LINUX.ORG.RU
ФорумAdmin

почта, спам и вирусы


0

0

Доброго времени суток.

Проблема следующая. Какой-то из спамерских вирусов в письме был нечаяно открыт юзвером на клиенте (XP). После чего от него стали пачками уходить письма через наш почтовик с поддельными заголовками ОТ:
Можно ли в access запретить исходящие письма от всех, кроме ручками прописанных (реально имеющихся) юзеров? Хотел попробовать след.:

from: user1@mydomain.ru RELAY
from: user2@mydomain.ru RELAY
.............................
from @mydomain.ru REJECT

Но в этом случае как понять(без авторизации), что письмо было отправлено со внутреннего IP адреса, а не снаружи, иначе выдет открытый релей?
И в каком порядке sendmail обрабатывает строчки access, а то выйдет даже в этом случае, что вообще все запрещено?

anonymous
Ответ на: комментарий от anonymous

Ну да, именно это я и хотел сказать...

anonymous
()

А работающее решение здесь одно (IMHO):

1) Юзерам запрещается (административно + файрволл рубит любые коннекты во внешний мир на 110, 143, 220, 585, 993 порты кроме как с конторского почтовика) самим забирать почту с внешних серверов (mail.ru и т.д.);

2) Всю почту забирает конторский почтовик (связка fetchmail+procmail сортирует почту по юзерам);

3) На конторский почтовик ставится антивирус (clamav/drweb/kav по вкусу).

P.S. Вообще юзера, принимающие почту не с конторского почтовика -- неиссякаемый источник вирусов (ну нельзя выпрямить руки всем поголовно).

Obidos ★★★★★
()
Ответ на: комментарий от Obidos

Всё это слова. А реального решения никто не предложил.
Я здесь вижу решение в установке content-фильтра. Можно самому что-нибудь написать, а можно взять готовый. К примеру, поизвращаться с amavis-new. К нему заодно прицепить spamassassin и антивирь какой-нибудь.

Yakuza
()
Ответ на: комментарий от Yakuza

> Всё это слова. А реального решения никто не предложил.

Я что, должен был все конфиги расписать, начиная с правил iptables и кончая procmailrc???

> Я здесь вижу решение в установке content-фильтра.

На что?

На конторский почтовик? Юзера как качали вирусы с mail.ru, так и будут.

Каждому юзеру на его the_bat? Извините, но это не решение, это -- онанизм.

Obidos ★★★★★
()
Ответ на: комментарий от Obidos

При чем здесь iptables и procmail я не понял. Извините.
Только вопрос был простой: есть список внутренних адресов. Надо чтобы при отсылке из внутренней сети почтовка (ну или еще кто) проверяла эти адреса на валидность. Всё !!! Если нет ответа на этот вопрос, то и не надо ля-ля. Извините.

Yakuza
()
Ответ на: комментарий от Yakuza

> При чем здесь iptables и procmail я не понял.

Они служат для того, чтобы юзера не могли забирать почту с внешних серверов, а могли только с внутреннего. На который можно прикрутить хоть Spamassassin, хоть антивирус (на внешний почтовик _вы_ антивирус/фильтр не поставите). Нет вирусов -- нет исходящей вирусной почты.

> есть список внутренних адресов. Надо чтобы при отсылке из внутренней сети почтовка (ну или еще кто) проверяла эти адреса на валидность.

Теперь думаем над следующим вопросом: как это решает проблему того, что юзер цепляет вирус??? Пусть они цепляют вирусы, а мы будем блокировать попытки заразить других? То есть вы предлагаете бороться не с причиной, а со следствием?

Что же касается конкретики -- без авторизации не выйдет, в первом постинге вы авторизацию не хотите. Коли уж делать, то SMTP AUTH + access_db.

P.S. Был ранее слегка резок, остываю. ;)

Obidos ★★★★★
()

Первое, что приходит в голову, отсечь по IP адресу. Например, внутрення сетка у Вас 192.168.1.0. Точно нормальные (чистые) хосты скажем 192.168.1.15 и 192.168.1.17, остальные подозрительные В access пишем так:

192.168.1.15 RELAY 192.168.1.17 RELAY 127.0.0.1 RELAY

# Всем остальным в нашей сети запрещаем передавать сообщения 192.168.1 REJECT

Таким образом Вы отсечете зараженные хосты (конечно это можно сделать и на файрволе, наверное даже лучше). Далее - лечение хостов, антивирусы на почтовик, антиспам Вообще, это мера подходит только для первого реагирования. Бороться с вирусами и спамом таким образом неэффективно. Если по Вашему, (то есть на пользователях), что если рассылка пойдет с валидного пользователя? Письмо будет пропущено?

anonymous
()
Ответ на: комментарий от anonymous

Вирусы, скоторыми я последний раз сталкивася, шлют напрямую, без мэйл сервера. То что, сервер получает, это еще не значит, что через него отправка. А получать может и не только твой. Либо рубить файрволом, либо выдергивать пачкорд и лечить. А то можно и в какую нить базу ненадежных хостов влететь.

lvi ★★★★
()

Не совсем ответ на вопрос, но все же... Есть такая штуковина: прозрачный pop3 proxy http://p3scan.sourceforge.net/ Кто-нибудь ставил? Можете поделиться впечатлениями? Может быть это лучше чем просто запрещать соединения по pop3 пользователям?

2. Насколько я помню кое-кто заворачивал все соединения по smtp из локалки на стоящий на шлюзе почтовик с антивирусом. Чем не решение данной проблемы? Что-то вроде того, что написано в README от p3scan:

iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 25 -j REDIRECT --to 8025

Почему бы не попробовать?

3. Давно не пользуюсь sendmail, но ручка для такой настройки там, кажется, есть. В файлике, который cf/README в сырцах (В собранном sendmail может быть README.cf или что-то вроде) в описании FEATURE(access_map) (не помню точно) После описания обычного файлика access описывалась расширенное его использование и там что-то такое, кажется, было (все равно если можно отправить из локалки мимо своего relay-я не спасет, так что см. п. 2)

Dimai
()
Ответ на: комментарий от lvi

От автора поста...

Мда, господа, я не ожидал такой бурной дискусии. Всем спасибо. Объясняюсь.

Файрвалл стоит. Далее, я так именно спросил, потому что ЭТИ КОНКРЕТНЫЕ письма-вирусы имели правильный ip адрес внутренней сети, но поддельные заголовки FROM:. Поэтому я и хотел узнать, можно ли в access прописать проверку и на ip и на адрес отправителя, например 192.168.0.2 могут быть пользователи a,b,c. И т.д., просто я был не уверен в том, что знаю все возможности access. Теперь очевидно, что моя идея не взайдет.

Далее. Антивирусники и антиспамники - это все хорошо и правильно, но не совсем. Дело в том, что сервак у меня старый (RH 7.3), планируется в ближ. полгода переход на Alt Master (скорее всего). Мне бы не хотелось устанавливать что-нибудь свежее на старый сервер, так как это отнимет у меня слишком много времени.

Ну и последнее. Тут писали про утановку сборщиков писем с других п/я? fetchmail+procmail? кажется? А также про AUTH... Я с этим пока еще не сталкивался (точнее мало сталкивался), если не трудно киньте, где можно про данные сабджи хорошо почитать. Заранее сенкс. Если про забор удаленной почты подойдет, на новом серваке так и сделаю.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.