Simulación
Evaluación
RACEv2
Víctor M. Armas Hidalgo
Universidad de Las Palmas de Gran Canaria
Hola, buenas tardes…
Me presento, soy el prototipo de
sistema automatizado de evaluación
de sistemas de correo para la
certificación RACEv2
¿Sorprendidos?
He sido diseñado y creado por el
gran maestro Jesús Sanz para
tramitar las solicitudes de
certificados RACEv2 y ayudar a
los solicitantes…..
¿Hay alguien que se anime a
testearme y probar el
proceso de evaluación?
Hola, yo quería obtener la certificación
RACEv2. Soy Víctor, de la ULPGC
(Universidad de Las Palmas de G.C.)
¿Qué tengo que hacer?....
Para empezar, tienes que rellenar la solicitud, que se
encuentra en http://www.rediris.es/racev2/sol/,
donde me indicarás que criterios quieres que te
evaluemos
Muy bien…. Vamos a hacer la solicitud…
Muy bien. En breve nos pondremos en contacto contigo
para comenzar la evaluación. Vete preparándonos una
cuenta de correo temporal dentro de tu dominio para
poder hacer pruebas, así como los datos técnicos de tu
servicio, como servidores smtp, pop e imap, página del
webmail, etc…
Perfecto…
He creado la cuenta [email protected]
El servidor smtp es smtp.ulpgc.es.
El servidor pop/imap es correo.ulpgc.es.
Y el webmail es http://correo.ulpgc.es
Ok, con esta información ya podemos comenzar la
evaluación…. Vamos a ver que opciones has
seleccionado y que nivel Racev2 alcanzas….
¿Preparado? Allá vamos….
Criterio 1: Control de acceso al puerto 25 en entrada/salida
Vamos a escanear tu subred buscando que servidores tiene abierto el puerto 25
(smtp)
[[email protected] ~]# nmap 193.145.138.0/19 -p25
Starting nmap 3.70 ( http://www.insecure.org/nmap/ ) at 2008-03-29 23:00 WET
Interesting ports on smtp1.gestion.ulpgc.es (193.145.138.5):
PORT
STATE SERVICE
25/tcp open smtp
Interesting ports on smtp2.gestion.ulpgc.es (193.145.138.6):
PORT
STATE SERVICE
25/tcp open smtp
Interesting ports on smtp3.gestion.ulpgc.es (193.145.138.13):
PORT
STATE SERVICE
25/tcp open smtp
Nmap run completed -- 8192 IP addresses (6259 hosts up) scanned in 150.304 seconds
Criterio 1: Control de acceso al puerto 25 en entrada/salida
Muy bien, solo aparecen los 3 servidores smtp que has declarado.
Por tanto cumples este criterio, y obtienes…
100 Gallifantes….
Digo… 100 puntos RACE….
Bueno, vamos al siguiente criterio
Criterio 2: Reglas anti-relay
Vamos a tratar de hacer un envío desde una IP y dirección externa
a tu universidad hacia una cuenta externa, a ver que pasa…
# telnet smtp.ulpgc.es 25
220 smtp1.ulpgc.es ESMTP Postfix
HELO tester.rediris.es
250 smtp1.ulpgc.es
MAIL FROM: [email protected]
250 Ok
RCPT TO: [email protected]
554 <[email protected]>: Relay access denied
Perfecto, 100 puntos más…. Seguimos
Criterio 3: Política de trazas (logs)
Tienes que tener almacenados los logs de correo de los últimos 6
meses. A ver, muéstrame los logs del 21/11/07 a las 00:19h
Nov 21 00:19:35 smtp1 postfix/smtpd[31424]: NOQUEUE: reject: RCPT from nbdsl387.ontera.net[64.25.177.133]: 450 <[email protected]>: Recipient address
rejected: Service unavailable; from=<[email protected]>
to=<[email protected]> proto=SMTP helo=<jetiller>
Nov 21 00:19:35 smtp1 postfix/smtpd[30850]: lost connection after RCPT from
unknown[189.155.32.218]
Nov 21 00:19:35 smtp1 postfix/smtpd[30850]: disconnect from unknown[189.155.32.218]
Nov 21 00:19:35 smtp1 postfix/smtpd[31422]: NOQUEUE: reject: RCPT from
unknown[200.162.42.66]: 554 Service unavailable; Client host [200.162.42.66] blocked
using zen.spamhaus.org; http://www.spamhaus.org/query/bl?ip=200.162.42.66;
from=<[email protected]> to=<[email protected]> proto=SMTP
helo=<mame>
Criterio 3: Política de trazas (logs)
Nov 21 00:19:35 smtp1 postfix/smtpd[31419]: NOQUEUE: reject: RCPT from
unknown[190.182.7.85]: 554 Service unavailable; Client host [190.182.7.85] blocked
using zen.spamhaus.org; http://www.spamhaus.org/query/bl?ip=190.182.7.85;
from=<[email protected]> to=<[email protected]> proto=SMTP
helo=<estacion5.mshome.net>
Nov 21 00:19:35 smtp1 postfix/pickup[30936]: A44FA7C43C: uid=501
from=<[email protected]>
Nov 21 00:19:35 smtp1 postfix/cleanup[30793]: A44FA7C43C: messageid=<[email protected]>
Nov 21 00:19:35 smtp1 postfix/qmgr[22098]: A44FA7C43C:
from=<[email protected]>, size=20168, nrcpt=1 (queue active)
Nov 21 00:19:35 smtp1 postfix/pipe[28747]: 0F8D27C428:
to=<[email protected]>, relay=pav_postfix, delay=1, status=sent (dummy)
Nov 21 00:19:35 smtp1 postfix/qmgr[22098]: 0F8D27C428: removed
Nov 21 00:19:35 smtp1 postfix/smtp[30956]: A44FA7C43C:
to=<[email protected]>, relay=correo-lvs.gestion.ulpgc.es[193.145.138.31],
delay=0, status=sent (250 Ok: queued as A73A818013)
Nov 21 00:19:35 smtp1 postfix/qmgr[22098]: A44FA7C43C: removed
Criterio 3: Política de trazas (logs)
Uy, uy, uy…
Nov 21 00:19:35 smtp1 postfix/qmgr[22098]: A44FA7C43C:
from=<[email protected]>, size=20168, nrcpt=1 (queue active)
Nov 21 00:19:35 smtp1 postfix/pipe[28747]: 0F8D27C428:
to=<[email protected]>, relay=pav_postfix, delay=1, status=sent
(dummy)
Nov 21 00:19:35 smtp1 postfix/qmgr[22098]: 0F8D27C428: removed
Eso es SPAM, yo no conozco esa web…
Criterio 3: Política de trazas (logs)
Bueno, en cualquier caso, cumples el criterio…. Bribón….
100 puntos más.
Criterio 4: Resolución inversa de MTAs
[[email protected] ~]# host smtp.ulpgc.es
smtp.ulpgc.es has address 193.145.138.5
smtp.ulpgc.es has address 193.145.138.6
smtp.ulpgc.es has address 193.145.138.13
[[email protected] ~]# host 193.145.138.5
5.138.145.193.in-addr.arpa domain name pointer smtp1.gestion.ulpgc.es.
[[email protected] ~]# host 193.145.138.6
6.138.145.193.in-addr.arpa domain name pointer smtp2.gestion.ulpgc.es.
[[email protected] ~]# host 193.145.138.13
13.138.145.193.in-addr.arpa domain name pointer smtp3.gestion.ulpgc.es.
ULPGC, 100 points
Criterio 6: Definición registros SPF
Criterio 6: Definición registros SPF
30 Criterios después….
Criterio 31: Estadísticas tráfico SMTP
A ver que tienes de esto…
Aquí tienes
un ejemplo…
Muy bien, ya he completado la evaluación. Tras sumar los puntos
obtenidos por los diferentes criterios, finalmente has acumulado
1800 puntos. Con esta puntuación, entras en la categoría del…
Nivel Avanzado
Felicidades….
En breve te remitiremos un documento oficial de Rediris que
certifique que el sistema de correo que administras ha conseguido
el nivel avanzado.
Eso, eso, a ver si así me valoran más y
me suben el sueldo…
Por último, recordarte que este certificado tiene una vigencia de 2
años, y que ya puedes eliminar la cuenta de prueba que has creado
para los test.
Muy bien, ha sido más sencillo de lo que
pensaba. Y no me ha dolido ni nada….
Y a todos los asistentes a esta presentación, les animamos a que
hagan sus solicitudes de evaluación, y que colaboren con el grupo de
trabajo RACEv2 aportando iniciativas y/o ayudando como evaluador.
Muchas gracias y hasta la próxima….
Descargar

presentación