Форум Kerio-rus

Вернуться   Форум Kerio-rus > Продукты > Kerio Control (бывший Winroute Firewall)

Важная информация

Ответ
 
Опции темы
Старый 01.03.2019, 12:51   #1
dionis12006
 
Аватар для dionis12006
 
Регистрация: 17.11.2008
Сообщений: 11
По умолчанию 2 правила в керио 8.4 для почты Mdaemon

Приветствую всех! Позвольте поделится своей проблемой и возможно кто то сможет дать совет мне. В сети стоит почтовый сервер Mdaemon, который смотрит в инет через керио 8.4. Существует проблема того, что в заголовках спам писем в Mdaemon прописывается адрес керио:
Return-path: <r.agisayev@aes.kz>
Authentication-Results: mail.MYDOMAIN.ru;
iprev=pass policy.iprev=172.16.2.200 reason="white listed" (HELO pkz34-spamexpert2.hoster.kz);
iprev=pass policy.iprev=172.16.2.200 reason="white listed" (MAIL [Для просмотра данной ссылки нужно зарегистрироваться])
Received: by mail.MYDOMAIN.ru (MDaemon PRO v18.0.2) with ESMTPS id md50001738037.msg;

Соответственно ни о каком обучении спам фильтра да и вообще фильтрации речи быть не может.

Добрые люди посоветовали создать 2 правила в керио, для входящей и исходящей почты отдельно, в правиле для входящих убрать нат. Но если я убираю- почта не работает.


[Для просмотра данной ссылки нужно зарегистрироваться]

Буду признателен за дельный совет джентльмены.
dionis12006 вне форума   Ответить с цитированием Вверх
Старый 01.03.2019, 14:11   #2
exchar
Администратор
 
Аватар для exchar
 
Регистрация: 21.04.2008
Сообщений: 3,706
По умолчанию Re: 2 правила в керио 8.4 для почты Mdaemon

получение почты
инет-группа -> фаер порты smtp MAP(локальный ip почтовика)

отправка почты
фаер -> инет-группа порты smtp NAT(нужный внешний интерфейс)

клиенты по pop3
инет-группа -> фаер порты pop3 MAP(локальный ip почтовика)

клиенты по imap
инет-группа -> фаер порты imap MAP(локальный ip почтовика)

по локальной сети на почтовик клиенты ходят по правилу локального трафика

думаю, что отдельных вланов на внутренних почтовых клиентов у вас нет, поэтому фсё.

и не лепите липкое с длинным в одно правило
правила должны работать и удобно администрироваться
__________________
"Помогая ленивым людям, ты помогаешь им сесть на твою шею" Сян-Цзы
exchar вне форума   Ответить с цитированием Вверх
Старый 01.03.2019, 15:39   #3
dionis12006
 
Аватар для dionis12006
 
Регистрация: 17.11.2008
Сообщений: 11
По умолчанию Re: 2 правила в керио 8.4 для почты Mdaemon

Спасибо exchar большое, сейчас народ на работе рассосется немного попробую.

Добавлено через 1 час 23 минуты

Попробовал с новыми настройками, почта уходит из сервера, а вот извне не приходит. Буду искать.
[Для просмотра данной ссылки нужно зарегистрироваться]

Последний раз редактировалось dionis12006; 01.03.2019 в 15:39. Причина: Добавлено сообщение
dionis12006 вне форума   Ответить с цитированием Вверх
Старый 01.03.2019, 15:45   #4
exchar
Администратор
 
Аватар для exchar
 
Регистрация: 21.04.2008
Сообщений: 3,706
По умолчанию Re: 2 правила в керио 8.4 для почты Mdaemon

Цитата
Сообщение от dionis12006 Посмотреть сообщение
а вот извне не приходит. Буду искать.
на хосте с mdaemon отруби файерволл временно
в mdaemonе убери ограничение по подсетям для подключений smtp, если оно где-то там есть

Добавлено через 2 минуты

вот тут глянь
[Для просмотра данной ссылки нужно зарегистрироваться]
__________________
"Помогая ленивым людям, ты помогаешь им сесть на твою шею" Сян-Цзы

Последний раз редактировалось exchar; 01.03.2019 в 15:45. Причина: Добавлено сообщение
exchar вне форума   Ответить с цитированием Вверх
Старый 01.03.2019, 15:58   #5
dionis12006
 
Аватар для dionis12006
 
Регистрация: 17.11.2008
Сообщений: 11
По умолчанию Re: 2 правила в керио 8.4 для почты Mdaemon

это всё сделал, не то всё.

[Для просмотра данной ссылки нужно зарегистрироваться]
dionis12006 вне форума   Ответить с цитированием Вверх
Старый 01.03.2019, 16:09   #6
exchar
Администратор
 
Аватар для exchar
 
Регистрация: 21.04.2008
Сообщений: 3,706
По умолчанию Re: 2 правила в керио 8.4 для почты Mdaemon

Цитата
Сообщение от dionis12006 Посмотреть сообщение
это всё сделал, не то всё.
в логах mdaemon что по теме?


поставь wireshark на хост с mdaemon и посмотри, что реально прилетает на хост от керио
если ничего не летит, то копай керио
если пакет вида "внешний ip -> локальный ip mdaemon" то копай этот хост
__________________
"Помогая ленивым людям, ты помогаешь им сесть на твою шею" Сян-Цзы
exchar вне форума   Ответить с цитированием Вверх
Старый 01.03.2019, 16:49   #7
dionis12006
 
Аватар для dionis12006
 
Регистрация: 17.11.2008
Сообщений: 11
По умолчанию Re: 2 правила в керио 8.4 для почты Mdaemon

В логах mdaemon в MDaemon-2019-03-01-SMTP-(in) на момент включения правил все останавливается. До почтовика ничего не доходит что ли, я уже и ретрансляцию порта 25 пробовал включать и отключать.
В wireshark такая картина [Для просмотра данной ссылки нужно зарегистрироваться]
Т.е после включения правил sourse 172.16.2.200 перестает приходить, только отправка.
dionis12006 вне форума   Ответить с цитированием Вверх
Старый 01.03.2019, 20:01   #8
exchar
Администратор
 
Аватар для exchar
 
Регистрация: 21.04.2008
Сообщений: 3,706
По умолчанию Re: 2 правила в керио 8.4 для почты Mdaemon

Цитата
Сообщение от dionis12006 Посмотреть сообщение
после включения правил sourse 172.16.2.200 перестает приходить
после включения правил у тебя в sourse будет не локальный ip керио, а белый ip отправившего почтового сервера в инете.
dst будет тот же локальный ip мдаемона

таким образом, при примененном на скрине фильтре по наличию локального ip керио (172.16.2.200) мы 100% не увидим возможно идущих правильных пакетов, которые этому фильтру не удовлетворяют: Х.Х.Х.Х -> 172.16.1.1

короче, сделай лучше фильтр по 25 tcp и посмотри еще раз

Добавлено через 3 часа 0 минут

Цитата
Сообщение от dionis12006 Посмотреть сообщение
Попробовал с новыми настройками, почта уходит из сервера, а вот извне не приходит. Буду искать.
[Для просмотра данной ссылки нужно зарегистрироваться]
убери порт в правиле получения почты там где мапинг - так, чтобы остался один ip.
патамучта сейчас у тебя 465 порт с керио мапится в 25 на мдаемоне
__________________
"Помогая ленивым людям, ты помогаешь им сесть на твою шею" Сян-Цзы

Последний раз редактировалось exchar; 01.03.2019 в 20:01. Причина: Добавлено сообщение
exchar вне форума   Ответить с цитированием Вверх
Старый 01.03.2019, 20:07   #9
naliman
Администратор
 
Аватар для naliman
 
Регистрация: 19.06.2006
Адрес: оттуда
Сообщений: 14,595
По умолчанию Re: 2 правила в керио 8.4 для почты Mdaemon

Цитата
Сообщение от dionis12006 Посмотреть сообщение
в правиле для входящих убрать нат. Но если я убираю- почта не работает.

если я правильно понял - сейас у тебя так:
интернет - керио - 25 порт - перенаправить на мдемона +НАТ
так?


поздравляю!
у тебя почти ОПЕНРИЛЕЙ
а если нет обязательной СМТП-авторизации для локальных пользователей то не почти а точно



проверяй свои IP по базам спам-адресов





ниодной картинки не вижу, используй imgur.com, отличный картинкохостинг


Цитата:
Сообщение от exchar Посмотреть сообщение
вот тут глянь
это не то, это другой механизм
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу
naliman вне форума   Ответить с цитированием Вверх
Старый 01.03.2019, 20:12   #10
naliman
Администратор
 
Аватар для naliman
 
Регистрация: 19.06.2006
Адрес: оттуда
Сообщений: 14,595
По умолчанию Re: 2 правила в керио 8.4 для почты Mdaemon

Цитата
Сообщение от dionis12006 Посмотреть сообщение
Добрые люди посоветовали создать 2 правила в керио, для входящей и исходящей почты отдельно, в правиле для входящих убрать нат. Но если я убираю- почта не работает.
это может свидетельствовать о двух вещах:
- на сервере мдемона керио не указан шлюзом
- на сервере мдемона существует фоерволл который блочит всё что не относится к локальному трафику


первый случай не "сработал" ибо почта таки уходит с мдемона, это значит он пуляет её правильно, то есть керио у него - шлюз


остаётся фоервол на машине с мдемоном
его следует отключить совсем, то есть полностью, а если не штатный виндовый а сторонний - деинсталлировать к хуям
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу
naliman вне форума   Ответить с цитированием Вверх
Старый 01.03.2019, 20:15   #11
exchar
Администратор
 
Аватар для exchar
 
Регистрация: 21.04.2008
Сообщений: 3,706
По умолчанию Re: 2 правила в керио 8.4 для почты Mdaemon

Цитата:
Сообщение от naliman Посмотреть сообщение
это не то, это другой механизм
а где "то"?
__________________
"Помогая ленивым людям, ты помогаешь им сесть на твою шею" Сян-Цзы
exchar вне форума   Ответить с цитированием Вверх
Старый 01.03.2019, 20:48   #12
naliman
Администратор
 
Аватар для naliman
 
Регистрация: 19.06.2006
Адрес: оттуда
Сообщений: 14,595
По умолчанию Re: 2 правила в керио 8.4 для почты Mdaemon

Цитата:
Сообщение от exchar Посмотреть сообщение
а где "то"?
в мдемоне то?

на картинке той: слева в меню чуть ниже Screening

+ не помню навскидку где, но есть в современном демоне опция фильтровть трафик по странам, хотя это вряд ли оно "работает"

НО!
любая штука отображается в логах у него, там куча закладок вниху "рабочей области", отображается АБСОЛЮТНО каждый вздох почтаря
если там ничего нет, стало быть почтарь ничего не получает, что б самостоятельно каким-то образом "зарубить" и написать об этом в лог
а это значит фоерволл


+ я бы хотел видеть ВСЕ правила трафика керио
там тоже возможны "сюрпризы"


подытожим:
1. дать информацию о наличии\состоянии фоерволла на машине с мдемоном
2. показать все правила трафика керио

Добавлено через 27 минут

Цитата:
Сообщение от naliman Посмотреть сообщение
поздравляю!
у тебя почти ОПЕНРИЛЕЙ
а если нет обязательной СМТП-авторизации для локальных пользователей то не почти а точно
мы тут проверили - тебе повезло
опенрилея нет
хорошо так повезло
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу

Последний раз редактировалось naliman; 01.03.2019 в 20:48. Причина: Добавлено сообщение
naliman вне форума   Ответить с цитированием Вверх
Старый 02.03.2019, 09:07   #13
dionis12006
 
Аватар для dionis12006
 
Регистрация: 17.11.2008
Сообщений: 11
По умолчанию Re: 2 правила в керио 8.4 для почты Mdaemon

Здесь все правила:
[Для просмотра данной ссылки нужно зарегистрироваться]
[Для просмотра данной ссылки нужно зарегистрироваться]
[Для просмотра данной ссылки нужно зарегистрироваться]
[Для просмотра данной ссылки нужно зарегистрироваться]

Шлюз не прописан у меня никакой, вот скрины:
[Для просмотра данной ссылки нужно зарегистрироваться]
[Для просмотра данной ссылки нужно зарегистрироваться]
[Для просмотра данной ссылки нужно зарегистрироваться]

Фаер встроенный отключен, вместо него стоит каспер для серверов, но там компоненты все отключены:
[Для просмотра данной ссылки нужно зарегистрироваться]

Региональный скрининг включен, но он нифига не работает, мдемон же видит такие письма как с доверенного адреса 172.16.2.200

Добавлено через 1 минуту

Там на почту оставил только одно правило, по которому работает почта, новые пока отключил, с ними не робит.

Добавлено через 13 минут

Трансляцию в 25 порт при получении убрал , на скрине просто осталась.

Добавлено через 1 минуту

в спам базах ip нет

Последний раз редактировалось dionis12006; 02.03.2019 в 09:54. Причина: Добавлено сообщение
dionis12006 вне форума   Ответить с цитированием Вверх
Старый 02.03.2019, 12:50   #14
naliman
Администратор
 
Аватар для naliman
 
Регистрация: 19.06.2006
Адрес: оттуда
Сообщений: 14,595
По умолчанию Re: 2 правила в керио 8.4 для почты Mdaemon

Цитата
Сообщение от dionis12006 Посмотреть сообщение
Шлюз не прописан у меня никакой, вот скрины:
в настройках интерфейса в винде прописан?
шлюз в мдемоне это вообще не про то

посмотрел правила
в целом понятно

Цитата
Сообщение от dionis12006 Посмотреть сообщение
Там на почту оставил только одно правило, по которому работает почта, новые пока отключил, с ними не робит.
а когда "пробовал" правила которые щяс выключены - это правило отключал?

попробуй сделать отдельное для 25 порт (пока тестово):
интернет - фоерволл - 25 порт - разрешить - МАП на мдемона с указанием порта
и поднять его ВЫШЕ правила "почта входящая", либо "почта входящая" отключить временно

Добавлено через 1 минуту

Цитата
Сообщение от dionis12006 Посмотреть сообщение
Фаер встроенный отключен, вместо него стоит каспер для серверов, но там компоненты все отключены:
снеси его
если что поставишь потом
хотя он по сути нужен только на файловых серверах
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу

Последний раз редактировалось naliman; 02.03.2019 в 12:50. Причина: Добавлено сообщение
naliman вне форума   Ответить с цитированием Вверх
Старый 02.03.2019, 16:45   #15
exchar
Администратор
 
Аватар для exchar
 
Регистрация: 21.04.2008
Сообщений: 3,706
По умолчанию Re: 2 правила в керио 8.4 для почты Mdaemon

Цитата
Сообщение от dionis12006 Посмотреть сообщение
Трансляцию в 25 порт при получении убрал , на скрине просто осталась.
убери временно галку регионального скрининга в почтовике
удали временно каспера оттуда вообще, хз какие он тянет политики с админки

[Для просмотра данной ссылки нужно зарегистрироваться] - делал? что получил?
короче, жду результат
причем если нужного трафика нет, то я бы грохнул каспера и проверил еще раз.

посмотрел правила трафика, имею сказать что

1) использование квантора общности "Любой" в источнике/назначении в сочетании с MAP или NAT подобно гранате без чеки.
Если там инет-интерфейсы должны быть, то ставь конкретно только группу инет-интерфейсов, или даже конкретный интерфейс.
Если только локальные интерфейсы - аналогично.

2) одновременно NAT+MAP в реальной жизни нужно более чем редко и если это используется часто, то говорит о косяках маршрутизации в сети (или разрешений на файерволлах конечных устройств). особенно если без этого не работает.

3) правило локального трафика - подъем на самый верх.
сразу ниже него ставим правила для почтовика
еще ниже - правило выхода в инет

4) оркестр, блин плакать хочется! (с)
Цитата
Сообщение от dionis12006 Посмотреть сообщение
Трансляцию в 25 порт при получении убрал, на скрине просто осталась.
и [Для просмотра данной ссылки нужно зарегистрироваться] тоже "просто осталось"?!

5) [Для просмотра данной ссылки нужно зарегистрироваться] сотрудников из дома или еще откуда пускали ну ооочень давно. Открой для себя kerio vpn client и не выставляй ресурсы для взлома в инет.

6) про видеонаблюдение - аналогично п.5, давать криминалу смотреть камеры это...
__________________
"Помогая ленивым людям, ты помогаешь им сесть на твою шею" Сян-Цзы
exchar вне форума   Ответить с цитированием Вверх
Старый 02.03.2019, 20:55   #16
naliman
Администратор
 
Аватар для naliman
 
Регистрация: 19.06.2006
Адрес: оттуда
Сообщений: 14,595
По умолчанию Re: 2 правила в керио 8.4 для почты Mdaemon

поддерживаю
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу
naliman вне форума   Ответить с цитированием Вверх
Старый 04.03.2019, 13:40   #17
dionis12006
 
Аватар для dionis12006
 
Регистрация: 17.11.2008
Сообщений: 11
По умолчанию Re: 2 правила в керио 8.4 для почты Mdaemon

1. Удалил антивирус.
2. Сделал это - "3) правило локального трафика - подъем на самый верх.
сразу ниже него ставим правила для почтовика
еще ниже - правило выхода в инет"
3.На сервере предыдущим сотрудником был настроен шлюз керио на другом сетевом интерфейске, с другим ip. Шлюз прописал на основной адрес.
3. отключил региональный скрининг.
4. Правило обратного поиска привел к этому виду -
[Для просмотра данной ссылки нужно зарегистрироваться]
(потому что после 2 предыдущих манипуляций почтовик начал получать письма, но отшивать их)

И все вроде заработало. Сейчас ещё смотрю логи. Региональный скрининг снова включил по некоторым странам (Африку например.)

По отключению rdp и настройке vpn согласен полностью с Вами, больше половины сотрудников ходят по клиенту vpn, остались только эти. По видео не все просто, там авторизацию нужно пройти ещё, прежде чем подключиться.
Спасибо большое за помощь, сейчас пока буду мониторить, логи посмотрю.
dionis12006 вне форума   Ответить с цитированием Вверх
Старый 04.03.2019, 14:20   #18
naliman
Администратор
 
Аватар для naliman
 
Регистрация: 19.06.2006
Адрес: оттуда
Сообщений: 14,595
По умолчанию Re: 2 правила в керио 8.4 для почты Mdaemon

Цитата
Сообщение от dionis12006 Посмотреть сообщение
3.На сервере предыдущим сотрудником был настроен шлюз керио на другом сетевом интерфейске, с другим ip. Шлюз прописал на основной адрес.
ну вот и проблема
показавал бы сразу Ipconfig - быстрей бы выявилось

Добавлено через 37 минут

какие задержки настроены в мдемоне?
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу

Последний раз редактировалось naliman; 04.03.2019 в 14:20. Причина: Добавлено сообщение
naliman вне форума   Ответить с цитированием Вверх
Старый 04.03.2019, 15:31   #19
dionis12006
 
Аватар для dionis12006
 
Регистрация: 17.11.2008
Сообщений: 11
По умолчанию Re: 2 правила в керио 8.4 для почты Mdaemon

Грейлистинг поставил пока 10 сек.

Добавлено через 10 минут

Тарпиттинг 35 сек

Добавлено через 38 минут

Ещё заметил, что правила отправки почты не работают
[Для просмотра данной ссылки нужно зарегистрироваться],
добавил в правило ip почтовика и правило начало использоваться.
[Для просмотра данной ссылки нужно зарегистрироваться]

Последний раз редактировалось dionis12006; 04.03.2019 в 15:31. Причина: Добавлено сообщение
dionis12006 вне форума   Ответить с цитированием Вверх
Старый 04.03.2019, 15:46   #20
naliman
Администратор
 
Аватар для naliman
 
Регистрация: 19.06.2006
Адрес: оттуда
Сообщений: 14,595
По умолчанию Re: 2 правила в керио 8.4 для почты Mdaemon

Цитата
Сообщение от dionis12006 Посмотреть сообщение
Грейлистинг поставил пока 10 сек.
мало
пару минут можно смело ставить

Цитата
Сообщение от dionis12006 Посмотреть сообщение
Тарпиттинг 35 сек
ага, вот это интересовало

секунд 15-20 поставь а то могут некоторые не дождаться соединения и получишь недоход почты

Цитата
Сообщение от dionis12006 Посмотреть сообщение
добавил в правило ip почтовика и правило начало использоваться.
фаервол из этого правила убери, он там лишний
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу
naliman вне форума   Ответить с цитированием Вверх
Ответ


Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Текущее время: 04:38. Часовой пояс GMT +3.


Powered by vBulletin® Version 3.8.12 by vBS
Copyright ©2000 - 2019, vBulletin Solutions Inc. Перевод: zCarot
© Kerio-rus.ru
Фонарёвка: всё о фонарях