Boa tarde pessoal, Gostaria de trocar uma idéias com todos vocês a respeito desse assunto: Tenho diversos firewall linux (CentOS 4.x, alguns Red Hat 9 ainda) e me deparo constantemente com situações em que os usuários não conseguem enviar/receber e-mails pelo mundo-a-fora, e então consultando o ip do firewall desse cliente no site http://www.dnsstuff.com percebo que esse ip está cadastrado em diversas listas-negra. O que me deixa intrigado é que eu tomo várias medidas de segurança para isso não acontecer, como por exemplo:
Sendmail: - Habilito a autenticação TRUST_AUTH_MECH e deixo apenas o host, host+dominio e seu ip no arquivo access; - Desabilito a opção ACCEPT_UNRESOLVABLE_DOMAINS para diminuir a incidência de spam; - Habilito, quando possível, a opção MASQUERADE_ENVELOPE; - Habilito a checagem de dns reverso (require_rdns); - Cadastro na opção BLACKLIST_RECIPIENTS vários servidores de RBL, dentre eles, sorbs, spamcop e mail-abuse; - Por fim instalo a última versão do SpamAssassin e compilo junto com ele o DCC, Pyzor e Razor Firewall/iptables: - Redireciono todo o tráfego ns porta 80 para o squid e deixo o mesmo com autenticação de usuários; - Na chain INPUT fecho todas as portas, exceto as necessárias para os serviços que vão rodar; - Na chain POSTROUTING eu costumo fazer um MASQUERADE para tudo o que sai pra internet e sei que aqui está o meu erro, mas aí surgem as dúvidas. Por exemplo: muitos programas dentro da rede interna usam portas específicas e precisam do mascaramento habilitado para funcionar pois não aceitam passar por proxyes, porém na carona disso qualquer virus existente na rede interna também consegue trafegar, onde acaba caido nessas listas-negra. Prova disso é quando caimos em listas-negra a qual aparece como LISTED 127.0.0.2. 127.0.0.3, etc, etc. Como vocês estão conseguindo contornar essas situações? A tendência disso é se agravar a cada vez mais, pois estima-se que até 2008, 80% dos e-mails que circulam pela net vai ser spam. Abraço a todos. Valcir. --------------------------------------------------------------------------- Esta lista é patrocinada pela Conectiva S.A. Visite http://www.conectiva.com.br Arquivo: http://bazar2.conectiva.com.br/mailman/listinfo/linux-br Regras de utilização da lista: http://linux-br.conectiva.com.br FAQ: http://www.zago.eti.br/menu.html
