Рекомендации для ЛВС с почтовой службой

22 Oct 2014 | Автор: dd |

Утро началось со звонка первого шефа у которого IP почтового сервера постоянно попадает во всевозможные спам листы. Причем после очистки и удаления IP из листов, сервер снова оказывается там по прошествии небольшого отрезка времени.

В данном случае основных вариантов для гипотезы два:

  1. либо почтовый сервер по криворукости админов является open relay, т.е админы не запретили пересылку сообщений от стороннего (произвольного) пользователя к стороннему домену, без использования аутентификации: по логину ли, по IP ли.
  2. либо почтовый сервер находится внутри локальной сети и транслируется через тот же IP, из под которого NATится и локальная сеть, в которой прописался спам-бот.

Есть еще конечно варианты взлома почтаря, краденных данных какого либо аккаунта, использование трояном данных аккаунта, ложные срабатывания фильтров и прочие фантастические вещи, которые конечно же случаются, но вероятность их столь мала, что для начала следует отработать первые две версии. На самом деле и первая версия с open relay тоже относится к фантазиям, т.к на практике такое хотя и случается, но не так уж чтобы повсеместно и только если одмин, поднимавший почтарь, знаком с продуктом шапошно.

Так вот, хрестоматийное правило обустройства локальной сети заключается в том, что давно пора закрывать 25 порт для всех кроме тех кому разрешено, т.е почтового сервера. Причем закрывать с логированием, дабы не ходить по офису с энергетической лозой, угадывая на какой из 1001 компьютера прописался спам-бот, а понять это прям из листинга логов по выборке smtp порта.

Естественно если используемый в вашей сети банк-клиент или программа статистики использует для работы smtp, то для неё открываем тоже, но к строго определенным IP. В идеале, конечно, вообще выносить имеющиеся веб-сервисы, и почтовый в том числе, в специально отведенный для этого сегмент в виде демилитаризованной зоны DMZ и уже относительно неё раздавать права доступа подсетей  интернету и сегментам локальной сети. Но, учитывая что в некоторых небольших и средних компаниях используют простейшие аппаратные рутеры, это не всегда возможно реализовать, без каскадирования кирогазов, т.ч минимальный уровень защиты от вечно пребывающего в спам листах почторя- именно закрытие 25 порта для всех пользователей сети, кроме почтового сервера.

Опять же, если говорить о сферическом вакууме, то внутри вообще лучше иметь почтовый ретранслятор, а полноценный почтарь выносить за пределы офиса на стабильный хостинг, т.к падение канала в хостинге гораздо менее вероятно, чем отказ сети локального провайдера. Но это уже другая история.

VN:F [1.9.21_1169]
Rating: 3.0/10 (1 vote cast)
VN:F [1.9.21_1169]
Rating: 0 (from 0 votes)
Рекомендации для ЛВС с почтовой службой, 3.0 out of 10 based on 1 rating

Теги: ,

Ваш отзыв