Dimerson писал(а):Джентльмены, есть ли в природе нечто опенсорсное. Которое к примеру может принимая почту на домен по smtp, и проверяя аттачменты на заразу и прочее понять, что в аттаче названный по русски .rar переименованный в .gz и в нем к примеру русскоязычный .js или.scr, который если не попадает под сигнатуру антивируса (свежая зараза), отстрелит e-mail по типу файла . Ну и настроек фронтенда поболее.
Поковырялся тут с smtp и ужаснулся сколько гадости идет по почте
Kaspersky secure mail gateway - по технологии это CentOS 6 + postfix, с проверкой "на-лету". Основной вариант включения - как раз в качестве фронтенда, включённого в "разрыв" перед основным почтарём (MX снаружи на KSMG ставишь, по сути - и всё). Я добавил проверку при приёме - средствами postfix-а - на обратную зону (сообщение не принимается, если ip-шнику отправителя нет соотв. A-записи), в логе это выглядит так:
NOQUEUE: reject: RCPT from unknown[200.74.132.134]: 450 4.7.1 Client host rejected: cannot find your hostname, [200.74.132.134];
Отлуп идёт во время приёма, не порождая ответное спровоцированное сообщение от mailer-daemon-а.
Ещё одна дополнительная проверка, сильно уменьшающая т.н. backscatter (когда mailer-daemon пытается ответить на фейковые обратные адреса сообщением типа User not found) - проверка по relay_recipients при приёме, т.е. ответный backscatter тоже не генерится, и отлуп также происходит во время smtp-сессии (после rcpt to:). В логе это выглядит вот так:
NOQUEUE: reject: RCPT from emporio-armani-time.ru[51.254.69.244]: 550 5.1.1 <anthon@inp.nsk.su>: Recipient address rejected: User unknown in relay recipient table;
Пока не было этой проверки, наш приёмный mailer-daemon регулярно имел здоровенные очереди отправки на фейковые адреса, пытаясь отправить им сообщения про несуществующих получателей. Таблица реальных пользователей генерится самописным несложным скриптом четыре раза в час и пересылается по scp на шлюз с Касперским, мне удобнее было сделать это в файле, можно проверку реально существующих адресов делать в ldap-каталоге.
Ну, а собственно Касперский, вклинившись в smtp-цепочку, делает проверку на спам, вирусы (зависит от лицензии). Работает у нас эта конструкция уже второй год, особых нареканий нет, с задачами справляется, кол-во заразы и спама резко сократилось (точнее, спам мы не удаляем, а помечаем как [Spam] в сабже и пропускаем юзерам - вдруг ложное срабатывание будет, у нас есть пара примеров, когда почта из приличных источников касперским за спам принималась).
Кстати, попутно обнаружил забавный глюк в связке firewall-а Cisco ASA5525-X и postfix-а при отправке (у нас KSMG и принимает и отправляет "наружу" всю почту, о чём есть в нашем DNS-е соотв. spf-запись) - гугл стал помечать принимаемые от нас письма красным, как принятые по открытому SMTP, т.е., небезопасные, хотя в postfix-е была включена опция использовать на отправку TLS, если принимающая сторона это понимает.
Оказалось, это багофича ASA - она "на-лету" врезалась в smtp-сессию и вместо ESMTP ошибочно генерировала простую SMTP (HELO вместо EHLO). Но у postfix-а на эту тему есть специальный ключик в конфиге, который аннулирует эту циско-самодеятельность
. Когда с этим разобрались, отписался в техподдержку Касперского, чтобы они где-то у себя в базе знаний отметили этот факт, комбинация-то - ASA+postfix - достаточно распространённая.
UPD: Да, Касперский - ни разу не опенсорс, тут уже предложили настоящую кошерную связку - postfix + amavis + spamassassin
. У нас такая комбинация работала довольно долго, несколько лет, но качество её заметно уступало Касперскому, почему в итоге и переориентировались на отечественного производителя (небесплатного).