URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 91578
[ Назад ]
Исходное сообщение
"Exim 4.71  - Закрытие аунтификации SMTP из вне"
Отправлено Auxilium , 16-Май-11 13:05 
Есть корпоративная сеть (10.2.1.0/24, 10.2.2.0/24), в ней находится сервер почты (10.2.1.12) настроен nat на ASA 5510, у всех локальных пользователей интернет с одного выделенного адреса, на почтовый сервер АСОЙ дается отдельный статический адрес.

Как сделать чтобы пользователи из вне могли только получать почту, но не отправлять.

Почта настроена по статье _http://jared.kiev.ua/2010/01/isp-mailserver-1-exim/

mail# uname -v
FreeBSD 8.2-RELEASE #0: Sat May  7 10:32:35 MSD 2011     root@RT-MX-001.site.ru:/usr/src/sys/i386/compile/mail.site
Содержание
Сообщения в этом обсуждении
"Exim 4.71  - Закрытие аунтификации SMTP из вне"
Отправлено DeadLoco , 16-Май-11 13:35 
> Как сделать чтобы пользователи из вне могли только получать почту, но не
> отправлять.

Нужно, чтобы извне был доступен только поп3/имап протокол, а смтп файрволлом ограничить до МХ-ов.

"Exim 4.71  - Закрытие аунтификации SMTP из вне"
Отправлено Vitaly_loki , 16-Май-11 13:35 
> Есть корпоративная сеть (10.2.1.0/24, 10.2.2.0/24), в ней находится сервер почты (10.2.1.12)
> настроен nat на ASA 5510, у всех локальных пользователей интернет с
> одного выделенного адреса, на почтовый сервер АСОЙ дается отдельный статический адрес.
> Как сделать чтобы пользователи из вне могли только получать почту, но не
> отправлять.
> Почта настроена по статье _http://jared.kiev.ua/2010/01/isp-mailserver-1-exim/
> mail# uname -v
> FreeBSD 8.2-RELEASE #0: Sat May  7 10:32:35 MSD 2011  
>   root@RT-MX-001.site.ru:/usr/src/sys/i386/compile/mail.site

Сделать SMTP-AUTH? Средствами SMTP-сервера ограничить возможность релея только с локальных адресов? А внешним пользователям разрешить POP3/IMAP

"Exim 4.71  - Закрытие аунтификации SMTP из вне"
Отправлено Auxilium , 16-Май-11 15:00 

>  Нужно, чтобы извне был доступен только поп3/имап протокол, а смтп файрволлом ограничить до МХ-ов.

smtp ограничил на АСЕ - почта не ходит


> Сделать SMTP-AUTH? Средствами SMTP-сервера ограничить возможность релея только с локальных
> адресов? А внешним пользователям разрешить POP3/IMAP

SMTP-AUTH - есть но пароли у пользователей типа 123 - - итог понятен))
релей закрыт

"Exim 4.71  - Закрытие аунтификации SMTP из вне"
Отправлено gibbon , 16-Май-11 15:46 
>>  Нужно, чтобы извне был доступен только поп3/имап протокол, а смтп файрволлом ограничить до МХ-ов.
> smtp ограничил на АСЕ - почта не ходит
>> Сделать SMTP-AUTH? Средствами SMTP-сервера ограничить возможность релея только с локальных
>> адресов? А внешним пользователям разрешить POP3/IMAP
> SMTP-AUTH - есть но пароли у пользователей типа 123 - - итог
> понятен))
> релей закрыт

Прпишите в конфиге exim
auth_advertise_hosts = 192.168.0.0/16

Это заставит exim показывать возможность авторизации только для указанной сети, а авторизацию он не принимает если не анонсировал ее ранее.

"Exim 4.71  - Закрытие аунтификации SMTP из вне"
Отправлено Auxilium , 17-Май-11 08:42 
> Прпишите в конфиге exim
> auth_advertise_hosts = 192.168.0.0/16
> Это заставит exim показывать возможность авторизации только для указанной сети, а авторизацию
> он не принимает если не анонсировал ее ранее.

хм... т.е. подсети которых в параметре нет, будут просто "заворачиваться"...
//сегодня постараюсь попробовать...

"Exim 4.71  - Закрытие аунтификации SMTP из вне"
Отправлено gibbon4ik , 17-Май-11 12:46 
>> Прпишите в конфиге exim
>> auth_advertise_hosts = 192.168.0.0/16
>> Это заставит exim показывать возможность авторизации только для указанной сети, а авторизацию
>> он не принимает если не анонсировал ее ранее.
> хм... т.е. подсети которых в параметре нет, будут просто "заворачиваться"...
> //сегодня постараюсь попробовать...

Сети которых нет в auth_advertise_hosts не смогут пересылать почту через ваш Exim даже используя авторизацию. А пересылка снаружи без авторизации у вас надеюсь и так закрыта, иначе вы получите open relay.

"Exim 4.71  - Закрытие аунтификации SMTP из вне"
Отправлено Auxilium , 17-Май-11 14:31 
>>> Прпишите в конфиге exim
>>> auth_advertise_hosts = 192.168.0.0/16
>>> Это заставит exim показывать возможность авторизации только для указанной сети, а авторизацию
>>> он не принимает если не анонсировал ее ранее.
>> хм... т.е. подсети которых в параметре нет, будут просто "заворачиваться"...
>> //сегодня постараюсь попробовать...
> Сети которых нет в auth_advertise_hosts не смогут пересылать почту через ваш Exim
> даже используя авторизацию. А пересылка снаружи без авторизации у вас надеюсь
> и так закрыта, иначе вы получите open relay.

спасибо помогло

"Exim 4.71  - Закрытие аунтификации SMTP из вне"
Отправлено LSTemp , 19-Май-11 00:04 
>>> Прпишите в конфиге exim
>>> auth_advertise_hosts = 192.168.0.0/16
>>> Это заставит exim показывать возможность авторизации только для указанной сети, а авторизацию
>>> он не принимает если не анонсировал ее ранее.
>> хм... т.е. подсети которых в параметре нет, будут просто "заворачиваться"...
>> //сегодня постараюсь попробовать...
> Сети которых нет в auth_advertise_hosts не смогут пересылать почту через ваш Exim
> даже используя авторизацию. А пересылка снаружи без авторизации у вас надеюсь
> и так закрыта, иначе вы получите open relay.

мне немного странно. зачем закрывать пересылку с авторизацией извне? ИМХО лучше уж пусть сотрудники пользуются конторским СМТП - так возможность контроля есть.

опять же им (сотрудникам) не надо replay to писать при пересылке почты ч/з левые сервера. ИМХО всем проще.. и надежней.


"Exim 4.71  - Закрытие аунтификации SMTP из вне"
Отправлено LSTemp , 17-Май-11 04:40 
>>  Нужно, чтобы извне был доступен только поп3/имап протокол, а смтп файрволлом ограничить до МХ-ов.
> smtp ограничил на АСЕ - почта не ходит

а как она по Вашему должна ходить. если Вы протокол на корню зарубили по ходу?...

>> Сделать SMTP-AUTH? Средствами SMTP-сервера ограничить возможность релея только с локальных
>> адресов? А внешним пользователям разрешить POP3/IMAP
> SMTP-AUTH - есть но пароли у пользователей типа 123 - - итог
> понятен))
> релей закрыт

[cut]


PS
ничего до человека не доходит.

"Exim 4.71  - Закрытие аунтификации SMTP из вне"
Отправлено Auxilium , 17-Май-11 14:33 
>>>  Нужно, чтобы извне был доступен только поп3/имап протокол, а смтп файрволлом ограничить до МХ-ов.
>> smtp ограничил на АСЕ - почта не ходит
> а как она по Вашему должна ходить. если Вы протокол на корню
> зарубили по ходу?...

согласен
>>> Сделать SMTP-AUTH? Средствами SMTP-сервера ограничить возможность релея только с локальных
>>> адресов? А внешним пользователям разрешить POP3/IMAP
>> SMTP-AUTH - есть но пароли у пользователей типа 123 - - итог
>> понятен))
>> релей закрыт
> PS
> ничего до человека не доходит.

возможно

"Exim 4.71  - Закрытие аунтификации SMTP из вне"
Отправлено LSTemp , 17-Май-11 04:04 
[cut]
"Exim 4.71  - Закрытие аунтификации SMTP из вне"
Отправлено LSTemp , 18-Май-11 23:59 
> Есть корпоративная сеть (10.2.1.0/24, 10.2.2.0/24), в ней находится сервер почты (10.2.1.12)
> настроен nat на ASA 5510, у всех локальных пользователей интернет с
> одного выделенного адреса, на почтовый сервер АСОЙ дается отдельный статический адрес.
> Как сделать чтобы пользователи из вне могли только получать почту, но не
> отправлять.

- защитится от спуфинга на внутреннем/внешнем интерфейсах ч/з пакетный фильтр
- авторизовать пользователя на smtp-сервере (имя+пароль/карты/другое говно)
- проанаизировать адрес источника на smtp-сеервере и принять решение о релее.

> Почта настроена по статье _http://jared.kiev.ua/2010/01/isp-mailserver-1-exim/
> mail# uname -v
> FreeBSD 8.2-RELEASE #0: Sat May  7 10:32:35 MSD 2011  
>   root@RT-MX-001.site.ru:/usr/src/sys/i386/compile/mail.site