КОНФЕРЕНЦИЯ на AIRSOFTGUN.RU

Коллеги админы, подскажите:

Имеется машина, на которой жил Kerio Firewall и Kerio Mail Server.

Возникла необходимость перенести шлюз на другую машину (а почтовик оставить на месте).

Kerio Firewall на старой машине остановил, но новой - поднял, интернет туда переткнул, порты пробросил, ,все работает.

Но начинает идти ОГРОМНОЕ количество спама. Перетыкаю инет обратно, поднимаю обратно старый Kerio Firewall - спам приходить прекращается. Притом, что почтовик вообще не трогаю! Все только пробросом 25 и 110 порта делаю.

Подскажите, в какую сторону копать? Кто в этом хоть виноват - KWF/почтовик/тип подключения/руки ?

А спам как/чем фильтруется?

olegff писал(а):А спам как/чем фильтруется?

На Kerio Mail Server стоит фильтр.

расскажи старую схему и новую схему.
В виде
инет - шлюз - настроенный почтовый фильтр с базой данных - локальный почтовик.

на фильтрацию чего и как настроен антиспам ? может он тупо не видит нового потока или он на него не завернут, яхз как это в керио делается.

Старая схема -
Kerio Firewall и Kerio Mail на одном сервере, куда приходит инет.

Новая схема:
Kerio Mail остается на месте.
Kerio Firewall переезжает на новый комп, туда-же перетыкается прямой инет, порты 25 и 110 пробрасываются на старый.

Схемы, фильтры и правила файрвола - тупо импортируются со старого на новый, с единственной поправкой, что 25 и 110 порт не просто разрешаются, а транслируются на IP старого.

Схемы и фильтры почтовика - не трогаются.

у меня есть серьезное подозрение, что в таком случае на керио майл идет поток не внешний (по адресам), а внутренний и он не фильтруется.

Scif писал(а):у меня есть серьезное подозрение, что в таком случае на керио майл идет поток не внешний (по адресам), а внутренний и он не фильтруется.

Намекаешь на то, что где-то во внутренней сети спаммерский троян сидит ?

может это типа фича Керио, какой нить доп модуль на файрволле чисто для работы с майлсервером?

DarkWing [GB] писал(а):

Scif писал(а):у меня есть серьезное подозрение, что в таком случае на керио майл идет поток не внешний (по адресам), а внутренний и он не фильтруется.

Намекаешь на то, что где-то во внутренней сети спаммерский троян сидит ?

нет.
я не знаю как у керио работает логика, покажу на примере постфикс.

main.cf
myhostname = mail.st****7.ru
inet_interfaces = 10.1.1.55, localhost
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
transport_maps = hash:/etc/postfix/transport.cf

итд. т.е. при интеграции анти-спаса указывается, поток с какого интерфейса (inet_interfaces = 10.1.1.55) заворачивается в анти-спам, а какой (mynetworks ) не заворачивается.

раньше у тебя керио висел на внешнем адресе, его сканил и заворачивал внутрь, внутренний не сканил.

теперь он висит на внутреннем адресе, и воспринимает приходящие на него пакеты не как идущие с внешней сети, а как идущие с внутренней, от факерволла с его внутреннего интерфейса.

в ISA сервер указание "как отдавать данные проброшенным машинам" реализовано вот так:


как в керио я хз, нет его под руками.

Блин.... Скорее всего так и есть! Спасибо за идею! Сейчас буду ковырять!

Чем дело кончилось ?

Я сделал 2 вещи:
1) Исключил адрес шлюза KWF из "доверенных" для фильтра антиспама. (как советовал)
2) Разрешил маилсерверу наружу все порты, а не только POP, SMTP, DNS и HTTP (он-же к каким-то базам в теории обращаться должен).

Спам прекратился.

Что именно из этих двух вещей помогло - не установил еще. Веду наблюдения.

Разрешил маилсерверу наружу все порты, а не только POP, SMTP, DNS и HTTP (он-же к каким-то базам в теории обращаться должен).

по http или https он ходит обычно. ну ftp может.
включи мониторинг и посмотри.