Re: Open Proxy

To: debian-user-portuguese@lists.debian.org
Subject: Re: Open Proxy
From: Rafael <rganascim@gmail.com>
Date: Wed, 20 Sep 2006 15:39:08 -0300
Message-id: <[🔎] 2f7feda40609201139q26ade138l68621de8594d947b@mail.gmail.com>
In-reply-to: <[🔎] 44d22a430609201118x2d46ddb1od5dca0165cd3e44f@mail.gmail.com>
References: <[🔎] 44d22a430609201118x2d46ddb1od5dca0165cd3e44f@mail.gmail.com>

Olá,

Existem algumas considerações ai....

Para que você receba emails da Internet, sua porta 25 tem que estar
aberta. Então, seu firewall tem que deixar passar as requisições para
a porta 25.
O que pode ser feito para resolver o seu problema, é achar um serviço
de listas negras e bloquear os ips/servidores que se econtram nestas
blacklists. A melhor forma de fazer isso é implementando aí no seu
servidor de email checagem destas listas (veja algumas em
http://www.email-policy.com/Spam-black-lists.htm). E lembre-se, nunca
deixe o relay aberto(enviar email sem autenticação) do servidor de
email para a Internet(aliás, nem para a rede interna).

Sobre OpenProxy, isto é quando você tem, por exemplo, um squid
permitindo conexões tcp que não sejam da sua rede interna sejam feitas
por ele para enviar email, por exemplo. Reveja a configuraçao
dele(squid) para saber se tb não tem esse problema(ex: http_access
allow all ao inves de http_access deny all).

E nas regras de iptables que você mandou, o servidor de emails ficará
impossibilitado de receber emails de fora, pois você permite que
apenas ele converse com o mundo exterior.


[ ] 's

2006/9/20, Derly Prado <derlyp@gmail.com>:

Senhores,

Tenho um domínio que diariemente está sendo listado em back lists de e-mail,
mais especificamente pela lista CBL. Dando uma olhada nas prováveis causas
para meu domínio ser listado, encontrei:

- vírus (descartado, servidores e máquinas estão limpas);
- Open proxy

Tenho um Debian Sarge atuando como firewall proxy, que redireciona cada
porta para seu respectivo servidor. Como meu servidor de e-mails é interno,
redireciono as portas 25 e 110 do meu firewall para meu servidor de e-mails,
mas creio que seja esse o problema, visto que não é feita nenhuma filtragem,
ou seja, minha porta 25 está aberta.

Na própria CBL eles aconselham a incluir o seguinte código no meu script de
iptables:

# Assume MTA is inside the NAT and needs to be able to talk to the

# world, but not receive.

# Fill in this field
IP_OF_MTA_HOST=
iptables -A FORWARD -p tcp -s $IP_OF_MTA_HOST --dport 25 -j ACCEPT

# Log packets trying to cross the interfaces.
iptables -A FORWARD -p tcp --dport 25 -j LOG


# Drop those packets
iptables -A FORWARD -p tcp --dport 25 -j DROP

OK, mas se eu faço isso, meu servidor pára de receber e-mails.

Alguém tem alguma dica?

Valeu.



--
----------------------------
Derly Prado Junior
derlyp@gmail.com
----------------------------

Reply to:

References:
- Open Proxy
  - From: "Derly Prado" <derlyp@gmail.com>

Prev by Date: Open Proxy
Next by Date: Re: Falha na comunicação entre processos - Dansguardian e Syslog
Previous by thread: Open Proxy
Next by thread: Re: Open Proxy
Index(es):
- Date
- Thread