[thieringpeti]

Idézet: kroozo - Dátum: 2007. jan. 30., kedd - 22:28

Mondjuk mert a user nem akarja állítgatni, mikor jön megy a cégtõl, konferencián van, stb stb. Én is mindig ugyanazt az authentikált smtpt használom.

Köszönöm mindenkinek a tanácsot, ha megérkezik a szerver az IBM-tõl, az útmutatásaitok alapján meg fogom tudni oldani, ha elakadok valahol, ide (is) fogok írni.

Amúgy a DMZ alatt én azt értem, hogy a belsõ hálón van a mail szerver. Tudom, a hivatalos álláspont szerint akkor lenne DMZ, ha a tûzfalban lenne egy harmadik hálókártya, és a mail szerver oda csatlakozna...

[Lenny]

Idézet: thieringpeti - Dátum: 2007. febr. 13., kedd - 11:43

Amúgy a DMZ alatt én azt értem, hogy a belsõ hálón van a mail szerver. Tudom, a hivatalos álláspont szerint akkor lenne DMZ, ha a tûzfalban lenne egy harmadik hálókártya, és a mail szerver oda csatlakozna...

Szerintem inkább járj el, a hivatalos álláspont szerint..

Egy hálókártya manapság 2K. Szertinem nem bonyolultabb ezt megoldani, viszont biztonságosabb.

[thieringpeti]

Idézet: thieringpeti - Dátum: 2007. febr. 13., kedd - 12:43

Köszönöm mindenkinek a tanácsot, ha megérkezik a szerver az IBM-tõl, az útmutatásaitok alapján meg fogom tudni oldani, ha elakadok valahol, ide (is) fogok írni.

Amúgy a DMZ alatt én azt értem, hogy a belsõ hálón van a mail szerver. Tudom, a hivatalos álláspont szerint akkor lenne DMZ, ha a tûzfalban lenne egy harmadik hálókártya, és a mail szerver oda csatlakozna...

Végig olvastam a Lenny által linkelt topikot.

A nálam fennálló helyzet a következõ lesz:

NET -> tûzfal -> belsõ háló -> mail szerver (Lotus, webmaillel, nyitva: imap, https, lotus alk. portjai)
                                        -> kliensek (Windows + Lotus kliensprogi)
                                     
A címfordítás IPTABLES alapján:

belsõ hálóról érkezõ kérések 1:1 NAT-olása (kb. 30 user, msn, icq, Neptun szerver csatlakozások, IP telefonálás minden megy)
squid proxy a web elérés gyorsítására - aki akarja bekapcsola, firewall.intranet:3128
kívülrõl érkezõ https, pop/imap, lotus kliens portok -> REDIRECT to mail szerver belsõ IP
kívülrõl érkezõ SMTP kérések: -> exim4 feldolgozás.

bejövõ mail policy: 1. spam szûrés (spamassassin), minden beérkezõ mailre. Naponta több száz mail érkezik, kb. 10 mail domainbõl, legalább 50 userrel. Plusz userenként átlag napi 30-40 spam.
2. ami a spam szûrõn átment, ott clamav szûrés.
3. további feldolgozásra továbbítás belsõ hálón a mail szervernek.

spamassassin-hez esetleg írnék egy kis php programot, ez a tûzfalon lenne (apache + php), ami egy egyszerû HTTP oldalon keresztül érhetõ el. Itt, ha megad egy e-mail címet, domaint, akkor azt hozzáadná a whitelist-hez. (ha valahonnan nem jönnek mailek...) Egyébként a spamassassin teljesen automatikusan kellene, hogy fusson, a júzereknek nem szabadna látni semmit, csak hogy ne kapjanak spamet.

Kb. ez lenne a tûzfal, a vas már megvan hozzá (compaq proliant 6500, 2x9,1GB HDD, 4xXeon450, 512MB RAM).

Szerkesztette: thieringpeti 2007. 02. 13. 12:18 -kor

[thieringpeti]

Idézet: Lenny - Dátum: 2007. febr. 13., kedd - 13:00

Szerintem inkább járj el, a hivatalos álláspont szerint..

Egy hálókártya manapság 2K. Szertinem nem bonyolultabb ezt megoldani, viszont biztonságosabb.

Hálókártya van is dögivel

A tûzfalnak szánt vasban amúgy egy darab "dual head" eepro100-as kártya van, mellé kap még a fiókból egy eepro100-at, oda crosslink kábellel bekötöm a mail szervert akkor.

így pár sorral több iptables kell... és a kliensek a tûzfalat bombáznák kívülrõl-belülrõl a mail kérésekkel, ami szorgosan forwardolgatná a megfelelõ helyre azokat... vélemény?

[Lenny]

Én úgy csinálnám, hogy minden olyan server-t, amit kintrõl el akarsz érni, azt DMZ-be tenném.
Mivel bármi is az, ha feltürik, akkor maradjanak csak azon a hálózati szegmensen.

A tûzfal fogadja a leveleket, spam- és vírusszûri, majd dobája be a mailserver-nek.
Viszont a NAT 1:1-ben én biztos letiltanám. Ne legyen csak úgy minden szabad. Ugyanis ha bekap egy kliens valami spyware-t vagy vírus-t, az belûlrõl simán nyithat egy portot és máris bent vannak a belsõ hálón. Minden tilos, ami nem megengedett.

Proxy nem csak a web elérést (cache-elését), hanem az internettõl való elszigetelését is segíti.
Jobb szigorítani, csak azokra a portok-ra a forgalmat, amit ténylegesen használnak!

Hirtelen ennyi..

[thieringpeti]

Idézet: Lenny - Dátum: 2007. febr. 13., kedd - 13:56

Én úgy csinálnám, hogy minden olyan server-t, amit kintrõl el akarsz érni, azt DMZ-be tenném.
Mivel bármi is az, ha feltürik, akkor maradjanak csak azon a hálózati szegmensen.

A tûzfal fogadja a leveleket, spam- és vírusszûri, majd dobája be a mailserver-nek.
Viszont a NAT 1:1-ben én biztos letiltanám. Ne legyen csak úgy minden szabad. Ugyanis ha bekap egy kliens valami spyware-t vagy vírus-t, az belûlrõl simán nyithat egy portot és máris bent vannak a belsõ hálón. Minden tilos, ami nem megengedett.

Proxy nem csak a web elérést (cache-elését), hanem az internettõl való elszigetelését is segíti.
Jobb szigorítani, csak azokra a portok-ra a forgalmat, amit ténylegesen használnak!

Hirtelen ennyi..

Igazad van mindenben. De sajnos nem lehet megúszni az 1:1 natot, mert akkor nem gyõzném a magyarázkodást a "miért nem megy" jellegû kérdésekre...

Ha meg valakinél spyware van, az az õ baja... szól, és kiirtom neki... eddig még nem volt ebbõl semmi gond...

Ha szigorítanám a belsõ biztonsági dolgokat, akkor annak a hatása a következõ lenne:

1. Manckia: "Miért nem lehet?"
2. Mancika: "Ha nem lehet, megyek a fõnökhöz"
3. Fõnök: "Mancika miért nem kap jogosultságot?"
4. innentõl hiába a magyarázkodás, ha Mancikának kell az a valami, akkor addig nem hagy engem békén, amíg nem fog menni nála...  Ami meg védett cucc, azt meg tenni DMZ-be. (mail szerver)... Ha Mancika a gépérõl elveszít valamit emiatt, akkor úgyis Mancika a hibás, hogy miért töltöget le minden féle szemetet a gépére...

Sajnos ez már lefutott dolog, amikor a windows-okat lekorlátoztam, hogy ne lehessen szoftvert installálni rájuk, kb. 10 percenként zargattak, majd mentek a fõnökhöz... kénytelen voltam ezt a korlátozást visszavonni... És inkább irtani a "reklámozó vírust", mert a freeware avagy crackelt "ûberfasza" progi bizony telenyomta mindenféle hijackerrel, cool web search-al a gépet...
Erre a megoldás nálam: partimage ha panasz van, kap egy friss partimage-t a gépére, azt csók.

[Lenny]

Akkor igen. Itt alapvetõen a fõnöknek kell ilyen utasítást, illetve céges policy-t létrehozni.

Mondjuk ahova kerültem cég, ott a rendszergazda lustaságából adódóan, volt mindenkinek rendszergazdai joga. Aztán elbeszélgettem a fõnökkel, megmagyaráztam, hogy ennek mi az elõnye, hátránya. Azóta mindenki csak mezei user..

[thieringpeti]

Kezdem összeállítani a tûzfalat. Igazából a mostani Debian-os mail szervert sajnos nem én installáltam, így volt itt, úgyhogy nulláról kell sajnos kitanuljam a teljes e-mail kezelést Debian alatt, én eddig csak NAT-ot és web szervert, mysql-t tettem fel Debianra...

gondolom, felhúzom a megfelelõ csomagokat (apt-get install exim4 spamassassin clamav)
ezen kívül valszleg lesz még egy mailman (ha a belsõ levelezõlistákat nem kezeli le az új mail szerver) -> apt-get install mailman...

Eddig rendben is van... exim4 konfigurálását viszont egy kicsit bonyolultnak gondolom, remélem tévedek... (forward-olás DMZ-be, vagy mailmannak, vagy esetleg - ha mégis kell - pár pop3 fiók lehet, hogy maradna a tûzfalon, de remélem, hogy ez nem lesz). Lenny topikjában jól le van írva, hogy a spamassassin és a clamav hogy van megoldva, viszont nekem nem a mailboxokat kellene scannelni, hanem 1:1 a bejövõ postát... a whitelist kezelését valahogy úgy kéne megoldani, hogy a júzerek bele tudjanak dobni mail címeket, ezt fentebb már leírtam.... és exim4-ben megadni, hogy továbbítson, ne saját gépen tároljon... Mivel ilyet még sose csináltam, nem tudom, hogy mennyire tiszták a dokumentációk, konfig fájl kommentek...

A jelenlegi tûzfal/mail szerver exim4-gyel megy, minden usernek külön könyvtárban külön fájlokban vannak tárolva a mailjei valami speckós formátumban, és mysql-ben is vannak tárolva adatok. (vexim csinálja automatán). A spamassassin/clamav az egyes júzereknek vizsgálja a mailboxait, ha a júzer bekapcsolja... (vexim admin felületén lehet...)

iptables-ben meg pár sor elég, ezt már szerencsére kitapasztaltam nagyjából, hogy hogy mûködik, jelenleg is be van irányítva egy belsõ szerverre MySQL, hogy a web szerver elérhesse (de szigorúan csak a web szerver IP-jérõl engedi...)

[thieringpeti]

Nem lenne esetleg érdemesebb postfix-et használni? Vélemény?

[Lenny]

Postfix-et nem ismerem. Anno mikor én próbálkoztam az elsõ mailserver-emmel, akkor az Exim-et választottam, mert közvetlenül tud meghívni pl. vírusírtót. A postfix-et annyira nem ismerem, de ha jól emléxem, akkor az csak amavist-tal tud vírust szûrni. (de majd talán benéz egy postfix specialista és elmondja ott milyen megoldások vannak)

Szóval nem a tûzfalon fogja szétvállogatni a leveleket. Annyit csinál, hogy fogajda az adott domain-ba érkezõ levelet és továbbítja befelé a mailservernek (legyen az bármilyen). Ha nem tudja, akkor átmenetileg tárolja, majd próbálja újraküldeni. Az exim+spamassasin+clamav nem mailbox-okat ellenõriz, hanem levelet. Tehát abban a pillanatban mikor elfogadja a levelet, csekkolja és után kézbesíti.

Pl.:
# Create domain and host lists for relay control
# '@' refers to 'the name of the local host'

.ifndef MAIN_LOCAL_DOMAINS
MAIN_LOCAL_DOMAINS = DEBCONFlocal_domainsDEBCONF
.endif
domainlist local_domains = MAIN_LOCAL_DOMAINS
domainlist xy = xy.hu
domainlist zz = zz.hu


Aztán a következõket kellene a legelsõ manualroute részbe beletenni, természetesen a te policy-d alapján.

tovabbitas:
  debug_print = "R: tovabbitas for $local_part@$domain"
  driver = manualroute
  domains =  xy : zz
  transport = remote_smtp
  route_list = * 192.168.x.x byname
  self = send
  no_more

Természetesen az exim-et a fõ installáláskor úgy kell beállítani, hogy mely domain leveleit fogadja el, kinek legyen relay, stb.

Szerkesztette: Lenny 2007. 02. 14. 12:42 -kor

[kroozo]

Idézet: thieringpeti - Dátum: 2007. febr. 14., szerda - 12:10

Nem lenne esetleg érdemesebb postfix-et használni? Vélemény?

hitvitát akarsz? mindkettõben meg lehet csinálni, de valamelyiket kénytelen leszel megtanulni...

[Lenny]

Idézet: kroozo - Dátum: 2007. febr. 14., szerda - 12:52

hitvitát akarsz?

Yes,yes FLAME!!!      :Ð

Szerkesztette: Lenny 2007. 02. 14. 13:22 -kor

[Friczy]

Idézet: Lenny - Dátum: 2007. febr. 14., szerda - 13:21

Yes,yes FLAME!!!      :Ð

Kevés olyan ember van, aki mindkettõt jól ismeri. Anélkül pedig a flame-nek nincs sok haszna. Én az utóbbi négy-öt évben talán ha két-három alkalommal láttam eximet, akkor is többnyire az elsõ apt-get install postfixig, így viszont hogyan hasonlítsam össze a kettõt?

[Lenny]

Idézet: Friczy - Dátum: 2007. febr. 14., szerda - 15:00

Kevés olyan ember van, aki mindkettõt jól ismeri. Anélkül pedig a flame-nek nincs sok haszna. Én az utóbbi négy-öt évben talán ha két-három alkalommal láttam eximet, akkor is többnyire az elsõ apt-get install postfixig, így viszont hogyan hasonlítsam össze a kettõt?

Ez is igaz!

Nekem az exim tetszik, bevált. Ebbõl kifolyólag, csak az exim-re tudok megoldást amit a topic indító kért. Gondolom a postfix is képes rá, de azt meg én nem ismerem.

Ha már itt tartunk postfix-en hogy lehe megoldani az ilyen route-olást, amit kicsivel feljebb írtam?

Levél fogadása, majd továbbítása befelé egy mailserver-nek.

[kroozo]

Idézet: Lenny - Dátum: 2007. febr. 14., szerda - 15:06

Ez is igaz!

Nekem az exim tetszik, bevált. Ebbõl kifolyólag, csak az exim-re tudok megoldást amit a topic indító kért. Gondolom a postfix is képes rá, de azt meg én nem ismerem.

Ha már itt tartunk postfix-en hogy lehe megoldani az ilyen route-olást, amit kicsivel feljebb írtam?

Levél fogadása, majd továbbítása befelé egy mailserver-nek.

befele a transport táblában, kifele meg a rajta keresztül kell relayezni a dominónak.

[thieringpeti]

Idézet: kroozo - Dátum: 2007. febr. 14., szerda - 16:34

[Exim vs. Postfix vita veszélye]

Köszi az eddigi tanácsokat.

Szóval, exim vs. postfix, mindkettõ kb. ugyanazt tudja, ennyit megtudtam. A mostani mail serveren exim van mysql-lel megspékelve.

A Dominó mindenképpen relayezni fog kifelé a tûzfalon keresztül, ez egyértelmû... Befelé meg alapjában véve az esetek:

1. a címzett a dominó egyik domainnek júzere. Relay befelé dominónak.
2. a címzettet helyben kell kezelni (pl. levelezõ lista kezelõ, vagy ha kellenek nem dominós pop3 fiókok). Ilyenkor megy a megfelelõ júzer maildir-jébe, vagy mailmannak. Lásd mostani szerver, vexim.
3. kintrõl akarnak mailt küldeni (smarthost), laptopos, egyéb emberke, nem nálunk hostolt címre. Relay authentikációval. Ez még kérdéses, egy szabvány jelszó lesz véleményem szerint, amit ha megadok, akkor megy a relay az adott szerveren. Ha gyanúsan megnõ a forgalom, változtatás...
4. dominó szerver felõl jövõ SMTP kérések. Relay authentikáció nélkül
5. belsõ hálózat felõl jövõ SMTP kérések. Relay authentikáció nélkül.

all: minden átmenõ levél spamassassin és clamav szûrése. Akár relay, akár helyi kézbesítés.

Ezek alapján szeretnék tájékoztatást, hogy az exim vagy a postfix beállítása egyszerûbb. (hogy a flame szerû hitvitát elkerüljem, olyan emberek hozzászólását várom, akik kényelmesen beállították egyiket/másikat, vagy sokat szívtak egyikkel/másikkal).

A szerver március elején érkezik, addig kéne a tûzfalat összerakni, valahogy otthon, elszigetelve tesztelni, hogy ne okozzon fennakadást...

Szerkesztette: thieringpeti 2007. 02. 14. 16:33 -kor

[Lenny]

Én az eximhez tudok segítséget nyújtani.

A kintrõl való relay-t mindenféleképpen auth-hoz kösd.

Vagy  MAC alapján szûrd!!

[kroozo]

Idézet: thieringpeti - Dátum: 2007. febr. 14., szerda - 16:32

Köszi az eddigi tanácsokat.

Szóval, exim vs. postfix, mindkettõ kb. ugyanazt tudja, ennyit megtudtam. A mostani mail serveren exim van mysql-lel megspékelve.

A Dominó mindenképpen relayezni fog kifelé a tûzfalon keresztül, ez egyértelmû... Befelé meg alapjában véve az esetek:

1. a címzett a dominó egyik domainnek júzere. Relay befelé dominónak.
2. a címzettet helyben kell kezelni (pl. levelezõ lista kezelõ, vagy ha kellenek nem dominós pop3 fiókok). Ilyenkor megy a megfelelõ júzer maildir-jébe, vagy mailmannak. Lásd mostani szerver, vexim.
3. kintrõl akarnak mailt küldeni (smarthost), laptopos, egyéb emberke, nem nálunk hostolt címre. Relay authentikációval. Ez még kérdéses, egy szabvány jelszó lesz véleményem szerint, amit ha megadok, akkor megy a relay az adott szerveren. Ha gyanúsan megnõ a forgalom, változtatás...
4. dominó szerver felõl jövõ SMTP kérések. Relay authentikáció nélkül
5. belsõ hálózat felõl jövõ SMTP kérések. Relay authentikáció nélkül.

all: minden átmenõ levél spamassassin és clamav szûrése. Akár relay, akár helyi kézbesítés.

Ezek alapján szeretnék tájékoztatást, hogy az exim vagy a postfix beállítása egyszerûbb. (hogy a flame szerû hitvitát elkerüljem, olyan emberek hozzászólását várom, akik kényelmesen beállították egyiket/másikat, vagy sokat szívtak egyikkel/másikkal).

A szerver március elején érkezik, addig kéne a tûzfalat összerakni, valahogy otthon, elszigetelve tesztelni, hogy ne okozzon fennakadást...

ez mind megy mindkettõvel, nem is nehéz összerakni postfixben, meg gondolom eximben sem, én az utóbbit javasolnám, hiszen az nagyrészt készen van, csak át kell kopácsolni.

A harmadik pontot felejtsd el, közös jelszó nem mókás, van mindenkinek jelszava úgyis, autholjon azzal.

[kroozo]

Idézet: Lenny - Dátum: 2007. febr. 14., szerda - 18:29

Vagy  MAC alapján szûrd!!

Te Lenny. te mi a frászkarikáról beszélsz???

[Lenny]

Idézet: kroozo - Dátum: 2007. febr. 14., szerda - 19:08

Te Lenny. te mi a frászkarikáról beszélsz???

Jójó...
wazze..



Teljesen kész vagyok... 3 órát aludtam és már f@szságokat beszélek...

Aszem többet nem írok ide, mert csak félrevezetem az hülyeségekkel... :Ð