Transparentní SMTP proxy

Nenašel by se tu někdo, kdo provozuje něco jako SMTP proxy pro detekci červů v síti, které rozesílají spam?

Uvažoval jsem nad tím, že bych na routeru nasadil Postfix a nějakým způsobem bych na něm třeba podle rychlosti a poču odeslaných emailů z jedné IP kvalifikoval, zda je se jedná o korektní poštu nebo ne. Další možnost, která mne napadá, je přerušování SMTP spojení, u kterých nedochází k autentizaci, protože vím, že uvnitř sítě není nic, co by někam mělo posílat emaily bez autentizace vůči SMTP.

Už jsem viděl řešení, kdy router takovéto pokusy o rozesílání spamu transparentně detekoval a dokázal je blokovat s tím, že pak http redirectem o této akci informoval uživatele. Neměl jsem však možnost se dozvědět, jak to přesně funguje.

Základní podmínky jsou, aby se jednalo o transparentní řešení, tj. aby odesílatel neměl možnost poznat, že pošta teče skrz prostředníka, druhá neméně podstatná věc je, aby to bylo funkční i na TLS/SSL relacích.

Nevím o tom, že by to jednoduše šlo. Problém je ten, že na rozdíl od HTTP zde klient neposílá jméno serveru, se kterým chce mluvit, takže buď budete muset udělat relay přímo vy anebo nějak zjistit, s kým vlastně chtěl komunikovat. Asi by to šlo řešit přes iptables přes userspace a při problému to spojení přerušit.

TLS/SSL nebude transparentní, klient zařve, že certifikát neodpovídá tomu, koho očekával. Pokud bude mít certifikát u sebe, tak to rovnou odmítne poslat. Nicméně TLS/SSL není potřeba nějak moc řešit, to červy nepoužívají, protože to se pokud vím na přijímajících mail serverech nepoužívá (leda že by našli open SMTP, která podporuje TLS/SSL, ale červi většinou doručují poštu přímo).

Dotaz: Transparentní SMTP proxy

Odpovědi