Leandro, Aqui eu uso a porta TCP/587 para os clientes, a 25 é bloqueada, tem algumas excessões, mas em geral ela é bloqueada para todos os clientes. Não teria algum jeito de desabilitar a autenticação na TCP/25 do servidor? tipo, o cliente usa a TCP/587 para enviar a mensagem para o servidor, e o servidor usa a 25 so para fazer o relay das mensagens enviadas os clientes através da TCP/587 e receber mensagens de outros servidores.
On Mon, 2010-08-16 at 18:40 -0300, Leandro - Intersol wrote: > Boa Noite > > Hoje eu trabalho e posso recomendar da seguinte forma: > > Controle de relay autenticado e com ssl usando a porta 465. > Isso resolve o seu caso de comunicação dos clientes para envio de mensagens > através do seu servidor, pois com o uso da porta 465 e certificados de > segurança > você pode tanto segurar no firewall como de outra forma o acesso a esta porta > sem prejudicar nada ao servidor. > > Seus clientes você deve de implementar uma regra impossibilitando a > comunicação > deles para a porta 25 externa a seu servidor, se caso seja necessário devido > a um > cliente ter uma conta de email externa você deve de liberar uma conta de > email > pra ele fazer o relay pelo seu servidor, assim você pode trancar completamente > a porta 25 do seus clientes para o mundo. Mais informações sobre isso você > pode > estar vendo em http://www.antispam.br/admin/porta25/ > > No tcp.smpd você deve de liberar assim: > 200.200.200.:allow,RELAYCLIENT="" #classe valida do provedor > 189.189.189.189:allow,RELAYCLIENT="" #ip valido do provedor > 172.16.4.:allow,RELAYCLIENT="" #classe invalida do provedor > :allow > > (lembre-se de gerar o tcp.smtp.cdb novamente sempre que atualizar este > arquivo) > > Caso esteja usando uma política pop-before-smtp recomendo um controle sobre o > tempo > de limpeza da tabela de ips liberados para o relay. > > Já o IMAP você pode trancar e liberar da forma que achar melhor, pois este > protocolo > não irá afetar ao funcionamento do servidor. > > Já a porta 25 para a comunicação dos servidores, você pode controlar no > firewall > do FreeBSD mesmo tanto com IPFW quanto com PF tranquilamente, caso tenha um > roteador > anterior como Cisco ou Mikrotik por exemplo você pode colocar regras para auto > incrementação quando detectado um possível ataque a porta, ou muitas conexões > simultâneas > ou algo do tipo. > > O site da cgi.br e antispam.br tem bastante material de como se deve tratar a > porta 25 > > Isso é uma idéia teórica de como proceder, se precisar de algo mais técnico > te > envio alguns links que poderão te ajudar. > > Até Mais > > > > -----Mensagem original----- > > De: freebsd-boun...@fug.com.br [mailto:freebsd-boun...@fug.com.br] Em > > nome de Modesto > > Enviada em: segunda-feira, 16 de agosto de 2010 18:01 > > Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) > > Assunto: Re: [FUG-BR] RES: SMTP Qmail > > > > Leandro, > > > > Voce teria alguma dica de como eu poderia fazer isso no firewall? > > segue um diagrama simples de como esta o servidor: > > +----------+ > > CLIENTES ------>TCP/587|---------> | | > > |Servidor | > > --------------->TCP/25--------------------> Outros Servidores > > CLIENTES------->TCP/25|-----X | | > > +----------+ > > > > Não sei como fazer isso no firewall sem bloquear a comunicação com > > outros servidores, vou dar uma olhada nas regras do tcp.smtp. > > > > Vlw. > > > > On Mon, 2010-08-16 at 13:31 -0300, Leandro - Intersol wrote: > > > > > Boa tarde > > > > > > Você pode fazer isso usando firewall, ou usando as regras em > > tcp.smtp. > > > Também além disso recomendo usar controle de relay autenticado, e > > usar > > > criptografia em todos os protocolos e querendo deixar somente imap > > para > > > uso externo habilite criptografia pois não se sabe de onde estará > > sendo > > > utilizado. > > > > > > > > > > -----Mensagem original----- > > > > De: freebsd-boun...@fug.com.br [mailto:freebsd-boun...@fug.com.br] > > Em > > > > nome de Modesto > > > > Enviada em: segunda-feira, 16 de agosto de 2010 11:30 > > > > Para: Lista FUG BR > > > > Assunto: [FUG-BR] SMTP Qmail > > > > > > > > Bom dia, > > > > > > > > Estou com um problema de saida de e-mail aqui no provedor, > > usamos > > > > QMAIL + vpopmail + spamassassin + clamav, estou pensando em fazer o > > > > seguinte, bloquear o relay SMTP para IP's que estejam fora do nosso > > > > prefixo, clientes que usarem nosso e-mail em outros lugares só > > poderam > > > > usar por IMAP. > > > > > > > > Alguem sabe se tem como fazer isso no QMAIL? > > > > > > > > Vlw > > > > > > > > Antonio Modesto > > > > > > > > Gerente de TI > > > > > > > > > > > > Praça Getúlio Vargas, 77 – Sala 308 – Centro > > > > > > > > Santo Antônio do Monte – MG – CEP: 35560-000 > > > > (37) 3281-2800 > > > > > > > > isimp...@isimples.com.brhttp://www.isimples.com.br > > > > > > > > > > > > Aviso:Esta mensagem e quaisquer arquivos em anexo podem conter > > > > informações confidenciais e/ou > > > > > > > > privilegiadas. Se você não for o destinatário ou a pessoa > > autorizada a > > > > receber esta mensagem, por favor, não > > > > > > > > leia, copie, repasse, imprima, guarde, nem tome qualquer ação > > baseada > > > > nessas informações. Notifique o > > > > > > > > remetente imediatamente por e-mail e apague a mensagem > > permanentemente. > > > > Atenção: embora a Isimples > > > > > > > > Telecom, tome seus cuidados para garantir a ausência de vírus neste > > > > e-mail, a empresa não se responsabiliza > > > > > > > > por quaisquer perdas ou danos decorrentes do uso da mensagem e seus > > > > anexos. A segurança e ausência de > > > > > > > > erros na transmissão do e-mail não podem ser garantidas, já que as > > > > informações podem ser interceptadas, > > > > > > > > corrompidas, perdidas, destruídas, atrasadas, chegarem incompletas, > > ou, > > > > ainda, conter vírus. Recomendamos > > > > > > > > checar se o e-mail e seus anexos contém vírus, uma vez que nem a > > > > Isimples Telecom ou o remetente se > > > > > > > > responsabilizam pela transmissão destes. > > > > > > > > > > > > > > > > ------------------------- > > > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > > > > ------------------------- > > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > > Antonio Modesto > > > > Gerente de TI > > > > > > Praça Getúlio Vargas, 77 – Sala 308 – Centro > > > > Santo Antônio do Monte – MG – CEP: 35560-000 > > (37) 3281-2800 > > > > isimp...@isimples.com.brhttp://www.isimples.com.br > > > > > > Aviso:Esta mensagem e quaisquer arquivos em anexo podem conter > > informações confidenciais e/ou > > > > privilegiadas. Se você não for o destinatário ou a pessoa autorizada a > > receber esta mensagem, por favor, não > > > > leia, copie, repasse, imprima, guarde, nem tome qualquer ação baseada > > nessas informações. Notifique o > > > > remetente imediatamente por e-mail e apague a mensagem permanentemente. > > Atenção: embora a Isimples > > > > Telecom, tome seus cuidados para garantir a ausência de vírus neste > > e-mail, a empresa não se responsabiliza > > > > por quaisquer perdas ou danos decorrentes do uso da mensagem e seus > > anexos. A segurança e ausência de > > > > erros na transmissão do e-mail não podem ser garantidas, já que as > > informações podem ser interceptadas, > > > > corrompidas, perdidas, destruídas, atrasadas, chegarem incompletas, ou, > > ainda, conter vírus. Recomendamos > > > > checar se o e-mail e seus anexos contém vírus, uma vez que nem a > > Isimples Telecom ou o remetente se > > > > responsabilizam pela transmissão destes. > > > > > > > > ------------------------- > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > ------------------------- > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Antonio Modesto Gerente de TI Praça Getúlio Vargas, 77 – Sala 308 – Centro Santo Antônio do Monte – MG – CEP: 35560-000 (37) 3281-2800 isimp...@isimples.com.brhttp://www.isimples.com.br Aviso:Esta mensagem e quaisquer arquivos em anexo podem conter informações confidenciais e/ou privilegiadas. Se você não for o destinatário ou a pessoa autorizada a receber esta mensagem, por favor, não leia, copie, repasse, imprima, guarde, nem tome qualquer ação baseada nessas informações. Notifique o remetente imediatamente por e-mail e apague a mensagem permanentemente. Atenção: embora a Isimples Telecom, tome seus cuidados para garantir a ausência de vírus neste e-mail, a empresa não se responsabiliza por quaisquer perdas ou danos decorrentes do uso da mensagem e seus anexos. A segurança e ausência de erros na transmissão do e-mail não podem ser garantidas, já que as informações podem ser interceptadas, corrompidas, perdidas, destruídas, atrasadas, chegarem incompletas, ou, ainda, conter vírus. Recomendamos checar se o e-mail e seus anexos contém vírus, uma vez que nem a Isimples Telecom ou o remetente se responsabilizam pela transmissão destes. ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd