Страница 1 из 1
Релей
Добавлено: 2007-10-25 11:46:27
midhex
Здравствуйте
Мне хочется разобраться в одной ситуации. У меня есть сервер с корпоративной почтой. Есть куча удалённых сотрудников. У некоторых сотрудников провайдер перехватывает 25й порт, и релеит почту через свой сервер. В итоге получается, что какой-то левый сервер присылает мне почту с моих же локальных адресов(естесственно, не авторизовавшись). При этом клиент авторизуется каким-то образом на сервере этого провайдера. Как быть в такой ситуации? Вообще, это нормльно?
Re: Релей
Добавлено: 2007-10-25 12:12:28
dikens3
midhex писал(а):Здравствуйте
Мне хочется разобраться в одной ситуации. У меня есть сервер с корпоративной почтой.
Ты не одинок. Нас много.
Есть куча удалённых сотрудников.
Опять же, ты не первый. :-)
У некоторых сотрудников провайдер перехватывает 25й порт, и релеит почту через свой сервер.
Этот провайдер урод и его стоить поменять. Если в договоре не прописано ничего про закрытие портов и т.п. То дать по голове прову, для профилактики.
В итоге получается, что какой-то левый сервер присылает мне почту с моих же локальных адресов(естесственно, не авторизовавшись).
Тут ты сам дурак, зачем принимать почту от своих E-Mail'ов без правил безопасности? К примеру нужно определить подсети(внутреннюю сетку) и аутентифицированных клиентов. Все остальные с твоим доменом в адресе отправителя идут в лес. Можно сделать SPF (Многое по теме есть в прилепленной теме)
При этом клиент авторизуется каким-то образом на сервере этого провайдера.
Скорее всего просто пров IP-Адреса из своего диапазона пропускает без аутентификации.
Как быть в такой ситуации?
выше описал.
Вообще, это нормально?
Всё в мире относительно. RFC не панацея, везде есть плюсы и минусы.
P.S. Если у тебя есть домен: @МОЙ_ДОМЕН, то за все письма от твоего домена отвечаешь ты и твой почтовый сервер. Политику безопасности сделай.
Re: Релей
Добавлено: 2007-10-25 14:27:17
midhex
dikens3 писал(а):Тут ты сам дурак, зачем принимать почту от своих E-Mail'ов без правил безопасности? К примеру нужно определить подсети(внутреннюю сетку) и аутентифицированных клиентов. Все остальные с твоим доменом в адресе отправителя идут в лес. Можно сделать SPF (Многое по теме есть в прилепленной теме)
Такую почту я не принимаю. Сотрудников много, я не могу всех заставить сменить провайдера. Про spf - я знаю что это такое.. как он может помочь мне в этой проблеме - я не понимаю. Пока, как временное решение - открыл на другом порту smtp
Re: Релей
Добавлено: 2007-10-25 15:37:52
dikens3
Ну SPF это как вариант.
К примеру тебе приходит письмо от @МОЙ_ДОМЕН.ru
Проверяешь SPF запись, в которую ты же сам занёс IP-Адрес своего почтового сервера (100.100.100.100 к примеру)
Сравниваешь IP-Адреса и если не совпадают, тогда отправляешь в лес.
Клиент(пользователь) тебе говорит, у меня не отправляется почта, ты ему говоришь чтобы он обратился к прову. Провайдер либо откроет, либо тоже пошлёт в лес.
Делать что-то нужно.
1. Web-Интерфейс на своём сервере.
2. Принимаешь весь спам и пользователи счастливы.(Чем собственно ты и занимаешься)
По другому никак. :-) Да здравствует спам. :-)
Я своим пользователям сказал, что если вам придёт письмо от имени Ген. Директора:
Вы уволены!!!
Что вы будете делать?
- Побежим разбираться в Ген. Директору
А он скажет что не отправлял и пойдёт ипать сист. администратора.
- А я не знаю?
Вот это как? Зачем такой админ, который не в курсе дел?
P.S. Лично мне моя попа дорога, и никто, абсолютно никто не пришлёт нам письмо с именем моего домена, и я сделаю всё, чтобы этого не сделали спамеры. (т.е. подделали мой E-Mail)
Re: Релей
Добавлено: 2007-10-25 15:45:31
abanamat
dikens3 писал(а):Этот провайдер урод и его стоить поменять. Если в договоре не прописано ничего про закрытие портов и т.п. То дать по голове прову, для профилактики.
Юзер? Офигевший юзер? Скорость зарежем, 2 процента дропа в канал введем и будем динамить. Меняй на здоровье. Ни одному прову наглые юзеры не нужны.
Re: Релей
Добавлено: 2007-10-25 15:55:01
Alex Keda
неа...
когда у тебя тыщщи их - никто заморачиваться не убдет.
я вон дома тоже на 587 сижу - и ничё...
Re: Релей
Добавлено: 2007-10-25 18:04:34
midhex
dikens3 писал(а):Ну SPF это как вариант.
К примеру тебе приходит письмо от @МОЙ_ДОМЕН.ru
Проверяешь SPF запись, в которую ты же сам занёс IP-Адрес своего почтового сервера (100.100.100.100 к примеру)
Сравниваешь IP-Адреса и если не совпадают, тогда отправляешь в лес.
Проблемы в этом нет ) я же сказал, что на моей стороне с этим всё в порядке.
dikens3 писал(а):
Клиент(пользователь) тебе говорит, у меня не отправляется почта, ты ему говоришь чтобы он обратился к прову. Провайдер либо откроет, либо тоже пошлёт в лес.
Точно. Так всё и происходит. Провайдер посылает в лес )
dikens3 писал(а):
Делать что-то нужно.
1. Web-Интерфейс на своём сервере.
2. Принимаешь весь спам и пользователи счастливы.(Чем собственно ты и занимаешься)
Веб интерфейс есть) и я же говорил, что не принимаю такую почту )
dikens3 писал(а):
Я своим пользователям сказал, что если вам придёт письмо от имени Ген. Директора:
Спасибо, воспользуюсь примером )
Re: Релей
Добавлено: 2007-10-25 18:09:32
dikens3
Хорошую мысль тебе говорят, у тебя почтовик какой?
Если Exim, то повесь на 587 порт дополнительно(будет 2 порта слушать 25,587 :-) ), как сказал лис. И пров его не режет. :-) И Волки сыты(пров) и овцы целы (Пользователи)
Re: Релей
Добавлено: 2007-10-25 18:59:37
midhex
dikens3 писал(а):Хорошую мысль тебе говорят, у тебя почтовик какой?
Если Exim, то повесь на 587 порт дополнительно(будет 2 порта слушать 25,587 :-) ), как сказал лис. И пров его не режет. :-) И Волки сыты(пров) и овцы целы (Пользователи)
Exim. Про порт я уже писал.. )
Re: Релей
Добавлено: 2007-10-25 21:33:13
dikens3
Извиняюсь, вообще чё-то начал читать через строчку.
Re: Релей
Добавлено: 2007-10-25 23:43:43
Alex Keda
midhex писал(а):dikens3 писал(а):Хорошую мысль тебе говорят, у тебя почтовик какой?
Если Exim, то повесь на 587 порт дополнительно(будет 2 порта слушать 25,587 :-) ), как сказал лис. И пров его не режет. :-) И Волки сыты(пров) и овцы целы (Пользователи)
Exim. Про порт я уже писал.. )
чё-то я упустил тему про порт - где писал-то?
Re: Релей
Добавлено: 2007-10-26 9:36:05
dikens3
Пока, как временное решение - открыл на другом порту smtp
Re: Релей
Добавлено: 2007-11-02 12:29:54
borisen
Есть еще такая штука как firewall
Код: Выделить всё
if ipfw then
ipfw add fwd 1.2.3.4,25 tcp from any to 1.2.3.4 26
Последнее число ставишь какое угодно да и все... Этим ты добьешься того что ексим будет слушать тот порт который тебе нравиться, ну и 25 полюбому
Re: Релей
Добавлено: 2007-11-02 15:43:01
Alex Keda
вообщще-то это решается средствами самого экзим.
а вот подпорки изобретать - не надо...