Courier Mail Server Forum Index Courier Mail Server
www.courierms.ru
 
 FAQFAQ   SearchSearch   MemberlistMemberlist   UsergroupsUsergroups   RegisterRegister 
 ProfileProfile   Log in to check your private messagesLog in to check your private messages   Log inLog in 

v1| Антирелей в CMS 1.56

 
Post new topic   Reply to topic    Courier Mail Server Forum Index -> Готовые решения
View previous topic :: View next topic  
Author Message
GrAnd
CMS Master
CMS Master


Joined: 21 Oct 2005
Posts: 766
Location: г. Коломна

PostPosted: 10 Jan 2006 18:28 (Tue)    Post subject: v1| Антирелей в CMS 1.56 Reply with quote

Антирелей в CMS 1.56.
Облегченная (и бесплатная) версия CMS 1.56 лишена многих полезных особенностей, в т.ч. возможности защиты почтового сервера от его несанкционированного использования в качестве открытого релея (Open Relay), т.е. пересылки через него почты для сторонних получателей, например спама. Объем трафика такой несанкционированной пересылки может достигать нескольких гигабайт в сутки, что может очень неблагоприятно скзаться на финансовой состоятельности организации, использующей такой дешевый почтовый сервер.

Обычно используют версию CMS 1.56 небольшие организации, в которых системному администратору удалось убедить руководство в необходимости получения "белого" IP и регистрации доменного имени, но не в приобретении почтового сервера для нескольких десятков пользователей.
Особенностью таких доменов обычно является их регистрация в доменной зоне 3-го уровня. Но даже для доменов 2-го уровня реализовать описанную ниже схему не представляется сложным.
При регистрации доменного имени 3-го уровня типа company.provider.ru провайдер должен предоставить пользователю необходимые аутентификационные данные для управления доменом в центре доменных имен rucenter. Но даже если этого и не происходит, то более-менее грамотный провайдер сам проведет необходимые настройки. В том числе заведет 2 (или больше) MX-записи, первичная из которых указывает на внешний IP-адрес шлюза ЛВС предприятия (т.е., чаще всего - на почтовый сервер предприятия непосредственно), а вторичная - на почтовый релей провайдера. Вот этой вторичной MX-записью мы и воспользуемся. А так же тем, что спамерные программы не работают с вторичными записями. А если бы и работали, то весь поток спама не мог бы попасть на почтовый сервер предприятия, находящийся по первичному адресу, а разруливался релеем провайдера, либо уничтожался бы на нем.
Для этого в настройках почтового сервера CMS 1.56 в свойствах IP-фильтров устанавливаем переключатель "Фильтровать на основе списка правил" и добавляем следующие правила:
    1. Разрешаем подключения по POP3 и SMTP для диапазона локальных адресов. Обычно это 192.168.x.x или реже 172.16-31.x.x или 10.10.x.x. Для сетей без DHCP могут появиться адреса 169.254.x.x.
    2. Можно также разрешить подключения по POP3 и SMTP для адреса 127.0.0.1, т.к. в CMS 1.56 отсутствуют механизмы, способные вызвать закольцовку. Это может несколько облегчить настройку клиента на том компьютере, где установлен данный почтовый сервер.
    3. Разрешаем подключения по SMTP для почтового релея, указанного во вторичной MX-записи домена.
    4. Разрешаем подключения по POP3 для внешних "белых" адресов, откуда так же предполагается подключаться к данному почтовому серверу для приема почты. Разрешать подключение по SMTP не является обязательным. Только в том случае, если отправка писем с этих внешних адресов осуществляется исключительно (или по большей части) в этот домен.

Вот и все, в принципе. Теперь правильно работающий почтовый сервер отправителя (или релей) после неудачной попытки прямого подключения по первичному адресу отошлет письмо по вторичному адресу на почтовый релей провайдера, который затем успешно подключится и перешлет письмо. Разумеется, если это не спам для стороннего получателя. В противном случае, либо подключения по вторичному записи не произойдет, либо произойдет, но письмо уже будет направлено получателю напрямую, минуя ваш сервер, или уничтожено, если на релее антиспам-система настроена соответствующим образом.

Остается только добавить, что адрес, прописанный во вторичной MX-записи, даже если он не сообщен провайдером, можно узнать при помощи утилиты Nslookup (Windows NT/2K/2K3/XP), выдав ей команды:
Code:
>set type=mx
>localdomain.ru
, где вместо localdomain.ru следует подставить зарегистрированное имя своего домена.
Если утилита отказывается работать с компьютера, расположенного в локальной сети, следует проверить настройки DNS-сервера сети, службы NAT на шлюзе, или, хотя бы, попытаться запустить ее непосредственно на шлюзе. Подробнее об использовании средства Nslookup можно прочитать в Интернете.

_________________
Все, что началось хорошо, закончится плохо.
Все, что началось плохо, закончится еще хуже.
Если вам кажется, что все идет хорошо, значит вы чего-то не замечаете.
Если все закончилось хорошо, то, значит, это еще не конец!
Back to top
View user's profile Send private message
Display posts from previous:   
Post new topic   Reply to topic    Courier Mail Server Forum Index -> Готовые решения All times are GMT + 4 Hours
Page 1 of 1

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum
You cannot attach files in this forum
You can download files in this forum


Powered by phpBB © 2001, 2005 phpBB Group