Re: Proxy POP/SMTP

[Luiz Henrique Rauber Rodrigues <luiz.rauber@gmail.com>]

um pitaco saindo um pouco da ideia (se na concorda sem segue lendo :D).

não seria melhor ter um... vnc ao exemplo... nas maquinas e deixar os
funcionarios avisados que as suas sessões podem ser observadas
remotamente, e que há log do que é digitado... assim, o povo vai
pensar 2x antes de fazer coisa que não deve.

e se nao quer estourar banda/disco, limita espaço pras contas e
bloqueia anexos nos mails corporativos no server, e bloqueia acessos a
gmail e afins :D

mas isso nao elimina as 3G (e gprs que tão razoáveis e baratas), nao
elimina do sujeito transcrever na unha um arquivo texto no celular por
exemplo

portanto a melhor solucao seria aumentar a maturidade do povo com
cursos e afins sobre segurança.

Em 14 de outubro de 2011 03:10, Felipe Augusto van de Wiel (faw)
<faw@funlabs.org> escreveu:
> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA512
>
> Oi Rafael,
>
> On 13-10-2011 22:06, Rafael Henrique da Silva Correia wrote:
>> Estou muito acostumado a ver o pessoal falar sobre Wlmproxy, Squid3
>> e etc... porém na minha empresa não tenho nenhum servidor de emails
>> e nem infra tenho pra isso.. o "servidor" mais "forte" que tenho
>> parado é um Pentium III. O pessoal vive me cobrando para achar uma
>> solução e monitorar os emails que entram e saem da empresa, eis que
>> me veio a idéia de um proxy.
>>
>> O que preciso fazer?
>
> Compreender que não é possível monitorar os emails que entram e saem
> da empresa. :)
>
> Num primeiro momento isso pode parecer um exagero, mas é preciso
> considerar alguns pontos que dependem da sua topologia de rede, seus
> firewalls e até mesmo sua política interna de tecnologia (por exemplo
> o uso de 3G).
>
> O ponto principal é definir o escopo dos "emails que entram e saem da
> empresa". Um funcionário usando GMail ou Yahoo! entra nessa categoria?
>
> A maioria dos serviços web usa HTTPS ou protocolos criptografados para
> SMTP/IMAP/POP3, então seria extremamente difícil interceptar isso,
> mesmo usando um proxy.
>
> Se o objetivo é monitorar somente os emails da empresa, isso fica um
> pouco mais próximo do possível, mas ainda assim é difícil. A questão
> é simples, se você hospeda num provedor, você provavelmente usa os
> mesmos protocolos criptografados mencionados acima, então interceptar
> é difícil.
>
> Se você controla o servidor, seja internamente ou no provedor, há
> muito log que pode ser gerado sem interceptação, só com o próprio
> MTA (ou servidor POP3/IMAP).
>
>
>> Preciso gerar logs (em texto mesmo) de assuntos e nomes de anexo
>> por exemplo tudo isso no meu Firewall (que roda Squid3 + Iptables).
>
> Assuntos é fácil, quase todo MTA gera isso, mas você precisa de
> acesso ao MTA ou aos logs. E, você precisa *garantir* que o usuário
> use o seu MTA. :-)
>
> Aqui começa o primeiro ponto, o que impede o usuário de usar o
> email do GMail ou o servidor pessoal dele para fazer o envio via
> SMTP (usando o próprio endereço email da empresa).
>
> Mesmo que você faça restrições no firewall, você impede o uso de
> 3G? Porque ele pode usar o celular ou fazer uma VPN a partir do
> celular, copiar os dados via USB/Bluetooth.
>
> Squid3 é um proxy HTTP, ele só cuida desse tipo de conexão, ele
> não trata conexões SMTP/POP3/IMAP.
>
> Com iptables você pode fazer interceptação, mas como eu disse, se
> estiver usando criptografia, você não consegue olhar para o
> conteúdo da conexão.
>
>
>> Alguém tem alguma carta na manga ai pra me ajudar nesse serviço
>> escravo?
>
> Servidores de email incluem itens para "clonar" as mensagens, o
> qmail e o postfix tem configurações onde você diz "toda a mensagem
> deve ser copiada para o endereço test@example.org".
>
> Mesmo que você controle o SMTP, você tem que olhar para os dados e
> processá-los. Se seu usuário usar um SMTP alternativo, você não
> consegue tratar isso.
>
>
> E é por isso que o cenário é complicado.
>
> Certamente é possível ser implementado, o que não é possível é
> garantir que você capturará 100% das mensagens que seus
> funcionários trocam. Você só terá 100% do que passou pelo
> servidor,  e isso imaginando que ninguém use criptografia. :)
>
> Abraço,
> - --
> Felipe Augusto van de Wiel (faw) <faw@funlabs.org>
> -----BEGIN PGP SIGNATURE-----
> Version: GnuPG v1.4.11 (GNU/Linux)
> Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/
>
> iQIcBAEBCgAGBQJOl9I/AAoJEMa4WYSFUi4tHn4P/jYPdWLd/oLY3tWMsfo+RdrI
> dErNkGYjs8pWKuraj0aBccNIPsE5iOPMzc1WNzPnguRCsKn/84Jwq3oFKbPla9qK
> 4T2PtBdM7ugJ49l/YNUBS/H9f3ZaL+lplUAwSujJyxtk89/o9Y7F/4StKUN5nGWG
> 7M1vbYmuLTYVUZeWC9kQvzgBwiO515eYFLtml1Asr3IXrf0FVUO8Q+DxJnr2urKP
> oc7DwcnW1FLl8VDNvJcvwN5m5OtdbzLmvUJLhMOqMjprDQNysR/h4DOpE/jLxg0I
> y1sOVjXNfGbvY4riPHC2yDyM8TaugnRNqYOFdwdoqjvvgeN+F1dP6mBzi+ms+2gL
> 3G3fEDeeultGZ/wEuAQd6KnfNa/aC5RcY/hUi/U56UkVn0Vfmkl2HGQkXefMDKZo
> 2ILV09LbvWDbtbGEv5BgAsnHsM0q0Ra9kshlNwEsKc1dasFIDafW4YV6Zr2cju/9
> lBkUDTG/ediCA/PLmHca3jZ5ZyBm/hgwRd1sE0Ies+LsSx8GR+ibdfuZQXeobp0+
> rADcywFwMUMlFfA4lcJSSFapK+QVxSAtrkkW5PHKgk8L0hPaOcJGogNy/+Dv9hos
> zyfiyNhg3rtNJdnsZVaK0l2jgpoeiwVpJAB74t/zgeWe8uNgdS77GTDL9T8+vW8X
> HHGPqHyE1GTz3yT8qVL3
> =v3GE
> -----END PGP SIGNATURE-----
>
>
> --
> To UNSUBSCRIBE, email to debian-user-portuguese-REQUEST@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
> Archive: [🔎] 4E97D23F.8000806@funlabs.org">http://lists.debian.org/[🔎] 4E97D23F.8000806@funlabs.org
>
>



-- 
att.

Luiz Henrique Rauber Rodrigues
Consultor em TI Esp. Gerenc. Projetos
51 9850 0533 - 55 8412 0309 - RS
luiz.rauber@gmail.com - luizrauber.blogspot.com

/* Antes de imprimir este e-mail, pense se é realmente importante isso em papel,
evitar desperdício também é conscientização ambiental */