Darren's questions

Tenho dois servidores com versões diferentes de RHEL e firewalld. Ambos são configurados da mesma forma, mas se comportam de maneira diferente quando adiciono um IP de origem a uma zona.

Servidor A:

# cat /etc/redhat-release
Red Hat Enterprise Linux Server release 7.9 (Maipo)
# firewall-cmd --version
0.6.3

Servidor B:

# cat /etc/redhat-release
Red Hat Enterprise Linux release 9.3 (Plow)
# firewall-cmd --version
1.2.5

Ambos os servidores têm uma configuração de firewalld muito básica e posso fazer ssh em ambos (observe a inclusão do serviço ssh em ambas as configurações):

A:

# firewall-cmd --list-all
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: ens32
  sources:
  services: dhcpv6-client mysql ssh
  ports:
  protocols:
  masquerade: no
  forward-ports:
  source-ports:
  icmp-blocks:
  rich rules:

B:

# firewall-cmd --list-all
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: eno8303
  sources:
  services: cockpit dhcpv6-client ssh
  ports:
  protocols:
  forward: yes
  masquerade: no
  forward-ports:
  source-ports:
  icmp-blocks:
  rich rules:

Os servidores irão hospedar um banco de dados MariaDB, então preciso garantir que a porta 3306 seja permitida. Sem outras alterações, executo os seguintes comandos que (por experiência própria) permitem o tráfego da porta 3306 do endereço IP específico 192.168.1.2:

# firewall-cmd --new-zone=test --permanent
success
# firewall-cmd --zone=test --add-source=192.168.1.2 --permanent
success
# firewall-cmd --zone=test --add-port=3306/tcp --permanent
success
# firewall-cmd --reload

Depois de executar esses comandos, ainda posso fazer SSH no Servidor A a partir do endereço IP 192.168.1.2, mas não consigo fazer SSH no Servidor B. Posso, no entanto, fazer SSH no Servidor B a partir de outras máquinas. De 192.168.1.2 para o Server BI, obtenha:

# ssh ServerB
ssh: connect to host ServerB port 22: No route to host

Se eu criar a zona sem a --add-sourceopção, o SSH funcionará bem, então parece que esta opção tem um comportamento diferente no servidor mais recente. Isso está correto? Não consigo encontrar nenhum outro motivo para isso não funcionar.

Já vi (e acho que entendo) quando as verificações do DMARC falham no SPF porque, por exemplo, o e-mail foi encaminhado e coisas do gênero. Mas não creio que este seja o caso aqui. Todas as verificações em sites como MXtoolbox são aprovadas, mas recebo relatórios de falhas ocasionais como este (nosso host é SiteGround):

<record>
    <row>
      <source_ip>185.56.87.12</source_ip>
      <count>1</count>
      <policy_evaluated>
        <disposition>none</disposition>
        <dkim>pass</dkim>
        <spf>fail</spf>    <---- Note failure here
      </policy_evaluated>
    </row>
    <identifiers>
      <header_from>domain.com</header_from>
    </identifiers>
    <auth_results>
      <dkim>
        <domain>domain.com</domain>
        <result>pass</result>
        <selector>default</selector>
      </dkim>
      <spf>
        <domain>uk53.siteground.eu</domain>
        <result>pass</result>
      </spf>
    </auth_results>
  </record>
  <record>

O IP de origem pertence ao SiteGround (conforme confirmado por whois), portanto não parece ser um caso de encaminhamento de email. Ao verificar o MXtoolbox, você pode ver que nossos registros SPF incluem _spf.mailspamprotection.com:

Que por sua vez inclui 185.56.87.0/24:

Então não entendo por que está dizendo que o SPF falhou. Alguém pode explicar isso para mim?

Meu servidor postfix está configurado para rejeitar e-mails com base em algumas listas de bloqueio de spam administradas por spamhaus e spamcop.

Depois de perceber que tenho recebido mais spam do que o normal recentemente, descobri nos logs que a última vez que um e-mail foi rejeitado com base em um resultado positivo de qualquer um desses serviços foi há uma semana. Eu não fiz nenhuma alteração na minha configuração do postfix por algum tempo, então nada deveria ter mudado no servidor.

Eu executei os testes aqui - https://blt.spamhaus.com/ e todos eles estão passando, o que me confirma que os e-mails não estão sendo rejeitados como deveriam. Além disso, verifiquei a lista de bloqueio dos domínios de envio de alguns dos e-mails de spam que recebi e eles estão presentes, portanto, deveriam ter sido rejeitados.

Estou um pouco perdido sobre como solucionar isso ainda mais. Não parece haver nada nos logs do postfix que diga "Não estou verificando esta lista de bloqueio porque..." Como posso encontrar a causa raiz desse problema?

Minhas restrições de destinatário smtp são as seguintes:

smtpd_recipient_restrictions =
 permit_mynetworks
 check_sender_access
        hash:/etc/postfix/sender_access
 reject_unauth_destination
 reject_unauth_pipelining
 reject_invalid_hostname
 reject_non_fqdn_sender
 reject_unknown_sender_domain
 reject_non_fqdn_recipient
 reject_unknown_recipient_domain
 reject_rbl_client bl.spamcop.net
 reject_rbl_client zen.spamhaus.org
 reject_rbl_client dul.dnsbl.sorbs.net
 permit
smtpd_reject_unlisted_sender = yes

Saída de postconf -n:

alias_database = hash:/etc/aliases
alias_maps = hash:/etc/aliases
biff = no
command_directory = /usr/sbin
daemon_directory = /usr/lib/postfix/sbin
disable_vrfy_command = yes
home_mailbox = Mail/
mailbox_command = /usr/lib/dovecot/deliver
mailbox_size_limit = 0
message_size_limit = 20480000
mydestination = b3.localdomain, localhost.localdomain, localhost, /etc/postfix/bubbadomains, $myhostname
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
recipient_delimiter = +
relayhost = smtp.gmail.com
sender_bcc_maps = hash:/etc/postfix/sender_bcc
smtp_sasl_auth_enable = yes
smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
smtp_sasl_security_options = noanonymous
smtp_tls_session_cache_database = btree:${queue_directory}/smtp_scache
smtp_use_tls = yes
smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
smtpd_discard_ehlo_keywords = silent-discard, dsn
smtpd_helo_required = yes
smtpd_recipient_restrictions = permit_mynetworks check_sender_access hash:/etc/postfix/sender_access reject_unauth_destination reject_unauth_pipelining reject_invalid_hostname reject_non_fqdn_sender reject_unknown_sender_domain reject_non_fqdn_recipient reject_unknown_recipient_domain reject_rbl_client bl.spamcop.net reject_rbl_client zen.spamhaus.org reject_rbl_client dul.dnsbl.sorbs.net permit
smtpd_reject_unlisted_sender = yes
smtpd_relay_restrictions = permit_mynetworks check_sender_access hash:/etc/postfix/sender_access reject_unauth_destination reject_unauth_pipelining reject_invalid_hostname reject_non_fqdn_sender reject_unknown_sender_domain reject_non_fqdn_recipient reject_unknown_recipient_domain reject_rbl_client bl.spamcop.net reject_rbl_client zen.spamhaus.org reject_rbl_client dul.dnsbl.sorbs.net permit
smtpd_tls_cert_file = /etc/letsencrypt/live/mydomain.co.uk/fullchain.pem
smtpd_tls_key_file = /etc/letsencrypt/live/mydomain.co.uk/privkey.pem
smtpd_tls_session_cache_database = btree:${queue_directory}/smtpd_scache
smtpd_use_tls = yes
unknown_local_recipient_reject_code = 550

Estou recebendo cerca de 50 e-mails rejeitados por dia porque há um erro de digitação no endereço de e-mail de envio e está atingindo reject_unknown_sender_domain:

Jul 10 12:21:31 serverb3 postfix/smtpd[6647]: NOQUEUE: reject: RCPT from smtp.correctly-spelt-domain.co.uk[X.X.X.X]: 450 4.1.8 <[email protected]>: Sender address rejected: Domain not found; from=<[email protected]> to=<[email protected]> proto=ESMTP helo=<smtp.correctly-spelt-domain.co.uk>

Eu adicionei [email protected] OKao /etc/postfix/sender_access, executei postmap /etc/postfix/sender_accesse reiniciei o postfix.

Apesar check_sender_access hash:/etc/postfix/sender_accessde aparecer na minha smtpd_recipient_restrictionslista antes reject_unknown_sender_domainos emails continuam sendo rejeitados por esse motivo. Por que isso acontece e como posso corrigi-lo?

Postfix v2.11.3

Saída de postconf -n:

alias_database = hash:/etc/aliases
alias_maps = hash:/etc/aliases
biff = no
command_directory = /usr/sbin
config_directory = /etc/postfix
daemon_directory = /usr/lib/postfix
disable_vrfy_command = yes
home_mailbox = Mail/
mailbox_command = /usr/lib/dovecot/deliver
mailbox_size_limit = 0
message_size_limit = 20480000
mydestination = b3.localdomain, localhost.localdomain, localhost, /etc/postfix/bubbadomains, $myhostname
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
recipient_delimiter = +
relayhost = smtp.gmail.com
sender_bcc_maps = hash:/etc/postfix/sender_bcc
smtp_sasl_auth_enable = yes
smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
smtp_sasl_security_options = noanonymous
smtp_tls_session_cache_database = btree:${queue_directory}/smtp_scache
smtp_use_tls = yes
smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
smtpd_helo_required = yes
smtpd_recipient_restrictions = permit_mynetworks check_sender_access hash:/etc/postfix/sender_access reject_unauth_destination reject_unauth_pipelining reject_invalid_hostname reject_non_fqdn_sender reject_unknown_sender_domain reject_non_fqdn_recipient reject_unknown_recipient_domain reject_rbl_client bl.spamcop.net reject_rbl_client zen.spamhaus.org reject_rbl_client dul.dnsbl.sorbs.net permit
smtpd_reject_unlisted_sender = yes
smtpd_relay_restrictions = permit_mynetworks reject_unauth_destination reject_unauth_pipelining reject_invalid_hostname reject_non_fqdn_sender reject_unknown_sender_domain reject_non_fqdn_recipient reject_unknown_recipient_domain check_sender_access hash:/etc/postfix/sender_access reject_rbl_client bl.spamcop.net reject_rbl_client zen.spamhaus.org reject_rbl_client dul.dnsbl.sorbs.net permit
smtpd_tls_cert_file = /etc/letsencrypt/live/mydomain.co.uk/fullchain.pem
smtpd_tls_key_file = /etc/letsencrypt/live/mydomain.co.uk/privkey.pem
smtpd_tls_session_cache_database = btree:${queue_directory}/smtpd_scache
smtpd_use_tls = yes
unknown_local_recipient_reject_code = 550

PS. Também tentei resolver a causa raiz entrando em contato com os proprietários do domínio em questão e informando-os. Eu não estou prendendo a respiração, eles vão consertar isso.

Minha empresa forneceu um aplicativo baseado em Tomcat/MySQL para um cliente que, por padrão, usa http. A pedido do cliente, habilitei isso para usar https criando um certificado autoassinado. Isso funcionou sujeito ao erro esperado do navegador ao usar um certificado autoassinado.

Depois de um teste de penetração, eles decidiram que precisávamos desabilitar alguns protocolos e cifras SSL obsoletos, então alterei o conector SSL em meu tomcat server.xml para ficar assim:

    <Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
    maxThreads="150" scheme="https" secure="true"
    clientAuth="false" sslProtocol="TLS" sslEnabledProtocols="TLSv1.2,TLSv1.1" ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_RC4_128_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_DHE_RSA_WITH_AES_128_GCM_SHA256,TLS_WITH_AES_128_GCM_SHA256"
    keystoreFile="/path/to/keystore/file"
    keystorePass="password" />

Isso satisfez o teste de penetração e o aplicativo continuou a funcionar nos três navegadores principais (Chrome, Firefox e IE). No entanto, o teste de penetração também sinalizou que, idealmente, não deveríamos usar um certificado autoassinado, então, seguindo estes guias , criei um CSR e fiz com que o cliente criasse um certificado assinado em seu domínio interno (o servidor pode ser acessado por um par de URLs diferentes, daí a necessidade de criar um CSR com um SAN).

Adicionei o certificado a um novo keystore e corrigi o caminho no arquivo server.xml de forma apropriada. Agora, quando tento conectar, recebo o seguinte erro (isso é do Firefox, mas todos os navegadores produzem um erro semelhante):

Falha na Conexão Segura

Ocorreu um erro durante uma conexão com 172.31.1.36:8443. Não é possível se comunicar com segurança com o par: sem algoritmo(s) de criptografia comum. Código do erro: SSL_ERROR_NO_CYPHER_OVERLAP

A página que você está tentando visualizar não pode ser exibida porque não foi possível verificar a autenticidade dos dados recebidos. Entre em contato com os proprietários do site para informá-los sobre esse problema.

Meu entendimento é que o certificado não controla quais cifras ou protocolos devem ser usados, então não entendo por que isso aconteceu. Isso é um erro que cometi ao produzir o CSR ou pode ser um erro que o cliente cometeu ao gerar o certificado?

-EDITAR-

Parece que estou recebendo erros em todos os lugares que viro. Se eu tentar importar a chave para um keystore, recebo isto:

cat <keyfile> | openssl  pkcs12 -export -out <keystore>.p12
Enter pass phrase:
unable to load certificates

Ou isto:

keytool -importkeystore -srckeystore <keyfile> -srcstoretype pkcs12 -destkeystore <keystore>.jks
Enter destination keystore password:
Re-enter new password:
Enter source keystore password:
keytool error: java.io.IOException: toDerInputStream rejects tag type 45

Eu tenho o cliente para me enviar a cadeia de certificados e quando tento importar recebo este erro:

keytool -import -trustcacerts -alias tomcat -file <certchain>.p7b -keystore <keystorefile>.jks
Enter keystore password:
keytool error: java.lang.Exception: Input not an X.509 certificate

Eu encontrei algumas soluções sobre como converter o arquivo pkcs para x.509, mas depois recebi outros erros, então estou totalmente preso agora.