[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Proxy POP/SMTP

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512

Olá,

Seria ótimo se você configurasse seu cliente de email para fazer
citação adequada das mensagens/respostas.


On 14-10-2011 18:29, Rafael Henrique da Silva Correia wrote:
> On 13-10-2011 <tel:13-10-2011> 22:06, Rafael Correia wrote:
>>> Estou muito acostumado a ver o pessoal falar sobre Wlmproxy, Squid3
>>> e etc... porém na minha empresa não tenho nenhum servidor de emails
>>> e nem infra tenho pra isso.. o "servidor" mais "forte" que tenho
>>> parado é um Pentium III. O pessoal vive me cobrando para achar uma
>>> solução e monitorar os emails que entram e saem da empresa, eis que
>>> me veio a idéia de um proxy.
>>>
>>> O que preciso fazer?
>> 
>> Compreender que não é possível monitorar os emails que entram e saem
>> da empresa. :)
>> 
>> Num primeiro momento isso pode parecer um exagero, mas é preciso
>> considerar alguns pontos que dependem da sua topologia de rede, seus
>> firewalls e até mesmo sua política interna de tecnologia (por exemplo
>> o uso de 3G). 

> Uso do 3G não é permitido até que se prove contrário (celulares) porém
> vamos pré-supor na minha questão que isso não seja levado em
> consideração... considere um ambiente "imaginário" onde não exista 3G

E é exatamente aí que a conversa mais ou menos acaba.

Você quer um proxy pop/smtp/imap para monitorar ações indevidas.
 - Se as ações são indevidas, elas provavelmente são proibidas.
 - Se o 3G é uma ação proibida, ele provavelmente pode ser usada para
   contornar outras ações indevidas

Se você só quer configurar o proxy para o chefe sair do seu pé, tranquilo,
configure um SMTP relay/proxy dentro da rede, configure os clientes para
usar ele, mande o resto para a Locaweb ou use um SOCKS proxy para fazer a
parte de interceptação (e mais algum malabarismo pra fazer o que você
precisa).

A conversa antes do cenário imaginário era: não importa o que você faça,
o vazamento pode acontecer, então a "ilusão" de estar seguro pode ser
ainda mais prejudicial.

Você pode usar SPF e Domain Keys para ajudar a forçar que as mensagens só
sejam enviada a partir dos seus servidores, mas isso depende do servidor
de email (e não sei se a Locaweb oferece isso).


>> O ponto principal é definir o escopo dos "emails que entram e saem da
>> empresa". Um funcionário usando GMail ou Yahoo! entra nessa categoria?
> 
> 
> Gmail, Yahoo e todo o resto estão bloqueados, o cara só usa o email
> que lhe foi concebido por nosso domínio juntamente a nossa amiga
> Locaweb

Mesmo se ele usar tor?  Ou um sshjump/VPN?  :-)

Em muitos lugares a ideia é simples, se o cara tiver acesso a web, em
especial à porta 443, ele pode ter um serviço de VPN na outra ponta e
passar todo o tráfego sem você saber. Claro, você pode apostar na
ignorância dos seus usuários em não saber como implementar isso.

Eu apostaria que um usuário está disposto a aprender e tentar de tudo
para garantir o acesso dele ao Facebook/Orkut e joguinhos.


>> A maioria dos serviços web usa HTTPS ou protocolos criptografados para
>> SMTP/IMAP/POP3, então seria extremamente difícil interceptar isso,
>> mesmo usando um proxy.
> 
> Nosso "plano" na Locaweb não permite criptografia (isso é uma merda,
> sim eu sei, porém é assim)

Lindo. :)

Me lembra o UOL há uns anos.


[...]
>> Mesmo que você faça restrições no firewall, você impede o uso de
>> 3G? Porque ele pode usar o celular ou fazer uma VPN a partir do
>> celular, copiar os dados via USB/Bluetooth.
> 
> A cópia de dados pode acontecer.. sempre pode.. é inevitável e não
> quero pensar em métodos fora do "padrão" inicial estabelecido...
> apenas quero imaginar que ele terá seu MTA e enviará emails através
> do nosso domínio cadastrado no Locamail da Locaweb.. mais nada

Note que a questão aqui é determinar o que é importante:

 * Evitar e identificar vazamento de dados
 * Monitorar cada passo dos usuários


[...]
>>     Servidores de email incluem itens para "clonar" as mensagens, o
>>     qmail e o postfix tem configurações onde você diz "toda a mensagem
>>     deve ser copiada para o endereço test@example.org
>>     <mailto:test@example.org>".
> 
> Isso funcionaria no meu caso... porém desta forma terei que ter um
> espaço gigantesco de armazenamento em algum canto... e isso eu não
> tenho, infelizmente.

Acho que não é tão gigantesco assim. :)

Abraço,
- -- 
Felipe Augusto van de Wiel (faw) <faw@funlabs.org>
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.11 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/
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=HztI
-----END PGP SIGNATURE-----
Reply to: