sendmail.

Agentes de transferencia de correo. Una introducción.

Sendmail es un MTA (Mail Transfer Agent, agente de transferencia de correo) muy popular en el mundo UNIX, especialmente por su veteranía (hace poco cumplió 25 años en servicio) y por su buen rendimiento para propósitos generalistas. En estos últimos años, la calidad de Sendmail ha quedado algo en entredicho, no sólo por la aparición de otros MTAs con menos incidentes reconocidos, como Postfix, o Exim, sino porque su veteranía lo convierte en un producto eficiente, pero en algunos casos algo anticuado para la nueva hornada de servicios online. Además, Sendmail ha sido, es y será un servicio muy áspero para ser configurado correctamente, con lo se tiende a optar por soluciones menos complejas de mantener.

En este campo, Postfix está haciéndose con una importante cuota de mercado, junto a otros productos como el citado Exim. Dentro del amplio ramillete de MTAs, quizás los más usados sean, junto al rey Sendmail, los citados Postfix y Exim, acompañados de QMail (y su funcionamiento vía maildir y no mbox) y Microsoft Exchange Server. Éste último no nos interesa, ya que como es obvio, no es un MTA empleado en infraestructuras UNIX. Además, comparado a los MTAs UNIX, Exchange tiene un uso prácticamente testimonial, al poseer una cuota de mercado residual en relación a sus oponentes libres.

Hablar de Sendmail es hablar del MTA que se estima es responsable de que el 70% del correo electrónico mundial llegue a los buzones. Es, sin duda alguna, el MTA más utilizado, y esto hace que también sus problemas de seguridad sean muy acusados, por el largo número de empresas y servicios en línea que usan Sendmail. Además, su alto nivel de exposición convierte a Sendmail en el blanco idóneo para atacar servicios de correo en las máquinas, siendo habitualmente, ante problemas serios de seguridad, motivo de impactos económicos de grandes proporciones.

Por tanto, asumiremos que analizar correo es analizar si se emplea o no Sendmail, dejando al margen de nuestro alcance ver el grado de actualización de otros productos que puedan correr en la máquina en sustitución de Sendmail. Ya sabéis que en caso de duda, lo más fácil es tirar de Secunia y ver en qué estado está nuestro producto.

Ejemplo práctico

Analizar si hay actividad de servidores de correo es tan fácil como ver si hay actividad en los puertos 25. También es importante qué pasa con el 110, el correo entrante, pero mucho más importante es saber si el correo saliente de la máquina está adecuadamente protegido. El principal objetivo, lejos de que exploten la máquina por vulnerabilidades, es determinar si la máquina admite relay abierto.

La gram mayoría de las veces bastará con consultar el banner del servicio

shernando@shernando:~$ telnet sendmail.org 25
Trying 209.246.26.22…
Connected to sendmail.org.
Escape character is ‘^]’.
220 services.sendmail.org ESMTP Sendmail 8.14.0.Alpha1/8.14.0.Alpha1; Fri, 16 Mar 2007 13:15:18 -0800 (PST)
help
214-2.0.0 This is sendmail version 8.14.0.Alpha1
214-2.0.0 Topics:
214-2.0.0 HELO EHLO MAIL RCPT DATA
214-2.0.0 RSET NOOP QUIT HELP VRFY
214-2.0.0 EXPN VERB ETRN DSN AUTH
214-2.0.0 STARTTLS
214-2.0.0 For more info use «HELP «.
214-2.0.0 To report bugs in the implementation see
214-2.0.0 http://www.sendmail.org/email-addresses.html
214-2.0.0 For local information send email to Postmaster at your site.
214 2.0.0 End of HELP info
HELO sahw.com
250 services.sendmail.org Hello XXX.XXX.XXX.XXX [XXX.XXX.XXX.XXX] (may be forged), pleased to meet you
MAIL FROM:hola-ARROBA-sahw.com
250 2.1.0 hola-ARROBA-sahw.com… Sender ok
RCPT TO:sergio-ARROBA-sahw.com
550 5.7.1 sergio-ARROBA-sahw.com… Relaying denied. IP name possibly forged [XXX.XXX.XXX.XXX] quit
221 2.0.0 services.sendmail.org closing connection
Connection closed by foreign host.

El relay no está permitido :)

Resumen

Analizar los servicios de correo es importante para determinar si existe estado de vulnerabilidad, y además, para saber si existe relay abierto.

Tras consultar el banner del servicio, trataremos de enviar correo a través del servicio, para determinar si existe relay abierto. Todas las averiguaciones que hagamos irán a la sección correspondiente del informe.

Saludos, y buen fin de semana :)

Entrada relacionada

Auditoría de centros de procesamiento de datos. Parte 3: Aspectos contractuales y de gestión energética

Publicada en

Auditoría de centros de procesamiento de datos. Parte 2: Seguridad lógica

Publicada en

Auditoría de centros de procesamiento de datos. Parte 1: Seguridad física

Publicada en

Principios teóricos y prácticos de auditoría SSL

Publicada en

La importancia de seleccionar un alcance adecuado en auditoría de sistemas

Publicada en

8 comentarios sobre “Auditoría de sistemas UNIX. Parte 23. Servidores de correo

  2. Aunque en este artículo se habla de auditoría, mi consejo del día es que se deshabilite la repuesta del servidor SMTP que indica el tipo de producto y la versión.

    Los clientes del servicio SMTP no necesitan, en absoluto, conocer ni la versión ni el tipo del servidor SMTP y, más aún, todo tipo de información que se suministre gratuitamente y que no sea estrictamente necesaria es una amenaza potencial a la seguridad.

  3. Gura,

    Gracias. Es un buen descriptor de lo peligroso que es permitir el relay en un servidor de correo :)

    Felipe,

    Gracias por recordarlo. Más adelante habrá un capítulo dedicado a banners y greeting messages, pero eso no quita que sea más que recomendable que no informemos, porque a nada conduce, de la versión que empleamos. Toda la razón del mundo :)

    Gracias a los dos,

  4. Ayer entorno a las 3 de la mañana encontré este blog y llevo todo el día leyéndolo. Hacía tiempo que no encontraba algo tan útil. Muchas gracias por compartir tus conocimientos con nosotros :)

    Por cierto, sobre los artículos de la auditoría Linux, sería muy útil que los pusieras en PDF (todos juntitos)

    saludosss

  5. Lo mismo digo, que pusiera los artículos todos juntos en un bonito PDF sería un lujazo.

    Estoy impaciente por ver otra nueva parte :)

  6. Paco, timofonic,

    Gracias por el apoyo :)

    Es mi intención generar un PDF cuando termine la serie, con lo que caso de producirse tal evento, lo publicaré en el blog :)

    timofonic,

    Ahí tienes ya una nueva entrega. Que la disfrutes :)

    Saludos a todos,

  7. Hola.

    Agradezco la ayuda por la información en este foro. me ha ayudado mucho.

    solo que hoy en dia estoy lidiando con un problema ya que en mi unix no tengo el servicio de Telnet

    ]$ telnet localhost 25
    -bash: telnet: command not found

    Saben como puedo activarlo o realizar la prueba de otra forma?

    Graicas

  8. Estimado la verdad hace tiempo no encontraba artículos tan interesantes y valiosos como los que compartes, gracias y si lo tienes en pdf agradecería lo compartas así sea al correo electrónico personal. :D
    Congratulations!!!!!!!!

Comentarios cerrados.