[eside-ghost] pregunta de seguridad. tcp wrapper --> filtrado
correo
Alvaro Marín
alvaro en rigel.deusto.es
Mie Mayo 5 11:51:56 CEST 2004
On Wed, 05 May 2004 10:58:02 +0200
Jose Manuel Garcia Sanchez <jmgarcia en stic.upco.es> wrote:
> Hola de nuevo
Hola Jose Manuel
> Pues filtramos en el MTA, en la conexion. Se le hace un REJECT a todo
> correo que provenga de un dominio inexistente
>
> Aqui te va un trocito de log de ejemplo
>
> May 4 11:21:42 mail1 postfix/smtpd[5788]: B902D8FBE6:
> client=unknown[11.22.33.44]
> May 4 11:21:44 mail1 postfix/smtpd[5788]: B902D8FBE6: reject: RCPT from
> unknown[11.22.33.44]: 450 <postmaster en localhost.localdomain>: Sender
> address rejected: Domain not found;
> from=<postmaster en localhost.localdomain> to=<direccion en upco.es>
> proto=ESMTP helo=<localhost.localdomain>
> Lo que se filtra en este caso es dominios que no resuelven a un registro
> A o MX.
Esto libera de mucho correo sí, pero viendo cómo configura la gente sus DNS, en nuestro caso se rechazaba un montón de correo "legítimo", asi que tuvimos que quitarlo (muchas direcciones con subdominios no tenían registro A ni MX). Lo mismo para las consultas de registros PTR, que parece que la gente no los suele configurar...
> Tambien filtramos por cabeceras, adjuntos y patrones de cuerpo del
> mensaje de virus conocidos. Filtrando a nivel del MTA, se le hace un
> DISCARD al mensaje que luego ya no es procesado por el antivirus (CPU
> que nos ahorramos)
Sí, un header_checks y un body_checks no viene mal para quitarse "lo gordo".
La gente mucho se queja del spam y los virus, pero es que Internet es un verdadero desastre...
agur!
split.
Más información sobre la lista de distribución eside-ghost