UncleFather » 23 фев 2013 11:40, Сб
Проблема:
В очередной раз при просмотре логов KC увидел несанкционированную почту с внешних ip, адресованную пользователям моего домена Kerio Connect.
Ситуация такая:
В ЛВС установлен Kerio Connect. Порты pop, smtp, https проброшены наружу (поскольку наша организация имеет много филиалов с динамическими ip в области, а людям нужно работать с почтой и из веб-интерфейса и из почтовых клиентов).
На Kerio Connect крутятся несколько почтовых доменов.
Естественно, в Kerio Connect настроены и черные списки DNS и SpamAssasin и CallerID и SPF и задержка SMTP, что немного помогает в фильтрации "левых" писем.
Однако, меня, мягко говоря, настораживает возможность отправки несанкционированной почты внутри моих доменов. Ведь в Kerio Connect нет возможности ввести принудительную аутентификацию для отправки почты внутри собственного почтового домена.
Вот и получается, что любой спамер, да и вообще любой человек может отослать почту с практически любого ip (не входящего в мой список DNS Black листов) любому пользователю внутри моих доменов и ему для этого не нужно знать вообще ничего, кроме доменного имени, по которому он сможет определить адрес моего почтового сервера. Например, какой-нибудь шутник может написать письмо главному бухгалтеру от имени руководителя (ведь узнать их почтовые адреса труда не составляет), вложить в письмо счет и попросить главбуха этот счет оплатить. Я, конечно, немного утрирую, но, тем не менее, нужно учитывать ВСЕ варианты.
В связи с чем возникает вопрос - А как же все-таки запретить бесконтрольную отправку писем внутри домена? Можно ли как-то заставить аутентифицироваться не только для пересылки почты на внешние домены, но и для отправки письма пользователю своего же домена?
Ведь любой почтовик общего пользования типа yandex.ru, mail.ru, gmail.com не даст отправить почту пользователю своего же домена до тех пор, пока отправитель не авторизуется корректно - почему же KC так не умеет?
Решение:
Начиная с 8-й версии Kerio Connect проблема решается установкой галочки «Require authentication even when sender is from a local domain» в настройках сервера SMTP на вкладке «Параметры безопасности»:
- 01.png (7.72 КБ) 8602 просмотра
Естественно, и в этом случае, при необходимости, можно задать группу ip-адресов для отправки почты через SMTP сервер без авторизации:
Дополнение:
В последних версиях Kerio Connect эти настройки вынесены на отдельную вкладку «Безопасность -> Политика отправителя»:
[b][size=150]Проблема:[/size][/b]
В очередной раз при просмотре логов KC увидел несанкционированную почту с внешних ip, адресованную пользователям моего домена Kerio Connect.
Ситуация такая:
В ЛВС установлен Kerio Connect. Порты pop, smtp, https проброшены наружу (поскольку наша организация имеет много филиалов с динамическими ip в области, а людям нужно работать с почтой и из веб-интерфейса и из почтовых клиентов).
На Kerio Connect крутятся несколько почтовых доменов.
Естественно, в Kerio Connect настроены и черные списки DNS и SpamAssasin и CallerID и SPF и задержка SMTP, что немного помогает в фильтрации "левых" писем.
Однако, меня, мягко говоря, настораживает возможность отправки несанкционированной почты внутри моих доменов. Ведь в Kerio Connect нет возможности ввести принудительную аутентификацию для отправки почты внутри собственного почтового домена.
Вот и получается, что любой спамер, да и вообще любой человек может отослать почту с практически любого ip (не входящего в мой список DNS Black листов) любому пользователю внутри моих доменов и ему для этого не нужно знать вообще ничего, кроме доменного имени, по которому он сможет определить адрес моего почтового сервера. Например, какой-нибудь шутник может написать письмо главному бухгалтеру от имени руководителя (ведь узнать их почтовые адреса труда не составляет), вложить в письмо счет и попросить главбуха этот счет оплатить. Я, конечно, немного утрирую, но, тем не менее, нужно учитывать ВСЕ варианты.
В связи с чем возникает вопрос - А как же все-таки запретить бесконтрольную отправку писем внутри домена? Можно ли как-то заставить аутентифицироваться не только для пересылки почты на внешние домены, но и для отправки письма пользователю своего же домена?
Ведь любой почтовик общего пользования типа yandex.ru, mail.ru, gmail.com не даст отправить почту пользователю своего же домена до тех пор, пока отправитель не авторизуется корректно - почему же KC так не умеет?
[b][size=150]Решение:[/size][/b]
Начиная с 8-й версии Kerio Connect проблема решается установкой галочки [url=http://kb.kerio.com/product/kerio-connect/server-configuration-kerio-connect/configuring-the-smtp-server-in-kerio-connect-1167.html]«Require authentication even when sender is from a local domain»[/url] в настройках сервера SMTP на вкладке «Параметры безопасности»:
[attachment=2]01.png[/attachment]
Естественно, и в этом случае, при необходимости, можно задать группу ip-адресов для отправки почты через SMTP сервер без авторизации:
[attachment=1]02.jpg[/attachment]
[b][size=200]Дополнение:[/size][/b]
В последних версиях Kerio Connect эти настройки вынесены на отдельную вкладку «[i][b]Безопасность -> Политика отправителя[/b][/i]»: [attachment=0]03.JPG[/attachment]