Релей

[midhex]

Здравствуйте
Мне хочется разобраться в одной ситуации. У меня есть сервер с корпоративной почтой. Есть куча удалённых сотрудников. У некоторых сотрудников провайдер перехватывает 25й порт, и релеит почту через свой сервер. В итоге получается, что какой-то левый сервер присылает мне почту с моих же локальных адресов(естесственно, не авторизовавшись). При этом клиент авторизуется каким-то образом на сервере этого провайдера. Как быть в такой ситуации? Вообще, это нормльно?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[dikens3]

Здравствуйте
Мне хочется разобраться в одной ситуации. У меня есть сервер с корпоративной почтой.

Ты не одинок. Нас много.

Есть куча удалённых сотрудников.

Опять же, ты не первый. :-)

У некоторых сотрудников провайдер перехватывает 25й порт, и релеит почту через свой сервер.

Этот провайдер урод и его стоить поменять. Если в договоре не прописано ничего про закрытие портов и т.п. То дать по голове прову, для профилактики.

В итоге получается, что какой-то левый сервер присылает мне почту с моих же локальных адресов(естесственно, не авторизовавшись).

Тут ты сам дурак, зачем принимать почту от своих E-Mail'ов без правил безопасности? К примеру нужно определить подсети(внутреннюю сетку) и аутентифицированных клиентов. Все остальные с твоим доменом в адресе отправителя идут в лес. Можно сделать SPF (Многое по теме есть в прилепленной теме)

При этом клиент авторизуется каким-то образом на сервере этого провайдера.

Скорее всего просто пров IP-Адреса из своего диапазона пропускает без аутентификации.

Как быть в такой ситуации?

выше описал.

Вообще, это нормально?

Всё в мире относительно. RFC не панацея, везде есть плюсы и минусы.

P.S. Если у тебя есть домен: @МОЙ_ДОМЕН, то за все письма от твоего домена отвечаешь ты и твой почтовый сервер. Политику безопасности сделай.

[midhex]

Тут ты сам дурак, зачем принимать почту от своих E-Mail'ов без правил безопасности? К примеру нужно определить подсети(внутреннюю сетку) и аутентифицированных клиентов. Все остальные с твоим доменом в адресе отправителя идут в лес. Можно сделать SPF (Многое по теме есть в прилепленной теме)

Такую почту я не принимаю. Сотрудников много, я не могу всех заставить сменить провайдера. Про spf - я знаю что это такое.. как он может помочь мне в этой проблеме - я не понимаю. Пока, как временное решение - открыл на другом порту smtp

[dikens3]

Ну SPF это как вариант.

К примеру тебе приходит письмо от @МОЙ_ДОМЕН.ru
Проверяешь SPF запись, в которую ты же сам занёс IP-Адрес своего почтового сервера (100.100.100.100 к примеру)
Сравниваешь IP-Адреса и если не совпадают, тогда отправляешь в лес.

Клиент(пользователь) тебе говорит, у меня не отправляется почта, ты ему говоришь чтобы он обратился к прову. Провайдер либо откроет, либо тоже пошлёт в лес.
Делать что-то нужно.

1. Web-Интерфейс на своём сервере.
2. Принимаешь весь спам и пользователи счастливы.(Чем собственно ты и занимаешься)

По другому никак. :-) Да здравствует спам. :-)

Я своим пользователям сказал, что если вам придёт письмо от имени Ген. Директора:
Вы уволены!!!
Что вы будете делать?
- Побежим разбираться в Ген. Директору
А он скажет что не отправлял и пойдёт ипать сист. администратора.
- А я не знаю?
Вот это как? Зачем такой админ, который не в курсе дел?

P.S. Лично мне моя попа дорога, и никто, абсолютно никто не пришлёт нам письмо с именем моего домена, и я сделаю всё, чтобы этого не сделали спамеры. (т.е. подделали мой E-Mail)

[abanamat]

Этот провайдер урод и его стоить поменять. Если в договоре не прописано ничего про закрытие портов и т.п. То дать по голове прову, для профилактики.

Юзер? Офигевший юзер? Скорость зарежем, 2 процента дропа в канал введем и будем динамить. Меняй на здоровье. Ни одному прову наглые юзеры не нужны.

[Alex Keda]

неа...
когда у тебя тыщщи их - никто заморачиваться не убдет.
я вон дома тоже на 587 сижу - и ничё...

[midhex]

Ну SPF это как вариант.

К примеру тебе приходит письмо от @МОЙ_ДОМЕН.ru
Проверяешь SPF запись, в которую ты же сам занёс IP-Адрес своего почтового сервера (100.100.100.100 к примеру)
Сравниваешь IP-Адреса и если не совпадают, тогда отправляешь в лес.

Проблемы в этом нет ) я же сказал, что на моей стороне с этим всё в порядке.

Клиент(пользователь) тебе говорит, у меня не отправляется почта, ты ему говоришь чтобы он обратился к прову. Провайдер либо откроет, либо тоже пошлёт в лес.

Точно. Так всё и происходит. Провайдер посылает в лес )

Делать что-то нужно.

1. Web-Интерфейс на своём сервере.
2. Принимаешь весь спам и пользователи счастливы.(Чем собственно ты и занимаешься)

Веб интерфейс есть) и я же говорил, что не принимаю такую почту )

Я своим пользователям сказал, что если вам придёт письмо от имени Ген. Директора:

Спасибо, воспользуюсь примером )

[dikens3]

Хорошую мысль тебе говорят, у тебя почтовик какой?
Если Exim, то повесь на 587 порт дополнительно(будет 2 порта слушать 25,587 :-) ), как сказал лис. И пров его не режет. :-) И Волки сыты(пров) и овцы целы (Пользователи)

[midhex]

Хорошую мысль тебе говорят, у тебя почтовик какой?
Если Exim, то повесь на 587 порт дополнительно(будет 2 порта слушать 25,587 :-) ), как сказал лис. И пров его не режет. :-) И Волки сыты(пров) и овцы целы (Пользователи)

Exim. Про порт я уже писал.. )

[dikens3]

Извиняюсь, вообще чё-то начал читать через строчку.

[Alex Keda]

Хорошую мысль тебе говорят, у тебя почтовик какой?
Если Exim, то повесь на 587 порт дополнительно(будет 2 порта слушать 25,587 :-) ), как сказал лис. И пров его не режет. :-) И Волки сыты(пров) и овцы целы (Пользователи)

Exim. Про порт я уже писал.. )

чё-то я упустил тему про порт - где писал-то?

[dikens3]

Пока, как временное решение - открыл на другом порту smtp

[borisen]

Есть еще такая штука как firewall

Код: Выделить всё

if ipfw then

ipfw add fwd 1.2.3.4,25 tcp from any to 1.2.3.4 26

Последнее число ставишь какое угодно да и все... Этим ты добьешься того что ексим будет слушать тот порт который тебе нравиться, ну и 25 полюбому

[Alex Keda]

вообщще-то это решается средствами самого экзим.
а вот подпорки изобретать - не надо...