Рекомендации для ЛВС с почтовой службой
22 Oct 2014 | Автор: dd |Утро началось со звонка первого шефа у которого IP почтового сервера постоянно попадает во всевозможные спам листы. Причем после очистки и удаления IP из листов, сервер снова оказывается там по прошествии небольшого отрезка времени.
В данном случае основных вариантов для гипотезы два:
- либо почтовый сервер по криворукости админов является open relay, т.е админы не запретили пересылку сообщений от стороннего (произвольного) пользователя к стороннему домену, без использования аутентификации: по логину ли, по IP ли.
- либо почтовый сервер находится внутри локальной сети и транслируется через тот же IP, из под которого NATится и локальная сеть, в которой прописался спам-бот.
Есть еще конечно варианты взлома почтаря, краденных данных какого либо аккаунта, использование трояном данных аккаунта, ложные срабатывания фильтров и прочие фантастические вещи, которые конечно же случаются, но вероятность их столь мала, что для начала следует отработать первые две версии. На самом деле и первая версия с open relay тоже относится к фантазиям, т.к на практике такое хотя и случается, но не так уж чтобы повсеместно и только если одмин, поднимавший почтарь, знаком с продуктом шапошно.
Так вот, хрестоматийное правило обустройства локальной сети заключается в том, что давно пора закрывать 25 порт для всех кроме тех кому разрешено, т.е почтового сервера. Причем закрывать с логированием, дабы не ходить по офису с энергетической лозой, угадывая на какой из 1001 компьютера прописался спам-бот, а понять это прям из листинга логов по выборке smtp порта.
Естественно если используемый в вашей сети банк-клиент или программа статистики использует для работы smtp, то для неё открываем тоже, но к строго определенным IP. В идеале, конечно, вообще выносить имеющиеся веб-сервисы, и почтовый в том числе, в специально отведенный для этого сегмент в виде демилитаризованной зоны DMZ и уже относительно неё раздавать права доступа подсетей интернету и сегментам локальной сети. Но, учитывая что в некоторых небольших и средних компаниях используют простейшие аппаратные рутеры, это не всегда возможно реализовать, без каскадирования кирогазов, т.ч минимальный уровень защиты от вечно пребывающего в спам листах почторя- именно закрытие 25 порта для всех пользователей сети, кроме почтового сервера.
Опять же, если говорить о сферическом вакууме, то внутри вообще лучше иметь почтовый ретранслятор, а полноценный почтарь выносить за пределы офиса на стабильный хостинг, т.к падение канала в хостинге гораздо менее вероятно, чем отказ сети локального провайдера. Но это уже другая история.
Рекомендации для ЛВС с почтовой службой,Теги: IT безопасность, Сети
