[Previo por Fecha] [Siguiente por Fecha] [Previo por Hilo] [Siguiente por Hilo]
[Hilos de Discusión] [Fecha] [Tema] [Autor]Pavel Santos Nicasio wrote:
Compañeros necesito saber como puedo filtrar el correo que sale mi servidor (sendmail + Mailscanner + Clamav ) pues según infinitum estamos enviando virus y necesito saber si alguna maquina interna tiene algun problema pues todas tienen antivirus y no permitimos relaying de fuera.
Primero, hay dos herramientas que te pueden ayudar a verificar que estén saliendo ataques de virus de tu red hacia Internet:
1. Ntop http://www.ntop.org/ te contabiliza todo el tráfico desde/hacia todas las máquinas de tu red y lo clasifica por puertos... Con esa herramienta podrías darte cuenta muy fácilmente si hay una máquina de tu red mandando mucho tráfico por el puerto 25 hacia todos lados...
2. Snort http://www.snort.org/ es in IDS que _sí_ te va a detectar muchos ataques desde/hacia tu red, sobre todo los que tratan de explotar vulnerabilidades públicas. Existe la posibilidad de que Snort también te reporte el paso de correos infectados por tu red, pero no esperes mucho del Snort en ese campo, su heurística no es de las mejores (está basado en firmas), algunos simplistas lo han descrito como un grep con vitaminas. Sin embargo para detección de ataques remotos a vulnerabilidades conocidas es de lo mejor que existe.
Estas dos herramientas sólo te sirven si tu gateway/firewall es Linux (bueno, en realidad también puede ser *BSD para que no se sientan desplazados y no lloren) y pasa a través de él todo tu tráfico hacia Internet. Si tu gateway es Linksys o 3Com o Cisco o de algún otro fabricante te tendrás que atener a las herramientas que ellos te proporcionen y no hay mucho que Snort o Ntop puedan hacer a menos que puedas ponerlos a escuchar en un puerto promíscuo de tu switch.
Luego, si definitivamente quieres asegurarte de que no salen de tu red ataques de correos infectados con virus deberás cerrar en tu firewall todas las conexiones de salida hacia el puerto 25 y obligar a todos tus clientes a que usen como SMTP de salida tu propio SMTP local que vas a configurar siguiendo las instrucciones que vienen en la página de HowTos de Postfix http://www.postfix.org/docs.html, específicamente los HowTos que en su título mencionan Amavis. Postfix se va a encargar de filtrar tus correos de salida por medio de Amavis que a su vez usará Clamav que a su vez tiene un Freshclam actualizando tu catálogo de firmas de virus cada dos horas. Desde luego, existen soluciones de filtrado para qmail y Sendmail, pero eso se lo dejo a la opinión de los demás, las que he visto no me gustan.
Probablemente, si pescas una infección con pocas horas de vida pase sin ser detectada durante un rato pero los virus de correo se vuelven populares muy rápidamente así que pasarán pocas horas antes de que en una actualización de firmas del Freshclam tu Amavis comience a detectar la infección y la detenga.
Luego, como vas a estar mandando correos desde una dirección que se encuentra en listas negras de DUL (Dualup Users List (o algo así)) vas a necesitar un smart host. En Postfix usas el /etc/postfix/transport, pero tienes que indicar en el main.cf que use el transport (en los Howtos de Postfix vas a ver cómo se hace). Suponiendo que el SMTP de Telmex que tienes que usar está en la dirección 148.235.52.50 tendrías que poner lo siguiente:
* smtp:[148.235.52.50] Y luego correr postmap /etc/postfix/transport
PSN _______________________________________________ Ayuda mailing list Ayuda en linux org mxPara salir de la lista: http://mail.linux.org.mx/cgi-bin/mailman/listinfo/ayuda/
Sandino Araico Sánchez -- Puede que no esté de acuerdo con lo que dices. Entonces daré mi opinión hasta el cansancio, ya que tengo el mismo derecho que tú......