[FUG-BR] RES: RES: SMTP Qmail

Leandro - Intersol listas em intersolinformatica.com.br
Segunda Agosto 16 18:40:09 BRT 2010 

Boa Noite

Hoje eu trabalho e posso recomendar da seguinte forma:
 
Controle de relay autenticado e com ssl usando a porta 465.
Isso resolve o seu caso de comunicação dos clientes para envio de mensagens
através do seu servidor, pois com o uso da porta 465 e certificados de segurança
você pode tanto segurar no firewall como de outra forma o acesso a esta porta
sem prejudicar nada ao servidor.

Seus clientes você deve de implementar uma regra impossibilitando a comunicação
deles para a porta 25 externa a seu servidor, se caso seja necessário devido a um
cliente ter uma conta de email externa você deve de liberar uma conta de email 
pra ele fazer o relay pelo seu servidor, assim você pode trancar completamente
a porta 25 do seus clientes para o mundo. Mais informações sobre isso você pode 
estar vendo em http://www.antispam.br/admin/porta25/ 

No tcp.smpd você deve de liberar assim:
200.200.200.:allow,RELAYCLIENT="" #classe valida do provedor
189.189.189.189:allow,RELAYCLIENT="" #ip valido do provedor
172.16.4.:allow,RELAYCLIENT="" #classe invalida do provedor
:allow

(lembre-se de gerar o tcp.smtp.cdb novamente sempre que atualizar este arquivo)

Caso esteja usando uma política pop-before-smtp recomendo um controle sobre o tempo
de limpeza da tabela de ips liberados para o relay.

Já o IMAP você pode trancar e liberar da forma que achar melhor, pois este protocolo
não irá afetar ao funcionamento do servidor.

Já a porta 25 para a comunicação dos servidores, você pode controlar no firewall 
do FreeBSD mesmo tanto com IPFW quanto com PF tranquilamente, caso tenha um roteador
anterior como Cisco ou Mikrotik por exemplo você pode colocar regras para auto
incrementação quando detectado um possível ataque a porta, ou muitas conexões simultâneas
ou algo do tipo.

O site da cgi.br e antispam.br tem bastante material de como se deve tratar a porta 25

Isso é uma idéia teórica de como proceder, se precisar de algo mais técnico te 
envio alguns links que poderão te ajudar. 

Até Mais 


> -----Mensagem original-----
> De: freebsd-bounces em fug.com.br [mailto:freebsd-bounces em fug.com.br] Em
> nome de Modesto
> Enviada em: segunda-feira, 16 de agosto de 2010 18:01
> Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
> Assunto: Re: [FUG-BR] RES: SMTP Qmail
> 
> Leandro,
> 
>     Voce teria alguma dica de como eu poderia fazer isso no firewall?
> segue um diagrama simples de como esta o servidor:
>                                                       +----------+
> CLIENTES ------>TCP/587|---------> |              |
>                                                        |Servidor |
> --------------->TCP/25--------------------> Outros Servidores
> CLIENTES------->TCP/25|-----X        |              |
>                                                       +----------+
> 
> Não sei como fazer isso no firewall sem bloquear a comunicação com
> outros servidores, vou dar uma olhada nas regras do tcp.smtp.
> 
> Vlw.
> 
> On Mon, 2010-08-16 at 13:31 -0300, Leandro - Intersol wrote:
> 
> > Boa tarde
> >
> > Você pode fazer isso usando firewall, ou usando as regras em
> tcp.smtp.
> > Também além disso recomendo usar controle de relay autenticado, e
> usar
> > criptografia em todos os protocolos e querendo deixar somente imap
> para
> > uso externo habilite criptografia pois não se sabe de onde estará
> sendo
> > utilizado.
> >
> >
> > > -----Mensagem original-----
> > > De: freebsd-bounces em fug.com.br [mailto:freebsd-bounces em fug.com.br]
> Em
> > > nome de Modesto
> > > Enviada em: segunda-feira, 16 de agosto de 2010 11:30
> > > Para: Lista FUG BR
> > > Assunto: [FUG-BR] SMTP Qmail
> > >
> > > Bom dia,
> > >
> > >     Estou com um problema de saida de e-mail aqui no provedor,
> usamos
> > > QMAIL + vpopmail + spamassassin + clamav, estou pensando em fazer o
> > > seguinte, bloquear o relay SMTP para IP's que estejam fora do nosso
> > > prefixo, clientes que usarem nosso e-mail em outros lugares só
> poderam
> > > usar por IMAP.
> > >
> > > Alguem sabe se tem como fazer isso no QMAIL?
> > >
> > > Vlw
> > >
> > > Antonio Modesto
> > >
> > > Gerente de TI
> > >
> > >
> > > Praça Getúlio Vargas, 77 – Sala 308 – Centro
> > >
> > > Santo Antônio do Monte – MG – CEP: 35560-000
> > > (37) 3281-2800 
> > >
> > >  isimples em isimples.com.brhttp://www.isimples.com.br
> > >
> > >
> > > Aviso:Esta mensagem e quaisquer arquivos em anexo podem conter
> > > informações confidenciais e/ou
> > >
> > > privilegiadas. Se você não for o destinatário ou a pessoa
> autorizada a
> > > receber esta mensagem, por favor, não
> > >
> > > leia, copie, repasse, imprima, guarde, nem tome qualquer ação
> baseada
> > > nessas informações. Notifique o
> > >
> > > remetente imediatamente por e-mail e apague a mensagem
> permanentemente.
> > > Atenção: embora a Isimples
> > >
> > > Telecom, tome seus cuidados para garantir a ausência de vírus neste
> > > e-mail, a empresa não se responsabiliza
> > >
> > > por quaisquer perdas ou danos decorrentes do uso da mensagem e seus
> > > anexos. A segurança e ausência de
> > >
> > > erros na transmissão do e-mail não podem ser garantidas, já que as
> > > informações podem ser interceptadas,
> > >
> > > corrompidas, perdidas, destruídas, atrasadas, chegarem incompletas,
> ou,
> > > ainda, conter vírus. Recomendamos
> > >
> > > checar se o e-mail e seus anexos contém vírus, uma vez que nem a
> > > Isimples Telecom ou o remetente se
> > >
> > > responsabilizam pela transmissão destes.
> > >
> > >
> > >
> > > -------------------------
> > > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> 
> Antonio Modesto
> 
> Gerente de TI
> 
> 
> Praça Getúlio Vargas, 77 – Sala 308 – Centro
> 
> Santo Antônio do Monte – MG – CEP: 35560-000
> (37) 3281-2800 
> 
>isimples em isimples.com.brhttp://www.isimples.com.br
> 
> 
> Aviso:Esta mensagem e quaisquer arquivos em anexo podem conter
> informações confidenciais e/ou
> 
> privilegiadas. Se você não for o destinatário ou a pessoa autorizada a
> receber esta mensagem, por favor, não
> 
> leia, copie, repasse, imprima, guarde, nem tome qualquer ação baseada
> nessas informações. Notifique o
> 
> remetente imediatamente por e-mail e apague a mensagem permanentemente.
> Atenção: embora a Isimples
> 
> Telecom, tome seus cuidados para garantir a ausência de vírus neste
> e-mail, a empresa não se responsabiliza
> 
> por quaisquer perdas ou danos decorrentes do uso da mensagem e seus
> anexos. A segurança e ausência de
> 
> erros na transmissão do e-mail não podem ser garantidas, já que as
> informações podem ser interceptadas,
> 
> corrompidas, perdidas, destruídas, atrasadas, chegarem incompletas, ou,
> ainda, conter vírus. Recomendamos
> 
> checar se o e-mail e seus anexos contém vírus, uma vez que nem a
> Isimples Telecom ou o remetente se
> 
> responsabilizam pela transmissão destes.
> 
> 
> 
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Mais detalhes sobre a lista de discussão freebsd