transparentni smtp proxy

Peter Surda surda na shurdix.com
Pondělí Duben 10 21:57:36 CEST 2006 

Vancl Miroslav (QRIS) wrote:
> Zatim zustava bohuzel nezodpovezena puvodni a smysluplna otazka: Nevite
> nekdo o takovem funkcnim proxy serveru ?
Odpovedam znovu: aspe.smtp (sucast Shurdixu).
- pracuje v realnom case
- kontaktuje presne ten server, ktory kontaktuje client (zistenie 
povodnej ip adresy cez getsock SO_ORIGINAL_DST), cim sa nepokazi 
napriklad SPF
- zvlada SMTP-AUTH. So seznamom som to sice neskusal, ale GMX.net a aj 
moj mail.shurdix.org s tym funguju.
- zvlada TLS (da sa vypnut lebo potom pochopitelne nedokaze vidiet do 
vnutra mejlu)
- na neNATovene adresy sa da zapnut parameter tproxy, cim sa zachova 
povodna IP adresa
- pokial ho k tomu neprinutis konfigurakom, na obsahu spojenia nic 
nemeni, t.j. podporuje prakticky hocijake nestandardne nadstavby 
protokolu. Jedine prida jeden riadok do headerov (X-ASPE: scanning)
- vie REAGOVAT, t.j. napr. ked niekto posle moc vela virov, bude mu 
dalsi SMTP zablokovany, cim sa setria zdroje. Pripadne sa moze aj 
kontaktovat administrator.
- vie LOGOVAT (helo/from/to/ip_adresy)
- vie viac mejlov v ramci jednej SMTP sessny
- optimalizovany na velku zataz (asynchronna praca so socketami, ziadne 
forkovanie)

Niekto sa pytal na timeouty. Jedine, kde moze nastat timeout, je pri 
konci stadia DATA, kym mejl dostane server (posielanie DATA casti je 
umelo spomalene dokym nie je dokoncene posielanie, potom nasleduje 
oscanovanie clamavom a az potom sa posle zvysok plnou rychlostou, teda 
pokial tam nie je najdeny virus, v ktorom pripade je spojenie nasilne 
ukoncene). Zrejme su vsak mejl clienty zvyknute na to, ze odozva v 
stadiu DATA dlho trva, takze som sa v praxi este s takymto timeoutom 
nestretol, a kedze aspe.smtp kontroluje postu potencialne az 3300 ludom, 
nerobil by som si s tym tazku hlavu.

Prosim, nestazujte sa, ze je to viazane na Shurdix (nie je, len treba 2 
perlove moduly, pripadne na podporu tproxy opecovat kernel a iptables). 
Je pod GPL (spominane moduly tiez), takze kludne napiste patch, ktore 
umozni, aby bez funkcii z tychto modulov fungoval, je to dost jednoduche 
a rad ten patch prijmem.

Na zaver linky:
http://docs.shurdix.org/aspe:config#aspe.smtp
http://docs.shurdix.org/shurdix:learn

A ked niekto pekne popyta, rad poslem aj ukazkovy konfigurak.

S pozdravom,
Peter

-- 
http://www.shurdix.org - Linux distribution for routers and firewalls

Další informace o konferenci Linux