Re: Proxy POP/SMTP
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512
Olá,
Seria ótimo se você configurasse seu cliente de email para fazer
citação adequada das mensagens/respostas.
On 14-10-2011 18:29, Rafael Henrique da Silva Correia wrote:
> On 13-10-2011 <tel:13-10-2011> 22:06, Rafael Correia wrote:
>>> Estou muito acostumado a ver o pessoal falar sobre Wlmproxy, Squid3
>>> e etc... porém na minha empresa não tenho nenhum servidor de emails
>>> e nem infra tenho pra isso.. o "servidor" mais "forte" que tenho
>>> parado é um Pentium III. O pessoal vive me cobrando para achar uma
>>> solução e monitorar os emails que entram e saem da empresa, eis que
>>> me veio a idéia de um proxy.
>>>
>>> O que preciso fazer?
>>
>> Compreender que não é possível monitorar os emails que entram e saem
>> da empresa. :)
>>
>> Num primeiro momento isso pode parecer um exagero, mas é preciso
>> considerar alguns pontos que dependem da sua topologia de rede, seus
>> firewalls e até mesmo sua política interna de tecnologia (por exemplo
>> o uso de 3G).
> Uso do 3G não é permitido até que se prove contrário (celulares) porém
> vamos pré-supor na minha questão que isso não seja levado em
> consideração... considere um ambiente "imaginário" onde não exista 3G
E é exatamente aí que a conversa mais ou menos acaba.
Você quer um proxy pop/smtp/imap para monitorar ações indevidas.
- Se as ações são indevidas, elas provavelmente são proibidas.
- Se o 3G é uma ação proibida, ele provavelmente pode ser usada para
contornar outras ações indevidas
Se você só quer configurar o proxy para o chefe sair do seu pé, tranquilo,
configure um SMTP relay/proxy dentro da rede, configure os clientes para
usar ele, mande o resto para a Locaweb ou use um SOCKS proxy para fazer a
parte de interceptação (e mais algum malabarismo pra fazer o que você
precisa).
A conversa antes do cenário imaginário era: não importa o que você faça,
o vazamento pode acontecer, então a "ilusão" de estar seguro pode ser
ainda mais prejudicial.
Você pode usar SPF e Domain Keys para ajudar a forçar que as mensagens só
sejam enviada a partir dos seus servidores, mas isso depende do servidor
de email (e não sei se a Locaweb oferece isso).
>> O ponto principal é definir o escopo dos "emails que entram e saem da
>> empresa". Um funcionário usando GMail ou Yahoo! entra nessa categoria?
>
>
> Gmail, Yahoo e todo o resto estão bloqueados, o cara só usa o email
> que lhe foi concebido por nosso domínio juntamente a nossa amiga
> Locaweb
Mesmo se ele usar tor? Ou um sshjump/VPN? :-)
Em muitos lugares a ideia é simples, se o cara tiver acesso a web, em
especial à porta 443, ele pode ter um serviço de VPN na outra ponta e
passar todo o tráfego sem você saber. Claro, você pode apostar na
ignorância dos seus usuários em não saber como implementar isso.
Eu apostaria que um usuário está disposto a aprender e tentar de tudo
para garantir o acesso dele ao Facebook/Orkut e joguinhos.
>> A maioria dos serviços web usa HTTPS ou protocolos criptografados para
>> SMTP/IMAP/POP3, então seria extremamente difícil interceptar isso,
>> mesmo usando um proxy.
>
> Nosso "plano" na Locaweb não permite criptografia (isso é uma merda,
> sim eu sei, porém é assim)
Lindo. :)
Me lembra o UOL há uns anos.
[...]
>> Mesmo que você faça restrições no firewall, você impede o uso de
>> 3G? Porque ele pode usar o celular ou fazer uma VPN a partir do
>> celular, copiar os dados via USB/Bluetooth.
>
> A cópia de dados pode acontecer.. sempre pode.. é inevitável e não
> quero pensar em métodos fora do "padrão" inicial estabelecido...
> apenas quero imaginar que ele terá seu MTA e enviará emails através
> do nosso domínio cadastrado no Locamail da Locaweb.. mais nada
Note que a questão aqui é determinar o que é importante:
* Evitar e identificar vazamento de dados
* Monitorar cada passo dos usuários
[...]
>> Servidores de email incluem itens para "clonar" as mensagens, o
>> qmail e o postfix tem configurações onde você diz "toda a mensagem
>> deve ser copiada para o endereço test@example.org
>> <mailto:test@example.org>".
>
> Isso funcionaria no meu caso... porém desta forma terei que ter um
> espaço gigantesco de armazenamento em algum canto... e isso eu não
> tenho, infelizmente.
Acho que não é tão gigantesco assim. :)
Abraço,
- --
Felipe Augusto van de Wiel (faw) <faw@funlabs.org>
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.11 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/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=HztI
-----END PGP SIGNATURE-----
Reply to: