Kerio Connect. Аутентификация SMTP внутри домена

Microsoft Internet Security and Acceleration (ISA) Server
Microsoft Internet Information Services
Kerio Connect
Kerio Mail Server
Kerio Firewall
UserGate
DHCP, DNS, SMTP, POP, WWW, FTP


Модератор: UncleFather

Аватара пользователя
UncleFather
Site Admin
Сообщения: 1505
Зарегистрирован: 17 авг 2004 16:20, Вт
Контактная информация:

Kerio Connect. Аутентификация SMTP внутри домена

Сообщение UncleFather »

Проблема:

В очередной раз при просмотре логов KC увидел несанкционированную почту с внешних ip, адресованную пользователям моего домена Kerio Connect.

Ситуация такая:
В ЛВС установлен Kerio Connect. Порты pop, smtp, https проброшены наружу (поскольку наша организация имеет много филиалов с динамическими ip в области, а людям нужно работать с почтой и из веб-интерфейса и из почтовых клиентов).
На Kerio Connect крутятся несколько почтовых доменов.
Естественно, в Kerio Connect настроены и черные списки DNS и SpamAssasin и CallerID и SPF и задержка SMTP, что немного помогает в фильтрации "левых" писем.
Однако, меня, мягко говоря, настораживает возможность отправки несанкционированной почты внутри моих доменов. Ведь в Kerio Connect нет возможности ввести принудительную аутентификацию для отправки почты внутри собственного почтового домена.
Вот и получается, что любой спамер, да и вообще любой человек может отослать почту с практически любого ip (не входящего в мой список DNS Black листов) любому пользователю внутри моих доменов и ему для этого не нужно знать вообще ничего, кроме доменного имени, по которому он сможет определить адрес моего почтового сервера. Например, какой-нибудь шутник может написать письмо главному бухгалтеру от имени руководителя (ведь узнать их почтовые адреса труда не составляет), вложить в письмо счет и попросить главбуха этот счет оплатить. Я, конечно, немного утрирую, но, тем не менее, нужно учитывать ВСЕ варианты.

В связи с чем возникает вопрос - А как же все-таки запретить бесконтрольную отправку писем внутри домена? Можно ли как-то заставить аутентифицироваться не только для пересылки почты на внешние домены, но и для отправки письма пользователю своего же домена?

Ведь любой почтовик общего пользования типа yandex.ru, mail.ru, gmail.com не даст отправить почту пользователю своего же домена до тех пор, пока отправитель не авторизуется корректно - почему же KC так не умеет?

Решение:

Начиная с 8-й версии Kerio Connect проблема решается установкой галочки «Require authentication even when sender is from a local domain» в настройках сервера SMTP на вкладке «Параметры безопасности»:

01.png
01.png (7.72 КБ) 8344 просмотра

Естественно, и в этом случае, при необходимости, можно задать группу ip-адресов для отправки почты через SMTP сервер без авторизации:

02.jpg

Дополнение:

В последних версиях Kerio Connect эти настройки вынесены на отдельную вкладку «Безопасность -> Политика отправителя»:

03.JPG

Alexander A. Manaeff©

Понравилась статья? Будем крайне признательны за репосты в соцсетях! Материально поддержать проект можно здесь

Мои странички:
ВКонтакте
Одноклассники
Youtube
Facebook
Instagram

Изображение
Изображение
Изображение
Изображение