{sape_links}
Быстрая навигация
802.11ac 802.11ac Wave 2 802.11n Android DVB-T2 Google hAP HotSpot IPSec Keenetic LTE Mikrotik MU-MIMO Netis Qualcomm Realtek RouterBOARD RouterOS Rozetka rozetka.com.ua Strong Trimax Ubiquiti UBNT UniFi wAP 60G Wi-Fi Winbox wireless Zyxel безопасность маршрутизатор настройка обзор обновление промо промо-код прошивка роутер скидкиБлокировка почтовых спамеров (SMTP) средствами RouterOS в локальной сети на Mikrotik
15 ноябрь 2018
24 362
0
Предположим, что существует компания «Рога и Копыта», в которой большое количество сотрудников и рабочих мест, есть удаленные филиалы, полноценный Active Directory не поднят, зато есть свой почтовый сервер.
Причем почтовый сервер поднят не где-то у хостера, вместе с сайтом, а поднят полноценный локальный, к примеру, на том же Postfix. Предположим, что сервер находится в локальной сети предприятия за Mikrotik. На самом Mikrotik у вас проброшены необходимые порты, а внешний IP прописан как mail.yourdomain.com в панели управления хостингом.
Что делать и как быть?
Чаще всего проблема связана с открытым портом TCP 25, который используется для SMTP.
Первым делом следует полностью отказаться от использования 25-го порта, для отправки почты следует использовать защищенные TCP 587 (TLS) и 465 (SSL). Действуя с фанатизмом, всех «сканировщиков» 25-го порта на WAN-интерфейсе можно вообще в черный список кидать сходу. Тут есть правда нюанс, дело в том, что при настройке почтового клиента, последний может просканировать стандартные порты, так что с этой опцией следует быть осторожным и четко иметь представление о том, что вы делаете.
Вторым делом следует рассмотреть возможность блокировки транзитного траффика на 25-й порт. Любой качественный / продвинутый Firewall позволит вам это сделать.
Зачем это делать? Как вы помните, внешний IP связан с почтовым доменным именем, а значит, системами анализа весь траффик будет рассматриваться как траффик от mail.yourdomain.com со всеми вытекающими последствиями.
Может возникнуть ситуация, когда из вашей сети недобросовестные пользователи будут отправлять спам. Вам ведь этого не хочется, правда? Чтобы этого не случилось, запрещаем пересылку траффика. Ниже пример реализации на RouterOS в Mikrotik
Теперь попробуем разобраться, что делает данный код.
Первое правило разрешает пересылку траффика на 25-й порт для IP, заранее добавленных в Address List «allowed-smtp» (разрешенные).
Вторым правилом все остальные IP, которые пытаются достучаться до 25-го порта, попадают в «denied-smtp» (запрещенные, заблокированные). Тут можно также играть с параметрами src-address-list и address-list-timeout. С помощью первого параметра можно отобрать часть IP и подсетей, для которых требуется выполнять обработку (например, src-address-list=grey-list). Вторым параметром можно изменять время, на которое IP будет помещаться в черный список.
На завершающем этапе мы банально дропаем все пакеты на 25-й порт для IP, попавших в «denied-smtp».
Причем почтовый сервер поднят не где-то у хостера, вместе с сайтом, а поднят полноценный локальный, к примеру, на том же Postfix. Предположим, что сервер находится в локальной сети предприятия за Mikrotik. На самом Mikrotik у вас проброшены необходимые порты, а внешний IP прописан как mail.yourdomain.com в панели управления хостингом.
Если Вы хотите научиться настраивать MikroTik, предлагаем пройти онлайн обучение. Более подробную информацию Вы можете найти в конце данной публикации.
Только вот не задача, ваш IP регулярно попадает в черные списки специальных сервисов (CBL), хотя спам вы не рассылаете. Или же IP попадает в другие черные списки.Что делать и как быть?
Чаще всего проблема связана с открытым портом TCP 25, который используется для SMTP.
Первым делом следует полностью отказаться от использования 25-го порта, для отправки почты следует использовать защищенные TCP 587 (TLS) и 465 (SSL). Действуя с фанатизмом, всех «сканировщиков» 25-го порта на WAN-интерфейсе можно вообще в черный список кидать сходу. Тут есть правда нюанс, дело в том, что при настройке почтового клиента, последний может просканировать стандартные порты, так что с этой опцией следует быть осторожным и четко иметь представление о том, что вы делаете.
Вторым делом следует рассмотреть возможность блокировки транзитного траффика на 25-й порт. Любой качественный / продвинутый Firewall позволит вам это сделать.
Зачем это делать? Как вы помните, внешний IP связан с почтовым доменным именем, а значит, системами анализа весь траффик будет рассматриваться как траффик от mail.yourdomain.com со всеми вытекающими последствиями.
Может возникнуть ситуация, когда из вашей сети недобросовестные пользователи будут отправлять спам. Вам ведь этого не хочется, правда? Чтобы этого не случилось, запрещаем пересылку траффика. Ниже пример реализации на RouterOS в Mikrotik
/ip firewall filter
add action=accept chain=forward comment="SMTP TCP 25" dst-port=25 protocol=tcp src-address-list=allowed-smtp
add action=add-src-to-address-list address-list=denied-smtp address-list-timeout=0s chain=forward dst-port=25 protocol=tcp
add action=drop chain=forward dst-port=25 protocol=tcp src-address-list=denied-smtp
Теперь попробуем разобраться, что делает данный код.
Первое правило разрешает пересылку траффика на 25-й порт для IP, заранее добавленных в Address List «allowed-smtp» (разрешенные).
Вторым правилом все остальные IP, которые пытаются достучаться до 25-го порта, попадают в «denied-smtp» (запрещенные, заблокированные). Тут можно также играть с параметрами src-address-list и address-list-timeout. С помощью первого параметра можно отобрать часть IP и подсетей, для которых требуется выполнять обработку (например, src-address-list=grey-list). Вторым параметром можно изменять время, на которое IP будет помещаться в черный список.
На завершающем этапе мы банально дропаем все пакеты на 25-й порт для IP, попавших в «denied-smtp».
Видеокурс «Настройка оборудования MikroTik» (аналог MTCNA)
Учитесь работать с MikroTik? Рекомендую видеокурс «Настройка оборудования MikroTik». В курсе разобраны все темы из официальной учебной программы MTCNA и много дополнительного материала. Курс сочетает теоретическую часть и практику – настройку маршрутизатора по техническому заданию. Консультации по заданиям курса ведет его автор Дмитрий Скоромнов. Подойдет и для первого знакомства с оборудованием MikroTik, и для систематизации знаний опытным специалистам.