LINUX.ORG.RU
решено ФорумAdmin

spf для ip

 , ,


0

1

Добрый день!
Подскажите, пожалуйста, есть ли аналог spf для ip?
То есть необходимо задать список доменов с которых может слаться почта с данного ip, чтобы принимающая сторона рубила все что не из этого списка.


Ну так сделай у каждого домена spf c этим IP, а на самом сервере проверяй mail from.

AS ★★★★★
()
Ответ на: комментарий от AS

уже сделаны spf и dkim.
проблема в том, что это ip шлюза, за nat'ом корпоративная сеть, ip не первый раз попадает в бан spamhaus'а, притом спам не проходит через mail сервер, а идет напрямую от неустановленных рабочих станций, куда-то наружу.
авирь на рабочих станциях стоит, spamhaus cbl заявляет, что это бот kelihos.

vren
() автор топика
Ответ на: комментарий от vren

проблема в том, что это ip шлюза, за nat'ом корпоративная сеть, ip не первый раз попадает в бан spamhaus'а

Хе-хе... :-)

HOST=`hostname`
IP=`host $HOST|grep "has address"|sed "s/.* //"`

iptables -t nat -I PREROUTING -s 192.168.0.0/16 -p tcp --dport 25 -j DNAT --to $IP

Ну или вообще запретить форвард для -p tcp --dport 25 с выводом в лог, чтобы знать, кто долбится.

AS ★★★★★
()
Ответ на: комментарий от AS

Нельзя запретить использовать внешние smtp сервера, тк многие сотрудники их используют. Спам гарантировано летит не через наш сервер, но из нашей сети.

vren
() автор топика
Ответ на: комментарий от vren

спам не проходит через mail сервер, а идет напрямую от неустановленных рабочих станций, куда-то наружу

iptables -I FORWARD -p tcp -m tcp -m multiport --dports 25,465 -s 192.168.0.0/16 -j DROP
gh0stwizard ★★★★★
()
Последнее исправление: gh0stwizard (всего исправлений: 1)
Ответ на: комментарий от vren

Нельзя запретить использовать внешние smtp сервера

На самом деле и можно, и нужно. Вопрос только в том, какой из двух способов выбрать - запретить совсем, и чтобы руками smtp-сервер вписывали корпоративный, или же прозрачный редирект на него же. Слать через какой-то далёкий SMTP вовсе не обязательно (да, привет всяким идиотским SPF/DKIM :-) ).

AS ★★★★★
()
Ответ на: комментарий от vren

Нельзя запретить использовать внешние smtp сервера

Можно и нужно запретить соединения наружу на 25 порт: MUA там нечего делать, им нужно ходить куда-нибудь на 587 (по RFC) или 465, а неподконтрольных MTA у тебя внутри быть не может.

baka-kun ★★★★★
()
Ответ на: комментарий от vren

Можно установить для 25 порта лимит на количество соединений с в единицу времени например. Можно логгировать соединения на 25 порт и разбираться кто гадит.

MrClon ★★★★★
()
Ответ на: комментарий от MrClon

Благодарю, логгирование помогло, обнаружили и выкурили ботов.

vren
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.