LINUX.ORG.RU
ФорумAdmin

Контролировать почту


0

0

Стоит следующа задача. Надо чтобы пользователи которые получают почту не с локальных адресов а с других внешних типа mail.ru,yahoo.com и т.д. вся входящая почта и исходящая проходиkа только через локальный сервер которые выставлен наружу. Многие польз-вали устанавливают обход напрямую работу с внешними левыми почтовыми ящиками прописывая stmp,pop3: mail.ru. Меня это не устаривает. какие есть можно предпринять попытки настроек Postfix и Firewall (iptables), чтобы добиться выше указанного результата?

anonymous

Вопервых, раз пользователи могут заходить по smtp на mail.ru это уже плохо. Т.е. однозначно нужно как минимум зарыть в iptables порты 25 и 110. Только так можно запретить им напрямую ходить на mail.ru по smtp. Лучше вообще поставить squid и закрыть всем доступ по iptables. Указать им для отправки свой локальный smtp сервер (настройки стандартные). А вот pop3 это уже будет проблема, стандартных средств возможно даже нет. Т.е. теоритически нужно перехватить запрос (например iptables) перенаправить его на свой какой-то свой демон, который будет делать вид что он и есть pop3 on mail.ru, но на самом деле получит от пользователя имя и пароль, и будет пробрасывать пакеты от пользователя на mail.ru и обратно но, наврядли тебе подойдет такой вариант.

merlin-shadow
()

Все кому нужна почта с внешних адресов, дают тебе адрес сервера и логин:пароль, а ты с сервера делаешь fetchmail и кидаешь почту в локальный ящик, после проверки, разумеется.

sdio ★★★★★
()
Ответ на: комментарий от merlin-shadow

хорошо. от практике к делу. используя правила Iptables, которые помогут закрыть доступ через 25 порт почтового хоста mial.ru, напримере.

anonymous
()
Ответ на: комментарий от merlin-shadow

Имеется ввиду закрыть 25-порт с конкретной машины. А вообще правильнее закрыть по умолчанию все порты до :1024 хотябы. И уже по необходимости открывать кому - чего надо.

merlin-shadow
()
Ответ на: комментарий от spirit

Господа, хватит, вы закрываете все и вся. Суть задачи непонятна вам.

есть сайт mail.ru: закрываем его правилом iptables -t tcp -A FORWARD -s 0/0 -d smtp.mail.ru --todestinationport 25 -j REJECT

и так сайт за сайтом закрываем, что остается пользователю к качестве гейта прописать локальных smtp сервер, через локальный smtp почта дублирется админу, а так уже на устромрения создаются правила для конкретного пользотателя что с ними делать. вопрос в другом.

Как умно закрыть 25 порт через Iptables, за исключением только двух локальных серверов т.е. 192.168.5.1 или 234.235.222.121. Все. правило исключения подскажите на примере

iptables -t tcp -A FORWARD -s 0/0 -d 0/0 !192.168.5.1 !234.235.222.121 --todestinationport 25 -j REJECT

(закрыть все кроме двух IP).

anonymous
()
Ответ на: комментарий от anonymous

Извини, но помоему ты не рубишь фишку, мало-мальски грамотный виндузятник сможет это обойти на раз-два (ты даже и знать об этом не будешь). Зайди на www.opennet.ru и поищи описание iptables например http://www.opennet.ru/docs/RUS/iptables/ Но хозяин - барин

merlin-shadow
()
Ответ на: комментарий от merlin-shadow

на раз два три ... дыру в студию плз.

ps: все проверено пока на одном сервере. работает. теперь интересуют нюансы.

anonymous
()
Ответ на: комментарий от anonymous

iptables -t tcp -A FORWARD -s 0/0 -d 192.168.5.1 --todestinationport 25 -j ACCEPT
iptables -t tcp -A FORWARD -s 0/0 -d 234.235.222.121 --todestinationport 25 -j ACCEPT
iptables -t tcp -A FORWARD -s 0/0 -d 0/0 --todestinationport 25 -j REJECT

sdio ★★★★★
()
Ответ на: комментарий от anonymous

В частности, через открытые прокси, платные, бесплатные или просто глючные...(портмапинги всякие) они спокойно выходят на 25 порт снаружи. Спастись тут можно разве что протоколировать весь трафик iptables но такие объемы проблемно хранить и слишком долго и нудно анализировать.

merlin-shadow
()
Ответ на: комментарий от merlin-shadow

попробовал через http://massmail.boom.ru/instruksion.htm серверов пропустить хоть письмо одно ... результат отрицательный. там список адремов то закинуть, но вот чере зкакие порты можно слать ... так что ... очевидно.

anonymous
()

ну у вас и политика :)))
закрыть всем в сети доступ к внешним мыльницам. пусть используют корпоративный мэйл... а с мэйл.ру пусть себе форвард настраивают.

anonymous
()
Ответ на: комментарий от anonymous

>хмм ... как правило mail.ru находиться в RBL листинге, у меня postfix таких сразу в /dev/null/ :-)
а за что собственно??
у вас наверное нет клиентов, которые имеют адреса на мэйл.ру?
в россии это самый популярный почтовый сервис для халявщиков... хотя яндекс лучше, имхо
все остальное фуфло.

anonymous
()
Ответ на: комментарий от anonymous

и в догонку, mail.ru нет в нормальных RBL и не было.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.