[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Proxy POP/SMTP



Oi Rafael,

Oi faw! :)
 

On 13-10-2011 22:06, Rafael Henrique da Silva Correia wrote:
> Estou muito acostumado a ver o pessoal falar sobre Wlmproxy, Squid3
> e etc... porém na minha empresa não tenho nenhum servidor de emails
> e nem infra tenho pra isso.. o "servidor" mais "forte" que tenho
> parado é um Pentium III. O pessoal vive me cobrando para achar uma
> solução e monitorar os emails que entram e saem da empresa, eis que
> me veio a idéia de um proxy.
>
> O que preciso fazer?

Compreender que não é possível monitorar os emails que entram e saem
da empresa. :)

Num primeiro momento isso pode parecer um exagero, mas é preciso
considerar alguns pontos que dependem da sua topologia de rede, seus
firewalls e até mesmo sua política interna de tecnologia (por exemplo
o uso de 3G).

Uso do 3G não é permitido até que se prove contrário (celulares) porém vamos pré-supor
na minha questão que isso não seja levado em consideração... considere um ambiente
"imaginário" onde não exista 3G

O ponto principal é definir o escopo dos "emails que entram e saem da
empresa". Um funcionário usando GMail ou Yahoo! entra nessa categoria?

Gmail, Yahoo e todo o resto estão bloqueados, o cara só usa o email que lhe foi 
concebido por nosso domínio juntamente a nossa amiga Locaweb
 
A maioria dos serviços web usa HTTPS ou protocolos criptografados para
SMTP/IMAP/POP3, então seria extremamente difícil interceptar isso,
mesmo usando um proxy.

Nosso "plano" na Locaweb não permite criptografia (isso é uma merda, sim eu sei, porém é assim)

Se o objetivo é monitorar somente os emails da empresa, isso fica um
pouco mais próximo do possível, mas ainda assim é difícil. A questão
é simples, se você hospeda num provedor, você provavelmente usa os
mesmos protocolos criptografados mencionados acima, então interceptar
é difícil.

Locaweb... sem criptografia. Plano Locamail.

Se você controla o servidor, seja internamente ou no provedor, há
muito log que pode ser gerado sem interceptação, só com o próprio
MTA (ou servidor POP3/IMAP).

Concordo porém quero "parametrizar" o que logar ou não

> Preciso gerar logs (em texto mesmo) de assuntos e nomes de anexo
> por exemplo tudo isso no meu Firewall (que roda Squid3 + Iptables).

Assuntos é fácil, quase todo MTA gera isso, mas você precisa de
acesso ao MTA ou aos logs. E, você precisa *garantir* que o usuário
use o seu MTA. :-)

Eles usam pois não vão ter outro

Aqui começa o primeiro ponto, o que impede o usuário de usar o
email do GMail ou o servidor pessoal dele para fazer o envio via
SMTP (usando o próprio endereço email da empresa).

Só se for por celular/smartphones e etc... mas vamos desconsiderar a hipótese.
 
Mesmo que você faça restrições no firewall, você impede o uso de
3G? Porque ele pode usar o celular ou fazer uma VPN a partir do
celular, copiar os dados via USB/Bluetooth.

A cópia de dados pode acontecer.. sempre pode.. é inevitável e não quero 
pensar em métodos fora do "padrão" inicial estabelecido... apenas quero
imaginar que ele terá seu MTA e enviará emails através do nosso domínio 
cadastrado no Locamail da Locaweb.. mais nada

Squid3 é um proxy HTTP, ele só cuida desse tipo de conexão, ele
não trata conexões SMTP/POP3/IMAP.

Ok... só perguntei pra ter certeza mesmo! 
 
Com iptables você pode fazer interceptação, mas como eu disse, se
estiver usando criptografia, você não consegue olhar para o
conteúdo da conexão.

Exatamente... porém não tem criptografia
 
> Alguém tem alguma carta na manga ai pra me ajudar nesse serviço
> escravo?

Servidores de email incluem itens para "clonar" as mensagens, o
qmail e o postfix tem configurações onde você diz "toda a mensagem
deve ser copiada para o endereço test@example.org".

Isso funcionaria no meu caso... porém desta forma terei que ter um espaço
gigantesco de armazenamento em algum canto... e isso eu não tenho, infelizmente.

Mesmo que você controle o SMTP, você tem que olhar para os dados e
processá-los. Se seu usuário usar um SMTP alternativo, você não
consegue tratar isso.

Ok. Ciente.
 
E é por isso que o cenário é complicado.

Concordo mais vou ter que arriscar.
 
Certamente é possível ser implementado, o que não é possível é
garantir que você capturará 100% das mensagens que seus
funcionários trocam. Você só terá 100% do que passou pelo
servidor,  e isso imaginando que ninguém use criptografia. :)

Concordo plenamente.. mas com o tempo eu vou definindo certas 
barreiras pra isso

 
Abraço,
- --
Felipe Augusto van de Wiel (faw) <faw@funlabs.org>
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.11 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/
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=v3GE
-----END PGP SIGNATURE-----


--
To UNSUBSCRIBE, email to debian-user-portuguese-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Archive: 4E97D23F.8000806@funlabs.org" target="_blank">http://lists.debian.org/4E97D23F.8000806@funlabs.org


Você conhece alguma solução confiável para que isso aconteça? 
(pelo menos em uma margem de 50% de "certeza")
Eu achei o http://p3scan.sourceforge.net porém não sei se realmente é bom.

--
Rafael Henrique da Silva Correia
http://abraseucodigo.com.br

Administrador de Sistemas Linux
Certificado pela LPIC - 101
ID: LPI000160699


Reply to: