En este artículo vamos a ver como configurar Cluebringer para controlar los accesos a nuestro servidor de correo estableciendo restricciones en la cláusula que identifica quién quiere enviar su email: HELO/EHLO. En el menú de la izquierda dentro de HELO/EHLO Checks pulsamos Configure y accedemos a la pantalla desde la que podemos crear nuestras políticas de control. Como en las anteriores, el menú desplegable central contiene las opciones para trabajar, y seleccionamos Add:
Elegimos un nombre para nuestra configuración (aquí ControlGlobal) y la cuenta a la que se aplicará la política: Defaul Inbound. Si echamos un vistazo a los miembros de esta cuenta veremos como excluye a todos los emisores que pertenezcan al dominio local y acepta todos los receptores que estén en nuestro dominio, es decir, sólo aplicará los controles a los emisores ajenos a nuestro dominio. Los siguientes parámetros a definir son:
- Use Blacklist: Habilita el uso de la blacklist de HELO/EHLO
- Blacklist Period: Tiempo durante el cual un host será baneado en segundos. Cada vez que se intente un nuevo acceso la lista se resetea. En el ejemplo 2419200 seg. = 28 días.
- Use HRP: Hello Randomization Prevention. Se logean todos los accesos.
- HRP Period: Como el Blacklist Period. Si un mismo host supera el limite de HELO's (HRP Limit) se banea su ip durante el período señalado (en segundos), en el ejemplo 2419200 seg. = 28 días.
- HRP Limit: Límite de intentos HELO para un mismo host. Si se superan se rechaza el mail.
- Reject Invalid: Rechaza todo los HELO que no se identifiquen con un FQDN (no se permiten ip's ni nombres de dominio ilegales). Está opción debe habilitarse para que funcionen Reject non-literal IP y Reject Unresolvable.
- Reject non-literal IP: Rechaza todo HELO que no cumpla los requisitos RFC 2821, pág. 22 sección 3.6. Resumiendo: no se aceptará un ip a.b.c.d pero si [a.b.c.d].
- Reject Unresolvable: Rechaza todo HELO cuya ip no pueda resolverse.
Enviamos la consulta y, recordando que por defecto se crean inhabilitadas, vamos a Change y cambiamos su estado Disabled a no. Desde ese momento Cluebringer empezará a vigilar todos los emails entrantes que no pertenezcan a nuestro dominio y, si van dirigidos a nosotros, les aplicará las restricciones. Para terminar, el control HELO/EHLO dispone de una blacklist y una whitelist que podemos modificar según nuestros intereses para prohibir o permitir hosts concretos.
Enlaces: PolicyD CheckHelo
Artículo anterior: Uso básico de PolicyD Cluebringer: Cuotas
Artículo siguiente: Uso básico de PolicyD Cluebringer: Control de Acceso
Artículo siguiente: Uso básico de PolicyD Cluebringer: Control de Acceso
No hay comentarios:
Publicar un comentario