Cuidado con el Gadget de Google Talk

Para aquellos que uséis el Gadget de Google Talk, pues en muchos sitios (empresas) no está capado como sí ocurre con el que viene embebido en la interfaz de Gmail, que sepáis que, aunque la autenticación no va en claro, sí lo van las conversaciones.

Para muestra, un botón:

0570  0a 0b 5c 6b 54 7d 28 4c  23 a1 6c 87 43 19 31 2a   ..[[“m”, “USU.
0580  78 61 22 75 52 30 67 6d  61 69 6c 2e 63 6f 6d 22   ARIO@gm ail.com
0590  2c 22 65 73 63 72 69 62  65 20 74 5c 75 30 30 63   ,”escrib e tu00c
05a0  33 5c 75 30 30 62 61 20  61 6c 67 6f 22 2c 22 31   3u00ba  algo“,”1
05b0  35 22 2c 22 63 22 5d 5d                                     5″,”c”]]

Lo que véis arriba es una captura (tcpdump -w prueba.cap -s 0 -ni eth0) donde podemos ver cómo la frase de “escribe tú algo” se lee sin problemas, además, se sabe a quién le hemos escrito, que en este caso es USUARIO@gmail.com.

El cliente basado en flash de GoogleTalk, no emplea TLS como sí lo haría un cliente cualquiera de Jabber que queramos configurar, sino que todo lo envía por el puerto 80 sin ningún tipo de cifrado.

Advertisements

¿Cómo tener tu MTA en casa y no ser bloqueado en el intento?

Siguiendo al hilo de los post sobre Motion, las imágenes salen de casa a través del correo. En un principio, con una configuración básica de Postfix no había mayor problema.

El problema ha surgido con el tiempo: los ISP y demás se han puesto un poco duros con el spam (se suele decir que en condiciones “normales”, el 97% del tráfico de email que recibe un MTA es Spam), así que, si te ven que envías correo con una IP dinámica (las típicas de cualquier ADSL) te meten en el mismo saco (pagamos justos por pecadores… o mejor dicho, redes botnets y demás “Inter-fauna”).

Para ello, sólo me ha quedado la opción de tener un “relayhost” (o smarthost), de tal modo que no realizaré la entrega de correo directamente al MTA destino, sino que usaré el de Gmail para que él, con mejor reputación que yo (que debo aparecer en todas las RBL’s), envíe el correo.

Para ello, usaré Postfix con el siguiente añadido en el fichero main.cf:

       relayhost = smtp.gmail.com:587
       smtp_use_tls = yes
       smtp_sasl_tls_security_options = $smtp_sasl_security_options
       smtp_sasl_tls_verified_security_options = $smtp_sasl_security_options
       smtp_sasl_auth_enable = yes
       smtp_sasl_password_maps = hash:/etc/postfix/password
       smtp_sasl_security_options =

Y donde el fichero /etc/postfix/password tendrá:

       #cat password
       smtp.gmail.com  CUENTA@GMAIL.COM:PASSWORD

No podemos olvidarnos que ese fichero:

1) Contiene en CLARO el usuario y password de una cuenta gmail (ojo con los permisos que le damos)

2) Tendremos que hacer un postmap para que se convierta en “password.db” (el típico fichero de postfix)

Como supongo que podréis imaginar, ¿todo el correo sale con CUENTA@GMAIL.COM como origen?. Sí pero no, es decir, como YO genero los correo con los scripts de Motion (o lo que me dé la gana), puedo poner el “mail from” que quiera, eso sí, la cuenta origen será la misma…