transparentni smtp proxy
Petr Baláš
petr.balas na gmail.com
Pátek Duben 14 23:59:00 CEST 2006
On 4/10/06, Peter Surda <surda na shurdix.com> wrote:
> Vancl Miroslav (QRIS) wrote:
> > Zatim zustava bohuzel nezodpovezena puvodni a smysluplna otazka: Nevite
> > nekdo o takovem funkcnim proxy serveru ?
> Odpovedam znovu: aspe.smtp (sucast Shurdixu).
> - pracuje v realnom case
> - kontaktuje presne ten server, ktory kontaktuje client (zistenie
> povodnej ip adresy cez getsock SO_ORIGINAL_DST), cim sa nepokazi
> napriklad SPF
> - zvlada SMTP-AUTH. So seznamom som to sice neskusal, ale GMX.net a aj
> moj mail.shurdix.org s tym funguju.
> - zvlada TLS (da sa vypnut lebo potom pochopitelne nedokaze vidiet do
> vnutra mejlu)
> - na neNATovene adresy sa da zapnut parameter tproxy, cim sa zachova
> povodna IP adresa
> - pokial ho k tomu neprinutis konfigurakom, na obsahu spojenia nic
> nemeni, t.j. podporuje prakticky hocijake nestandardne nadstavby
> protokolu. Jedine prida jeden riadok do headerov (X-ASPE: scanning)
> - vie REAGOVAT, t.j. napr. ked niekto posle moc vela virov, bude mu
> dalsi SMTP zablokovany, cim sa setria zdroje. Pripadne sa moze aj
> kontaktovat administrator.
> - vie LOGOVAT (helo/from/to/ip_adresy)
> - vie viac mejlov v ramci jednej SMTP sessny
> - optimalizovany na velku zataz (asynchronna praca so socketami, ziadne
> forkovanie)
>
> Niekto sa pytal na timeouty. Jedine, kde moze nastat timeout, je pri
> konci stadia DATA, kym mejl dostane server (posielanie DATA casti je
> umelo spomalene dokym nie je dokoncene posielanie, potom nasleduje
> oscanovanie clamavom a az potom sa posle zvysok plnou rychlostou, teda
> pokial tam nie je najdeny virus, v ktorom pripade je spojenie nasilne
> ukoncene). Zrejme su vsak mejl clienty zvyknute na to, ze odozva v
> stadiu DATA dlho trva, takze som sa v praxi este s takymto timeoutom
> nestretol, a kedze aspe.smtp kontroluje postu potencialne az 3300 ludom,
> nerobil by som si s tym tazku hlavu.
>
> Prosim, nestazujte sa, ze je to viazane na Shurdix (nie je, len treba 2
> perlove moduly, pripadne na podporu tproxy opecovat kernel a iptables).
> Je pod GPL (spominane moduly tiez), takze kludne napiste patch, ktore
> umozni, aby bez funkcii z tychto modulov fungoval, je to dost jednoduche
Ja bohuzel v praxi na timeout po DATA narazil.
qmail, qmail-scanner, clamav, spamc a mail cca 20 MB rozeslany kolegum
ve firme (asi 15 lidi). klient Outlook 2003. A ten Outlook se ten mail snazil
poslat znova a znova az do zaplneni disku na serveru.
--
Petr Baláš - petr.balas at gmail dot com
Další informace o konferenci Linux