форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Открытые системы на сервере (Почта / FreeBSD)
Изначальное сообщение		[ Отслеживать ]

"Exim 4.71  - Закрытие аунтификации SMTP из вне"	+/–
Сообщение от Auxilium (ok) on 16-Май-11, 13:05
Есть корпоративная сеть (10.2.1.0/24, 10.2.2.0/24), в ней находится сервер почты (10.2.1.12) настроен nat на ASA 5510, у всех локальных пользователей интернет с одного выделенного адреса, на почтовый сервер АСОЙ дается отдельный статический адрес. Как сделать чтобы пользователи из вне могли только получать почту, но не отправлять. Почта настроена по статье _http://jared.kiev.ua/2010/01/isp-mailserver-1-exim/ mail# uname -v FreeBSD 8.2-RELEASE #0: Sat May  7 10:32:35 MSD 2011     root@RT-MX-001.site.ru:/usr/src/sys/i386/compile/mail.site
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Exim 4.71  - Закрытие аунтификации SMTP из вне"	+/–
Сообщение от DeadLoco (ok) on 16-Май-11, 13:35
> Как сделать чтобы пользователи из вне могли только получать почту, но не > отправлять. Нужно, чтобы извне был доступен только поп3/имап протокол, а смтп файрволлом ограничить до МХ-ов.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Exim 4.71  - Закрытие аунтификации SMTP из вне"	+/–
Сообщение от Vitaly_loki (ok) on 16-Май-11, 13:35
> Есть корпоративная сеть (10.2.1.0/24, 10.2.2.0/24), в ней находится сервер почты (10.2.1.12) > настроен nat на ASA 5510, у всех локальных пользователей интернет с > одного выделенного адреса, на почтовый сервер АСОЙ дается отдельный статический адрес. > Как сделать чтобы пользователи из вне могли только получать почту, но не > отправлять. > Почта настроена по статье _http://jared.kiev.ua/2010/01/isp-mailserver-1-exim/ > mail# uname -v > FreeBSD 8.2-RELEASE #0: Sat May  7 10:32:35 MSD 2011   >   root@RT-MX-001.site.ru:/usr/src/sys/i386/compile/mail.site Сделать SMTP-AUTH? Средствами SMTP-сервера ограничить возможность релея только с локальных адресов? А внешним пользователям разрешить POP3/IMAP
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	3. "Exim 4.71  - Закрытие аунтификации SMTP из вне"	+/–
	Сообщение от Auxilium (ok) on 16-Май-11, 15:00
	>  Нужно, чтобы извне был доступен только поп3/имап протокол, а смтп файрволлом ограничить до МХ-ов. smtp ограничил на АСЕ - почта не ходит > Сделать SMTP-AUTH? Средствами SMTP-сервера ограничить возможность релея только с локальных > адресов? А внешним пользователям разрешить POP3/IMAP SMTP-AUTH - есть но пароли у пользователей типа 123 - - итог понятен)) релей закрыт
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	4. "Exim 4.71  - Закрытие аунтификации SMTP из вне"	+/–
	Сообщение от gibbon (??) on 16-Май-11, 15:46
	>>  Нужно, чтобы извне был доступен только поп3/имап протокол, а смтп файрволлом ограничить до МХ-ов. > smtp ограничил на АСЕ - почта не ходит >> Сделать SMTP-AUTH? Средствами SMTP-сервера ограничить возможность релея только с локальных >> адресов? А внешним пользователям разрешить POP3/IMAP > SMTP-AUTH - есть но пароли у пользователей типа 123 - - итог > понятен)) > релей закрыт Прпишите в конфиге exim auth_advertise_hosts = 192.168.0.0/16 Это заставит exim показывать возможность авторизации только для указанной сети, а авторизацию он не принимает если не анонсировал ее ранее.
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	7. "Exim 4.71  - Закрытие аунтификации SMTP из вне"	+/–
	Сообщение от Auxilium (ok) on 17-Май-11, 08:42
	> Прпишите в конфиге exim > auth_advertise_hosts = 192.168.0.0/16 > Это заставит exim показывать возможность авторизации только для указанной сети, а авторизацию > он не принимает если не анонсировал ее ранее. хм... т.е. подсети которых в параметре нет, будут просто "заворачиваться"... //сегодня постараюсь попробовать...
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	8. "Exim 4.71  - Закрытие аунтификации SMTP из вне"	+/–
	Сообщение от gibbon4ik on 17-Май-11, 12:46
	>> Прпишите в конфиге exim >> auth_advertise_hosts = 192.168.0.0/16 >> Это заставит exim показывать возможность авторизации только для указанной сети, а авторизацию >> он не принимает если не анонсировал ее ранее. > хм... т.е. подсети которых в параметре нет, будут просто "заворачиваться"... > //сегодня постараюсь попробовать... Сети которых нет в auth_advertise_hosts не смогут пересылать почту через ваш Exim даже используя авторизацию. А пересылка снаружи без авторизации у вас надеюсь и так закрыта, иначе вы получите open relay.
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

	9. "Exim 4.71  - Закрытие аунтификации SMTP из вне"	+/–
	Сообщение от Auxilium (ok) on 17-Май-11, 14:31
	>>> Прпишите в конфиге exim >>> auth_advertise_hosts = 192.168.0.0/16 >>> Это заставит exim показывать возможность авторизации только для указанной сети, а авторизацию >>> он не принимает если не анонсировал ее ранее. >> хм... т.е. подсети которых в параметре нет, будут просто "заворачиваться"... >> //сегодня постараюсь попробовать... > Сети которых нет в auth_advertise_hosts не смогут пересылать почту через ваш Exim > даже используя авторизацию. А пересылка снаружи без авторизации у вас надеюсь > и так закрыта, иначе вы получите open relay. спасибо помогло
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

	12. "Exim 4.71  - Закрытие аунтификации SMTP из вне"	+/–
	Сообщение от LSTemp (ok) on 19-Май-11, 00:04
	>>> Прпишите в конфиге exim >>> auth_advertise_hosts = 192.168.0.0/16 >>> Это заставит exim показывать возможность авторизации только для указанной сети, а авторизацию >>> он не принимает если не анонсировал ее ранее. >> хм... т.е. подсети которых в параметре нет, будут просто "заворачиваться"... >> //сегодня постараюсь попробовать... > Сети которых нет в auth_advertise_hosts не смогут пересылать почту через ваш Exim > даже используя авторизацию. А пересылка снаружи без авторизации у вас надеюсь > и так закрыта, иначе вы получите open relay. мне немного странно. зачем закрывать пересылку с авторизацией извне? ИМХО лучше уж пусть сотрудники пользуются конторским СМТП - так возможность контроля есть. опять же им (сотрудникам) не надо replay to писать при пересылке почты ч/з левые сервера. ИМХО всем проще.. и надежней.
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

	6. "Exim 4.71  - Закрытие аунтификации SMTP из вне"	+/–
	Сообщение от LSTemp (ok) on 17-Май-11, 04:40
	>>  Нужно, чтобы извне был доступен только поп3/имап протокол, а смтп файрволлом ограничить до МХ-ов. > smtp ограничил на АСЕ - почта не ходит а как она по Вашему должна ходить. если Вы протокол на корню зарубили по ходу?... >> Сделать SMTP-AUTH? Средствами SMTP-сервера ограничить возможность релея только с локальных >> адресов? А внешним пользователям разрешить POP3/IMAP > SMTP-AUTH - есть но пароли у пользователей типа 123 - - итог > понятен)) > релей закрыт [cut] PS ничего до человека не доходит.
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	10. "Exim 4.71  - Закрытие аунтификации SMTP из вне"	+/–
	Сообщение от Auxilium (ok) on 17-Май-11, 14:33
	>>>  Нужно, чтобы извне был доступен только поп3/имап протокол, а смтп файрволлом ограничить до МХ-ов. >> smtp ограничил на АСЕ - почта не ходит > а как она по Вашему должна ходить. если Вы протокол на корню > зарубили по ходу?... согласен >>> Сделать SMTP-AUTH? Средствами SMTP-сервера ограничить возможность релея только с локальных >>> адресов? А внешним пользователям разрешить POP3/IMAP >> SMTP-AUTH - есть но пароли у пользователей типа 123 - - итог >> понятен)) >> релей закрыт > PS > ничего до человека не доходит. возможно
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

5. "Exim 4.71  - Закрытие аунтификации SMTP из вне"	+/–
Сообщение от LSTemp (ok) on 17-Май-11, 04:04
[cut]
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "Exim 4.71  - Закрытие аунтификации SMTP из вне"	+/–
Сообщение от LSTemp (ok) on 18-Май-11, 23:59
> Есть корпоративная сеть (10.2.1.0/24, 10.2.2.0/24), в ней находится сервер почты (10.2.1.12) > настроен nat на ASA 5510, у всех локальных пользователей интернет с > одного выделенного адреса, на почтовый сервер АСОЙ дается отдельный статический адрес. > Как сделать чтобы пользователи из вне могли только получать почту, но не > отправлять. - защитится от спуфинга на внутреннем/внешнем интерфейсах ч/з пакетный фильтр - авторизовать пользователя на smtp-сервере (имя+пароль/карты/другое говно) - проанаизировать адрес источника на smtp-сеервере и принять решение о релее. > Почта настроена по статье _http://jared.kiev.ua/2010/01/isp-mailserver-1-exim/ > mail# uname -v > FreeBSD 8.2-RELEASE #0: Sat May  7 10:32:35 MSD 2011   >   root@RT-MX-001.site.ru:/usr/src/sys/i386/compile/mail.site
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема