Контролировать почту

Вопервых, раз пользователи могут заходить по smtp на mail.ru это уже плохо. Т.е. однозначно нужно как минимум зарыть в iptables порты 25 и 110. Только так можно запретить им напрямую ходить на mail.ru по smtp. Лучше вообще поставить squid и закрыть всем доступ по iptables. Указать им для отправки свой локальный smtp сервер (настройки стандартные). А вот pop3 это уже будет проблема, стандартных средств возможно даже нет. Т.е. теоритически нужно перехватить запрос (например iptables) перенаправить его на свой какой-то свой демон, который будет делать вид что он и есть pop3 on mail.ru, но на самом деле получит от пользователя имя и пароль, и будет пробрасывать пакеты от пользователя на mail.ru и обратно но, наврядли тебе подойдет такой вариант.

Все кому нужна почта с внешних адресов, дают тебе адрес сервера и логин:пароль, а ты с сервера делаешь fetchmail и кидаешь почту в локальный ящик, после проверки, разумеется.

хорошо. от практике к делу. используя правила Iptables, которые помогут закрыть доступ через 25 порт почтового хоста mial.ru, напримере.

iptables -p tcp -A FORWARD -s 0/0 -d 0/0 !192.168.2.1 --destination-port 25 - j REJECT

но получему ругается 192.168.2.1.

У меня когда-то работала такая строка -A INPUT -p tcp -m tcp -s 192.168.2.1/32 --dport 25 -j DROP

Имеется ввиду закрыть 25-порт с конкретной машины. А вообще правильнее закрыть по умолчанию все порты до :1024 хотябы. И уже по необходимости открывать кому - чего надо.

iptables -A FORWARD -p tcp -m multiport --dports 25,110 -j DROP

Господа, хватит, вы закрываете все и вся. Суть задачи непонятна вам.

есть сайт mail.ru: закрываем его правилом iptables -t tcp -A FORWARD -s 0/0 -d smtp.mail.ru --todestinationport 25 -j REJECT

и так сайт за сайтом закрываем, что остается пользователю к качестве гейта прописать локальных smtp сервер, через локальный smtp почта дублирется админу, а так уже на устромрения создаются правила для конкретного пользотателя что с ними делать. вопрос в другом.

Как умно закрыть 25 порт через Iptables, за исключением только двух локальных серверов т.е. 192.168.5.1 или 234.235.222.121. Все. правило исключения подскажите на примере

iptables -t tcp -A FORWARD -s 0/0 -d 0/0 !192.168.5.1 !234.235.222.121 --todestinationport 25 -j REJECT

(закрыть все кроме двух IP).

Извини, но помоему ты не рубишь фишку, мало-мальски грамотный виндузятник сможет это обойти на раз-два (ты даже и знать об этом не будешь). Зайди на www.opennet.ru и поищи описание iptables например http://www.opennet.ru/docs/RUS/iptables/ Но хозяин - барин

на раз два три ... дыру в студию плз.

ps: все проверено пока на одном сервере. работает. теперь интересуют нюансы.

iptables -t tcp -A FORWARD -s 0/0 -d 192.168.5.1 --todestinationport 25 -j ACCEPT
iptables -t tcp -A FORWARD -s 0/0 -d 234.235.222.121 --todestinationport 25 -j ACCEPT
iptables -t tcp -A FORWARD -s 0/0 -d 0/0 --todestinationport 25 -j REJECT

В частности, через открытые прокси, платные, бесплатные или просто глючные...(портмапинги всякие) они спокойно выходят на 25 порт снаружи. Спастись тут можно разве что протоколировать весь трафик iptables но такие объемы проблемно хранить и слишком долго и нудно анализировать.

попробовал через http://massmail.boom.ru/instruksion.htm серверов пропустить хоть письмо одно ... результат отрицательный. там список адремов то закинуть, но вот чере зкакие порты можно слать ... так что ... очевидно.

ну у вас и политика :)))
закрыть всем в сети доступ к внешним мыльницам. пусть используют корпоративный мэйл... а с мэйл.ру пусть себе форвард настраивают.

хмм ... как правило mail.ru находиться в RBL листинге, у меня postfix таких сразу в /dev/null/ :-)

>хмм ... как правило mail.ru находиться в RBL листинге, у меня postfix таких сразу в /dev/null/ :-)
а за что собственно??
у вас наверное нет клиентов, которые имеют адреса на мэйл.ру?
в россии это самый популярный почтовый сервис для халявщиков... хотя яндекс лучше, имхо
все остальное фуфло.

и в догонку, mail.ru нет в нормальных RBL и не было.