[Ayuda] Filtrar correo de salida

Pavel Santos Nicasio pavelsn en control2000.com.mx
Vie Ene 6 12:01:35 CST 2006 

Gracias esta última respuesta es muy completa y buena estamos trabajando 
en ello.

Sandino Araico Sánchez escribió:

> Pavel Santos Nicasio wrote:
>
>> Compañeros necesito saber como puedo filtrar el correo que sale mi 
>> servidor (sendmail + Mailscanner + Clamav ) pues según infinitum 
>> estamos enviando virus y necesito saber si alguna maquina interna 
>> tiene algun problema pues todas tienen antivirus y no permitimos 
>> relaying de fuera.
>
>
> Primero, hay dos herramientas que te pueden ayudar a verificar que 
> estén saliendo ataques de virus de tu red hacia Internet:
>
> 1. Ntop http://www.ntop.org/ te contabiliza todo el tráfico 
> desde/hacia todas las máquinas de tu red y lo clasifica por puertos... 
> Con esa herramienta podrías darte cuenta muy fácilmente si  hay una 
> máquina de tu red mandando mucho tráfico por el puerto 25 hacia todos 
> lados...
>
> 2. Snort http://www.snort.org/ es in IDS que _sí_ te va a detectar 
> muchos ataques desde/hacia tu red, sobre todo los que tratan de 
> explotar vulnerabilidades públicas. Existe la posibilidad de que Snort 
> también te reporte el paso de correos infectados por tu red, pero no 
> esperes mucho del Snort en ese campo, su heurística no es de las 
> mejores (está basado en firmas), algunos simplistas lo han descrito 
> como un grep con vitaminas. Sin embargo para detección de ataques 
> remotos a vulnerabilidades conocidas es de lo mejor que existe.
>
> Estas dos herramientas sólo te sirven si tu gateway/firewall es Linux 
> (bueno, en realidad también puede ser *BSD para que no se sientan 
> desplazados y no lloren) y pasa a través de él todo tu tráfico hacia 
> Internet. Si tu gateway es Linksys o 3Com o Cisco o de algún otro 
> fabricante te tendrás que atener a las herramientas que ellos te 
> proporcionen y no hay mucho que Snort o Ntop puedan hacer a menos que 
> puedas ponerlos a escuchar en un puerto promíscuo de tu switch.
>
> Luego, si definitivamente quieres asegurarte de que no salen de tu red 
> ataques de correos infectados con virus deberás cerrar en tu firewall 
> todas las conexiones de salida hacia el puerto 25 y obligar a todos 
> tus clientes a que usen como SMTP de salida tu propio SMTP local que 
> vas a configurar siguiendo las instrucciones que vienen en la página 
> de HowTos de Postfix http://www.postfix.org/docs.html, específicamente 
> los HowTos que en su título mencionan Amavis. Postfix se va a encargar 
> de filtrar tus correos de salida por medio de Amavis que a su vez 
> usará Clamav que a su vez tiene un Freshclam actualizando tu catálogo 
> de firmas de virus cada dos horas. Desde luego, existen soluciones de 
> filtrado para qmail y Sendmail, pero eso se lo dejo a la opinión de 
> los demás, las que he visto no me gustan.
>
> Probablemente, si pescas una infección con pocas horas de vida pase 
> sin ser detectada durante un rato pero los virus de correo se vuelven 
> populares muy rápidamente así que pasarán pocas horas antes de que en 
> una actualización de firmas del Freshclam tu Amavis comience a 
> detectar la infección y la detenga.
>
> Luego, como vas a estar mandando correos desde una dirección que se 
> encuentra en listas negras de DUL (Dualup Users List (o algo así)) vas 
> a necesitar un smart host. En Postfix usas el /etc/postfix/transport, 
> pero tienes que indicar en el main.cf que use el transport (en los 
> Howtos de Postfix vas a ver cómo se hace). Suponiendo que el SMTP de 
> Telmex que tienes que usar está en la dirección 148.235.52.50 tendrías 
> que poner lo siguiente:
>
> *    smtp:[148.235.52.50]
>
> Y luego correr postmap /etc/postfix/transport
>
>>
>> PSN
>>
>>
>>
>> _______________________________________________
>> Ayuda mailing list
>> Ayuda en linux.org.mx
>> Para salir de la lista: 
>> http://mail.linux.org.mx/cgi-bin/mailman/listinfo/ayuda/
>
>
>
>
> Sandino Araico Sánchez

Más información sobre la lista de distribución Ayuda