https://opennet.me/openforum/vsluhforumID3/4603.html Статья полугодичной давности, но (надеюсь) не потерявшая актуальности. Рассматривает организацию фальшивого почтового сервера на базе Linux, предназначенного собирать из локальной сети спам, генерируемый вирусами на заражённых рабочих станциях, блокировать его и сообщать админу.<br><br>URL: http://ilya-evseev.narod.ru/articles/smtptrap/smtptrap-article.html<br>Новость: http://www.opennet.ru/opennews/art.shtml?num=4626<br> https://opennet.me/openforum/vsluhforumID3/4603.html#31 Sun, 14 Nov 2004 09:46:24 GMT &gt;А не проще ли сделать так: <br>&gt;- настраиваем на почтовом сервере SMTP авторизацию; <br>&gt;- запрещаем принимать почту из локальных сетей при отсутствии авторизации; <br>&gt;- на маршрутизаторе делаем заворот 25 порта на наш почтовый сервер. <br>&gt;<br>вот-вот! правильное решение, но тут один "но!" - это отправка через "например" mail.ru? а у нас стоит заворот на сервер с авторизацией и клиент получит отлуп, тут придется применять еще кучу приблуд или для довереных клиентов разрешать посылку без авторизации<br><br>Кстати! spamassassin бывает пресекает вирусы еще до того как они дойдут до антивуриса, так что уважаемый Ilya Evseev не думаю что хоть некоторые конторы согласятся терпеть два сервера =) а тем более(еще раз повторюсь) не каждый админ будет городить такой огород!<br><br>Тем более если у меня есть в сети клиент который по ряду причин использует оутлук и не может использовать что либо другое, тогда нужно будет настроить его оутлук на правильный сервер, при получении этим клиентом вируса https://opennet.me/openforum/vsluhforumID3/4603.html#30 Sun, 14 Nov 2004 08:53:56 GMT &gt;&gt;А не проще ли сделать так: <br>&gt;Не надо путать две задачи: <br>&gt;1) обнаружить вирус, <br>&gt;2) пресечь его деятельность. <br>&gt;Почтовые ловушки, описанные в статье, решают не столько вторую, сколько первую. <br><br>Брррр... ерудна какая та, если уж случилось первое(обнаружили мы вирус) почему бы нам не сделать второе(пресечь его разпространение) и правильно сказали соорудить маленький анализатор логов и все пучком, а если у меня будет в сети такая настройка то _большинство_ виров уйдет ровно через шлюз и чихать им на настройки оутлука... а может потому что он у меня отсутствует? =)<br><br>если вдруг случилось что одна из машин заразилась неизвестной заразой, тогда один из клиентов начинает бурную деятельность в логи это пишится а после N-го коннекта клиент блочиться до разбора полетов<br> https://opennet.me/openforum/vsluhforumID3/4603.html#29 Sun, 14 Nov 2004 00:50:20 GMT &gt; Размножиться он (вирус) не может<br>Один и тот же вирус может уметь размножаться не только по почте,<br>а многими способами. Среди них могут быть и те, которые работают<br>только в локальной сети, например, эксплойты в SMB,<br>или заражение DOC-файлов в общих папках на сервере.<br><br>&gt; Максимум проблем - отформатированный юзерский хард<br>&gt; Но от этого предложенная Вами система все равно не спасет. <br>Если он сначала пытается размножиться по почте,<br>и попадётся в почтовую ловушку,<br>то у сисадмина появится время этому помешать. https://opennet.me/openforum/vsluhforumID3/4603.html#28 Sun, 14 Nov 2004 00:45:25 GMT &gt;А не проще ли сделать так: <br>Не надо путать две задачи:<br>1) обнаружить вирус,<br>2) пресечь его деятельность.<br>Почтовые ловушки, описанные в статье, решают не столько вторую, сколько первую. https://opennet.me/openforum/vsluhforumID3/4603.html#27 Sun, 14 Nov 2004 00:43:42 GMT &gt;Так spamassassin на порядок лучше ловит и неизвестные вирусы<br>И полиморфные тоже???<br><br><br> https://opennet.me/openforum/vsluhforumID3/4603.html#26 Thu, 11 Nov 2004 13:10:33 GMT Прекрасная статья, большое Вам спасибо. Правда, по прочтении у меня возник дурацкий вопрос. Вот наша корпорация юзает Бат, SMTP на нестандартном порту - это значит, что "питательная среда" для вируса отсутствует. Зачем же тогда создавать ее своими руками? Ну пришел юзеру вирус, ну запустил его юзер. Размножиться он (вирус) не может, благо окружение нестандартное. Максимум проблем - отформатированный юзерский хард:) Но от этого предложенная Вами система все равно не спасет.<br> https://opennet.me/openforum/vsluhforumID3/4603.html#25 Thu, 11 Nov 2004 11:14:57 GMT Так spamassassin на порядок лучше ловит и неизвестные вирусы - зачем антивирус - я вообще не понимаю - правильно баес настроить, правила подкрутить и все https://opennet.me/openforum/vsluhforumID3/4603.html#24 Thu, 11 Nov 2004 08:53:25 GMT Опишите заворот 25 порта на маршрутизаторе типа киско 36хх пожалуйста. https://opennet.me/openforum/vsluhforumID3/4603.html#23 Thu, 11 Nov 2004 07:00:53 GMT А не проще ли сделать так:<br>- настраиваем на почтовом сервере SMTP авторизацию;<br>- запрещаем принимать почту из локальных сетей при отсутствии авторизации;<br>- на маршрутизаторе делаем заворот 25 порта на наш почтовый сервер.<br><br>Поскольку практически 100% вновь появляющихся почтовых червей рассылают письма прямиком на серверы получателей, все они получат отлуп. Если же попадется какой-то старинный вирь использующий MUA для рассылки себя, так его скосит установленный на почтовике clamav. А чтобы капать на мозги пользователям зараженных компьютеров можно легко соорудить анализатор логов почтовика, например на базе logcheck'a. И никаких извращений...<br>