Kerio Mail Server (и не только) - ограничить отправку писем

Разговоры на любые темы: вы можете обсудить здесь какой-либо сайт, найти единомышленников или просто пообщаться...
Proxy
Профессор VB наук
Профессор VB наук
Аватара пользователя
 
Сообщения: 2941
Зарегистрирован: 31.08.2007 (Пт) 4:41

Kerio Mail Server (и не только) - ограничить отправку писем

Сообщение Proxy » 20.03.2013 (Ср) 16:59

Доброго времени суток.
Недавно столкнулся с необходимостью разобраться с KMS.
Что должно быть: имеется некое предприятие, внутри документооборот осуществляется в т.ч. посредством e-mail, лишь некоторая часть пользователей может(должна) отправлять что-либо на внешние сервера (но получать при этом могут почти все, такова специфика предприятия, особые требования к контролю отправки; собственно на внешку отправляют письма те, кто эти письма проверяет на предмет содержания в них недопустимой инфы). В данный момент всё это реализовано совершенно ужасно, отправка ограничиваются не учётками пользователей, а IP адресами машин (+ частично продублировано средствами межсетевого экрана; МЭ же решает пустить ли письмо из внешки, стало быть учётки на почтовом сервере частично дублируются на МЭ, отчего может возникнуть лишняя путаница).
Сам не имею особого опыта работы с почтовыми серверами, попробовал тут недавно hMailServer (ибо тоже под Win, за который деньги плачены), но он оказался совсем уж убогим в сравнении с KMS (рулить правами пользователей скриптами - не самый лучший вариант, с этим придётся не только мне сталкиваться + нужно более-менее популярное, проверенное решение). Далее конечно попробую изучить и Postfix+Dovecot, но по описаниям чую, что и для него эта задача довольно не тривиальна.
В общем хотелось бы, чтобы каждой учётке можно было назначить права приёма писем из внешки / отправки писем на внешку раздельно (вариант ограничения отправки/приёма внутри своего домена не подходит, т.е. приём из внешки нужен очень многим).

Но: может быть кто-то уже сталкивался? Может есть что порекомендовать?

ЗЫ. Я догадываюсь, что и KMS сам способен ограничивать учётки по праву отправки/приёма (раздельно) писем на/из внешки, но вот как, я не смог найти.
Follow the white rabbit.

jangle
Википедик
Википедик
Аватара пользователя
 
Сообщения: 3013
Зарегистрирован: 03.06.2005 (Пт) 12:02
Откуда: Нидерланды

Re: Kerio Mail Server (и не только) - ограничить отправку пи

Сообщение jangle » 21.03.2013 (Чт) 15:55

Proxy писал(а):Но: может быть кто-то уже сталкивался? Может есть что порекомендовать?


Попробуй Z_gate http://www.zecurion.ru/products/zgate/
Кстати я работал в ихней конторе, но быстро свалил от туда, чему и несказанно рад.

Proxy
Профессор VB наук
Профессор VB наук
Аватара пользователя
 
Сообщения: 2941
Зарегистрирован: 31.08.2007 (Пт) 4:41

Re: Kerio Mail Server (и не только) - ограничить отправку пи

Сообщение Proxy » 21.03.2013 (Чт) 18:07

Собственно сейчас итак не почтовик делает свою работу. Кажется разумным, чтобы почтовый сервер вообще не пытался послать письма от тех, кому слать ничего во внешку нельзя. Да и от дублирования учёток хотелось бы наконец избавиться (всё ПО может интегрироваться с учётками AD, однако AD привести в порядок не представляется возможным).
В общем сейчас и так работу почтового сервера частично выполняет МЭ (и фильтр на прокси), хотелось бы именно от этого избавиться (да и в случае необходимости заменить МЭ ни прокси сервер, ни почтовик сами-по-себе не должны позволить утечь информации, МЭ лишь страхует, считаю разумным именно такой подход). Собственно прокси сейчас доступен только для сети с тонкими клиентами (физически сети не связаны и маршрутизации между ними нет; в тонкие ничего не воткнуть, в тонких пользователи даже не могут увидеть свой пароль от прокси (есть спец. ПО для аутентификации на прокси, пароль и по сети не передаётся в открытом виде), так что даже физический доступ к сети не способствует утечке инфы), почтовик же доступен основной ЛВС (т.е. свободно можно отправить любую инфу из ЛВС), поэтому умный почтовик будет не лишним.
Собственно фильтрация отправителей во внешку по IP - это целая трагедия. Была предпринята попытка перевести пользователей на веб-интерфейс почтового сервера, но всё заглохло на том, что по IP в этом случае пользователей не идентифицируешь. Да и безопасности никакой в фильтрации по IP (даже если пользователю не выйдет поменять IP (впрочем некоторым ничто и не мешает) на рабочей станции, никто не может гарантировать, что он не протащит с собой ноут и не фальсифицирует IP+MAC (коммутаторы никак не позволят такое пресечь, нельзя привязать порт с MAC).
Очень нужен умный почтовик, способный адекватно разграничить права пользователей.
Follow the white rabbit.

Dmitriy2003
Постоялец
Постоялец
 
Сообщения: 690
Зарегистрирован: 27.05.2003 (Вт) 22:47
Откуда: Deutschland

Re: Kerio Mail Server (и не только) - ограничить отправку пи

Сообщение Dmitriy2003 » 21.03.2013 (Чт) 19:43

Proxy писал(а):однако AD привести в порядок не представляется возможным

Почему ?
Proxy писал(а):Очень нужен умный почтовик, способный адекватно разграничить права пользователей.

Microsoft Exchange 2010, так что решай проблему с Active Directory.
Как ты себе вообще это представляешь без адекватной системы аутентификации и авторизации. :?: :?: :?:

Proxy
Профессор VB наук
Профессор VB наук
Аватара пользователя
 
Сообщения: 2941
Зарегистрирован: 31.08.2007 (Пт) 4:41

Re: Kerio Mail Server (и не только) - ограничить отправку пи

Сообщение Proxy » 22.03.2013 (Пт) 17:27

Dmitriy2003 писал(а):Почему ?

Это не моя компетенция, над этим работают другие люди (у которых это в должностных обязанностях и которые получают за это зарплату; контроллеров доменов здесь 6, это ещё если не упускаю ничего). У меня же несколько иная работа.
Dmitriy2003 писал(а):Microsoft Exchange 2010, так что решай проблему с Active Directory.

В AD в некоторых отдельных случаях непросто даже установить соответствие учётная запись — конкретный пользователь (никакой закономерности в именах пользователей/узлов, куча переездов/замен без наведения порядка в AD, с IP тоже полнейший бардак, практически никакого учёта (никаких сводных таблиц, вся инфа только недостаточная и в AD), при этом территориально рабочие станции распространены на очень большой площади). Тут единственная возможность как-то контролировать всё это дело — отдельные от AD учётки для почтового сервера и прокси.
Dmitriy2003 писал(а):Как ты себе вообще это представляешь без адекватной системы аутентификации и авторизации.

А чем механизм идентификации, аутентификации почтовика плох? Организовать защищённое соединение с веб интерфейсом почтовика (и избавиться от POP3/IMAP со стороны клиентов + пароли генерировать скриптом) — ещё надёжней выйдет, чем использовать учётки AD (во всяком случае тут хотя бы одно ответственное лицо и есть возможность навести порядок). Да и тут хотя бы есть таблица кто за какую учётку отвечает, известно кому можно, кому нельзя, все служебки в порядке.
Связать почту с AD — это самоубийство в моём случае, всё равно что полный доступ всем во внешку открыть разом, там анархия пока.
Follow the white rabbit.

Dmitriy2003
Постоялец
Постоялец
 
Сообщения: 690
Зарегистрирован: 27.05.2003 (Вт) 22:47
Откуда: Deutschland

Re: Kerio Mail Server (и не только) - ограничить отправку пи

Сообщение Dmitriy2003 » 22.03.2013 (Пт) 20:42

Proxy писал(а):У меня же несколько иная работа.

Ничего личного, но похоже твоя работа навести еще большую анархию.

Proxy писал(а):Тут единственная возможность как-то контролировать всё это дело — отдельные от AD учётки для почтового сервера и прокси.

После такого, :( сказать можно только одно - удачи :!:

Proxy писал(а):А чем механизм идентификации, аутентификации почтовика плох?

:D

Proxy писал(а):Связать почту с AD — это самоубийство в моём случае, всё равно что полный доступ всем во внешку открыть разом, там анархия пока.

Одно расстройство :( ,Proxy - оно тебе надо ? Бросай это дело, если тока, это не возможность бабла срубить по быстрому :)


Вернуться в Народный треп

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 26

    TopList