smtp frontend для groupwise

Обсуждение технических вопросов по продуктам Novell под Linux, а также *nix систем

smtp frontend для groupwise

Сообщение Dimerson » 06 ноя 2018, 16:58

Джентльмены, есть ли в природе нечто опенсорсное. Которое к примеру может принимая почту на домен по smtp, и проверяя аттачменты на заразу и прочее понять, что в аттаче названный по русски .rar переименованный в .gz и в нем к примеру русскоязычный .js или.scr, который если не попадает под сигнатуру антивируса (свежая зараза), отстрелит e-mail по типу файла . Ну и настроек фронтенда поболее.
Поковырялся тут с smtp и ужаснулся сколько гадости идет по почте :(
Аватара пользователя
Dimerson
 
Сообщения: 2959
Зарегистрирован: 15 сен 2002, 14:39
Откуда: Регион 70

Re: smtp frontend для groupwise

Сообщение URRY » 06 ноя 2018, 17:57

много может
Postfix + amavisd-new + SpamAssassin
URRY
 
Сообщения: 202
Зарегистрирован: 13 май 2012, 22:40

Re: smtp frontend для groupwise

Сообщение Сергей Дубров » 06 ноя 2018, 18:31

Dimerson писал(а):Джентльмены, есть ли в природе нечто опенсорсное. Которое к примеру может принимая почту на домен по smtp, и проверяя аттачменты на заразу и прочее понять, что в аттаче названный по русски .rar переименованный в .gz и в нем к примеру русскоязычный .js или.scr, который если не попадает под сигнатуру антивируса (свежая зараза), отстрелит e-mail по типу файла . Ну и настроек фронтенда поболее.
Поковырялся тут с smtp и ужаснулся сколько гадости идет по почте :(

Kaspersky secure mail gateway - по технологии это CentOS 6 + postfix, с проверкой "на-лету". Основной вариант включения - как раз в качестве фронтенда, включённого в "разрыв" перед основным почтарём (MX снаружи на KSMG ставишь, по сути - и всё). Я добавил проверку при приёме - средствами postfix-а - на обратную зону (сообщение не принимается, если ip-шнику отправителя нет соотв. A-записи), в логе это выглядит так:

NOQUEUE: reject: RCPT from unknown[200.74.132.134]: 450 4.7.1 Client host rejected: cannot find your hostname, [200.74.132.134];

Отлуп идёт во время приёма, не порождая ответное спровоцированное сообщение от mailer-daemon-а.

Ещё одна дополнительная проверка, сильно уменьшающая т.н. backscatter (когда mailer-daemon пытается ответить на фейковые обратные адреса сообщением типа User not found) - проверка по relay_recipients при приёме, т.е. ответный backscatter тоже не генерится, и отлуп также происходит во время smtp-сессии (после rcpt to:). В логе это выглядит вот так:

NOQUEUE: reject: RCPT from emporio-armani-time.ru[51.254.69.244]: 550 5.1.1 <anthon@inp.nsk.su>: Recipient address rejected: User unknown in relay recipient table;

Пока не было этой проверки, наш приёмный mailer-daemon регулярно имел здоровенные очереди отправки на фейковые адреса, пытаясь отправить им сообщения про несуществующих получателей. Таблица реальных пользователей генерится самописным несложным скриптом четыре раза в час и пересылается по scp на шлюз с Касперским, мне удобнее было сделать это в файле, можно проверку реально существующих адресов делать в ldap-каталоге.

Ну, а собственно Касперский, вклинившись в smtp-цепочку, делает проверку на спам, вирусы (зависит от лицензии). Работает у нас эта конструкция уже второй год, особых нареканий нет, с задачами справляется, кол-во заразы и спама резко сократилось (точнее, спам мы не удаляем, а помечаем как [Spam] в сабже и пропускаем юзерам - вдруг ложное срабатывание будет, у нас есть пара примеров, когда почта из приличных источников касперским за спам принималась).

Кстати, попутно обнаружил забавный глюк в связке firewall-а Cisco ASA5525-X и postfix-а при отправке (у нас KSMG и принимает и отправляет "наружу" всю почту, о чём есть в нашем DNS-е соотв. spf-запись) - гугл стал помечать принимаемые от нас письма красным, как принятые по открытому SMTP, т.е., небезопасные, хотя в postfix-е была включена опция использовать на отправку TLS, если принимающая сторона это понимает.

Оказалось, это багофича ASA - она "на-лету" врезалась в smtp-сессию и вместо ESMTP ошибочно генерировала простую SMTP (HELO вместо EHLO). Но у postfix-а на эту тему есть специальный ключик в конфиге, который аннулирует эту циско-самодеятельность :). Когда с этим разобрались, отписался в техподдержку Касперского, чтобы они где-то у себя в базе знаний отметили этот факт, комбинация-то - ASA+postfix - достаточно распространённая.

UPD: Да, Касперский - ни разу не опенсорс, тут уже предложили настоящую кошерную связку - postfix + amavis + spamassassin :). У нас такая комбинация работала довольно долго, несколько лет, но качество её заметно уступало Касперскому, почему в итоге и переориентировались на отечественного производителя (небесплатного).
Аватара пользователя
Сергей Дубров
 
Сообщения: 2096
Зарегистрирован: 05 июн 2002, 06:07
Откуда: Новосибирск, ин-т ядерной физики СО РАН

Re: smtp frontend для groupwise

Сообщение Dimerson » 07 ноя 2018, 12:37

Сергей, cпасибо за информацию про KSNG.

Пока попробую новую GWAVA7 (она в виде Appliance под названием Secure Messaging Gateway на Ubuntu 16 LTS). Модно сейчас так называть продукты.
Енжина антивирусная у них конечно не KAV.

сперва у них была енжина eTrust (на NW) [и была возможность любой антивирус файловый подцепить для NW].
потом KAV (на NW и позднее Linux)
а сейчас Cyren (Linux).
Аватара пользователя
Dimerson
 
Сообщения: 2959
Зарегистрирован: 15 сен 2002, 14:39
Откуда: Регион 70

Re: smtp frontend для groupwise

Сообщение Иван Левшин aka Ivan L. » 07 ноя 2018, 19:07

Ну, коли пошла такая пьянка, скажу за бывший Astaro Security Gateway - ноне это Sophos. Есть Appliance, есть железка. Бесплатная для домашнего использования, ограничение: до 50 IP-адресов, которые через нее проходят. Лицензия эта свободно генерится на сайте, действует год. Я знаю граждан, которые его используют :) Работает хорошо, именно как SMTP Frontend и не только. Там вообще очень много всякого
Дальше - Колтогян участвовал в разработке решения, базирующегося как раз на опенсырце. Я в институте эту связку использовал, работало оно отлично (как минимум - для того времени, было это более 10 годиков назад. Впрочем, думается мне, что основные принципы никак не изменились).
Secure Messaging Gateway, да. Теперь так называется то, что было GWAVA. Ну и не только он, у гвавы там богато продуктов.
На опенсырце все это собрать реально, коммерческие продукты хороши только тем, что там уже все в кучу и с удобной управлялкой. Тот же ASG/SGS - это как раз и есть такая сборная солянка, базирующаяся на линухе с настройками, заточенными на безопасность.
Вообще рекомендую присмотреться к Enterprise Messaging: это GW+TeamWorks+GWAVA (на момент выпуска это была ПОЛНАЯ линейка GWAVA, т.е. все продукты). Рекомендованный ценник: $214 за ящик. Есть расширение для NOWS ($65 за ящик). Maintenance:$107 Initial Business Support (раньше оно называлось Premium). Для тех, кто пользует GroupWise - это Ultimate Solution, вообще говоря. Тут и антивирус, и антиспам, и перлюстрация, и бэкап и т.д., и т.п.
Прошу прощения, что не опенсорс :)
Иван Левшин aka Ivan L.
 
Сообщения: 2579
Зарегистрирован: 05 июн 2002, 18:36
Откуда: Новомосковск, Тул. обл.

Re: smtp frontend для groupwise

Сообщение skoltogyan » 08 ноя 2018, 09:08

народ на хабре пару лет назад нечто подобное писал/обсуждал
https://habr.com/post/305746/
skoltogyan
 
Сообщения: 2043
Зарегистрирован: 12 июл 2002, 19:39
Откуда: Украина, Донецк

Re: smtp frontend для groupwise

Сообщение Dimerson » 08 ноя 2018, 14:11

Вести с полей.
Был взят SecureMessagingGateway.iso

И установлен GWAVA7 aka Secure Messaging Gateway.

Скрипт установки конечно кривоватый (руками поправил F:\preseed\gwava7.seed, иначе невозможно назначть IP адрес на интерфейсе ) но я этот Appliance завел.

Поднял его в своей DMZ.
Быстренько руками с помощью iptables разрешил весь исходящий трафик с эзернета + ответы на этот трафик
ну и вход на 25 и 80 порты только с нашей локалки.

Остальное на эзернете в DROP.

Сперва UBUNTY (Appliance на очень минимальной версии ебунты живет) обновилась а потом и
GWAVA обновилась до состояния
Update stream: release
Current revision: 550
Revision status: Your server is up to date

Поднял SMTP интерфейс в режиме фронтенда для своего почтовика.
Все галки по дефолту (тут галок в разы меньше чем в GWAVA6, все такое модное и попугаистое).
(проверка архивов = ON ну и блокирование всякой мразоты типа .js и .scr тоже = ON)

Ну и тестирую так:
текстовый файла с содержимым 'This is a test'
копирую в test.scr и test.js
и заворачиваю оба сперва в test.rar (первый файл) потом в test.zip (второй файл)

Самое главное ... Тадам !

.zip заблокирован .rar прошел :(

Может пока не поздно подсказать МикроФокусу что содержимое .rar архивов надо проверять тоже ?
Есть тут приближенные ?

Попробую еще обновить gwava на канал обновлений BETA ... но кажется мне что не знают супостаты что .rar это архивы :(

P.S. Gwava использует seconday AV Engine - ClamAV :-)
P.P.S. Beta .js+.scr в .rar не видит :(

P.P.P.S. Странно все это: test.com (содержащий EICAR Test) в rar файле он блокирует, .scr и .js в .zip блокирует, а вот .js и .scr в .rar пускает. Где логика ?
Получается отдельно живет AV енжина которая знает .rar но блокирует только по сигнатуре и отдельная енжина по содержимому аттачей которая .rar не умеет ?
Аватара пользователя
Dimerson
 
Сообщения: 2959
Зарегистрирован: 15 сен 2002, 14:39
Откуда: Регион 70

Re: smtp frontend для groupwise

Сообщение Иван Левшин aka Ivan L. » 08 ноя 2018, 22:38

Я за "приближенного" сойду? ;) Если есть поддержка (maintenance оплачен и активен) - лучше создать SR, там и правильнее, и "прямее" получится обработать запрос. Напишите мне на ivan.levshin AT microfocus.com, если есть сомнения/вопросы. Но, повторяю, самый правильный путь: создать SR через NCC. Попадет он, скорее всего, ко мне же :)))
Если с maintenance проблемы - попробуем другим путем. Но это не через форум.
Иван Левшин aka Ivan L.
 
Сообщения: 2579
Зарегистрирован: 05 июн 2002, 18:36
Откуда: Новомосковск, Тул. обл.

Re: smtp frontend для groupwise

Сообщение Dimerson » 09 ноя 2018, 03:31

Ок - создам SR.
Done.

SR#101199542641
Аватара пользователя
Dimerson
 
Сообщения: 2959
Зарегистрирован: 15 сен 2002, 14:39
Откуда: Регион 70

Re: smtp frontend для groupwise

Сообщение Dimerson » 09 ноя 2018, 16:17

Фокус покус пишет шо инженер назначен.
Аватара пользователя
Dimerson
 
Сообщения: 2959
Зарегистрирован: 15 сен 2002, 14:39
Откуда: Регион 70

Re: smtp frontend для groupwise

Сообщение Иван Левшин aka Ivan L. » 09 ноя 2018, 16:34

Да, вижу. Запрос ушел в Европу. Так даже лучше и быстрее :)
Очередь GWAVA с нами не сопоставлена, видимо.
Иван Левшин aka Ivan L.
 
Сообщения: 2579
Зарегистрирован: 05 июн 2002, 18:36
Откуда: Новомосковск, Тул. обл.

Re: smtp frontend для groupwise

Сообщение Dimerson » 12 ноя 2018, 17:50

Запрос ушел. Пока не дошел. :)
Аватара пользователя
Dimerson
 
Сообщения: 2959
Зарегистрирован: 15 сен 2002, 14:39
Откуда: Регион 70

Re: smtp frontend для groupwise

Сообщение Иван Левшин aka Ivan L. » 13 ноя 2018, 09:41

Он дошел и в работе, инженер уже назначен. Если будут тянуть - пошевелю.
Иван Левшин aka Ivan L.
 
Сообщения: 2579
Зарегистрирован: 05 июн 2002, 18:36
Откуда: Новомосковск, Тул. обл.

Re: smtp frontend для groupwise

Сообщение Dimerson » 13 ноя 2018, 11:59

Ясно. Будем ждать.
Интересно вот что, GWAVA 6.50 будут допиливать (если признают что есть проблема) или только GWAVA7 aka SMG онли ?
Аватара пользователя
Dimerson
 
Сообщения: 2959
Зарегистрирован: 15 сен 2002, 14:39
Откуда: Регион 70

Re: smtp frontend для groupwise

Сообщение Иван Левшин aka Ivan L. » 13 ноя 2018, 14:13

Для какой именно версии открыт запрос? И 6.5 в General или Extended Support? Если второе - не факт.
Иван Левшин aka Ivan L.
 
Сообщения: 2579
Зарегистрирован: 05 июн 2002, 18:36
Откуда: Новомосковск, Тул. обл.

След.

Вернуться в *nix

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 2

cron