LINUX.ORG.RU
ФорумAdmin

А как Вы контролируете порты и трафик клиентов imap/pop3/smtp сервисов?

 , , , ,


1

2

Всем привет! Появилась задача ограничить доступ к портам, обслуживающим сервисы imap/pop3/smtp. Сейчас клиенты локальной сети получают доступ к сторонним серверам imap/pop3/smtp через NAT. С целью безопасности (как минимум исключения возможности создания туннеля для своих нужд через данные порты) необходимо ограничить данный трафик по следующим критериям: 1. Обращения могут проходить только к определённым DNS именам - smtp.yandex.ru, imap.gmail.com и прочим, заданным администратором. 2. Должен ходить только трафик принадлежащий протоколу, никаких возможностей создания туннеля в собственных целях. 3. Желательно обеспечить «прозрачный» доступ, чтобы пользователи с ноутбуками не перенастраивали почтовые клиенты дома и в офисе.

Как Вы решаете такие или похожие задачи в своём окружении? Как правильно обеспечить доступ клиентов к данным сервисам?

Лично воспользовался nginx для проксирования imap/pop3/smtp, но есть проблемы с авторизацией на SMTP сервере yandex и передаче пароля в открытом виде (опции все перепробовал).

Эм... Каким это ты образом чудным собираешься прозрачно проксировать: imaps, submission port + smtps... ? Я думаю никаким. Или у тебя nginx суёт серты честно тобой купленные, вытряхивает оттуда пароль и прикидывается почтовым клиентом..? Я предполагаю, что есть смысл просто ограничить по DNS (ip можно заполнять ipset'ом, например из логов DNS выдёргивая такие запросы), и подсчитывать трафик на уровне tcp/ip. А вот доступ к портам воообще, есть смысл открывать только тем, кто авторизовался на squid к примеру, или в корпоративном jabber... :)

DALDON ★★★★★ ()
Ответ на: комментарий от DALDON

Клиент настроенный на (допустим) imap.yandex.ru 993 порт SSL обращается через дефолтный шлюз, шлюз данный трафик перекидывает на порт nginx проксирующий imap c поддержкой ssl подключения, далее nginx открывает сессию через stunnel4 с imap.yandex.ru. Это всё проверено, проблемы вызывают smtp и обязательно открытый текст при передаче креденшиалсов.

jonnyquest ()
Ответ на: комментарий от jonnyquest

проблемы вызывают smtp и обязательно открытый текст при передаче креденшиалсов.

Есть такой порт 465, он для 25 несёт такую же функцию, как 993 для 143.

no-dashi ★★★★★ ()

вроде всё решается банальным iptables, нет? nat для imap/pop3/smtp только на адреса из whitelist, а остальное drop.

Opxocc ()
Ответ на: комментарий от Opxocc

Каким костылём генерировать список ip адресов в whitelist? В кроне каждый раз скрипт обновления списка адресов запускать?

jonnyquest ()

создания туннеля для своих нужд через данные порты

Самое эффективное тут - ведение логов и доклад начальству.

anonymous ()
Ответ на: комментарий от no-dashi

А еще есть почтовые релеи с STARTTLS и запретом авторизации до начала защищенного сеанса по 25 порту. Например тот же Postfix

Pinkbyte ★★★★★ ()
Ответ на: комментарий от Pinkbyte

В общем предлагаете остановиться на IPTABLES и пополнении правил основываясь на выдаче nslookup smtp.gmail.com ?

jonnyquest ()
Ответ на: комментарий от jonnyquest

мне кажется что не должны часто меняться адреса, я бы для начала один раз сгенерил и забил бы до первой жалобы, а уж потом бы написал простенький скрипт в cron, если оно всё же меняется

Opxocc ()
Ответ на: комментарий от Opxocc

На второй день при использовании данного подхода всплыли проблемы - IP адреса серверов постоянно меняются, что у gmail.com, что у mail.ru. Наверное придётся вписывать диапазон возможных адресов

jonnyquest ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.