Контроль исходящей почты всех пользователей?

Question

[smartlight]

Привет хабралюди.

Появилась такая задача от руководства: контроллировать отправку исходящиего мыла.

Т.е. все письма отправляемые нашими сотрудники где нибудь складывались, и страшный дядька с усами смотрел на страничку и раставлял чекбоксы на валидных емейлах.

Работать всё должно прозрачно для конечного пользователя.

Платформа любая: есть Win2K3/8 и *nix роутер.


Посоветцйте плиз, не проходите мимо.

Answer 1

[pwlnw]

Я бы зарулил всю почту в imap-аккаунт и обучил бы «этого дядю с большими ушами» перекладывать письма в клиенте в две разных папки
Простейшая программа переодически выкачивает из папки письма и переправляет на отправку. Разумеется, чистит папку за собой, а папку с отвергнутыми просто чистит.
Немного странные заголовки Received получатся, но бывает и хуже. Их можно в той же программе почистить.

Comments

[pwlnw]

Эта схема не описывает собственно перехват писем. Так что его нужно продумать отдельно:
проще всего запретить SMTP и объяснить всем, что почта проверяется ( кстати, иногда достаточно просто припугнуть, чтобы достичь целей, которых на самом деле ставит начальство перед собой).
Прозрачное перенаправление трафика тоже выход, но может внезапно возникнуть TLS и ошибка на клиенте, как уже писали выше.

Answer 2

[Sergey]

always_bcc_to в случае с постфикс.

Comments

[Sergey]

опаньки, не до конца осознал суть задачи. Такое извращение реализовывать не приходилось.

Answer 3

[BasilioCat]

Задача весьма сложная, если учесть что часть почты отправляется через веб-интерфейс гмэйла и прочих.

Мог бы рекомендовать вам перехватывать средствами файрволла все соединения на порт 25, и заворачивать их на ваш МТА (например Exim), который позволит вам проделать с почтой практически все что вам заблагорассудится. Однако учтите, клиент может сказать STARTTLS и сертификат не сойдётся с тем, который он желает получить, да и в заголовках отправленных писем будет видно, что прошли они через ваш сервер.

Прозрачный для юзера способ включает в себя анализ перехваченного трафика, либо же man-in-the-middle: что-то подобное делают антивирусы, проверяющие почту. Вот пример похожей софтины для юникс-систем: software.klolik.org/smtp-gated/
Возможно вы найдете что-то еще, и при этом более соответствующее вашим целям

Не исключаю также, что есть уже готовый коммерческий софт как раз для таких случаев, да и делающий свое дело по-тихому, и возможно даже под винду — отечественным безопастникам такая хрень часто лезет в голову

Answer 4

[Vitali Borovik]

Проще поставить клав. шпион и отправлять на сервер данные, который потом читают.

Answer 5

[smartlight]

уточню ТЗ: решение необходимо для учетных записей на нашем мыльнике domain_name.com.

Т.е. есть и домен и хостинг и МХ у хостера, хочеться юзерам настроить учетки, например, в The Bat или Thunderbird вида user@domain_name.com. web у нас закрыт.

Comments

[BasilioCat]

Поставьте локальный почтовый сервер, во всех учётках пропишите его как сервер исходящей почты, и запретите на файрволле коннект на 25 порт на любые адреса кроме этого почтового сервера. Далее проблема сокращается по нескольких строчек конфига МТА (однострочный вариант предложен первым).

Возможные проблемы:
— отсутствие или несоответствие прямой и обратной зоны для внешнего IP вашего почтового сервера
— несоответствие MX записи и адреса вашего сервера (подставляйте основной домен в конфиге например как mx2.domain.ru, в этом случае проверку HELO можно обойти записями в ДНСе, что само по себе не снимет проблемы соответствия прямой и обратной зоны — об этом придется позаботиться тоже)

Проблемы эти ведут к тому что ваша почта будет плохо доходить до всяких там мэйл.ру

Все эти проблемы снимаются передачей почты через почтовый релей вашего провайдреа (не хостера), если таковой, конечно, наличествует. Решается также одной строчкой в конфиге

Answer 6

[smartlight]

Далее проблема сокращается по нескольких строчек конфига МТА (однострочный вариант предложен первым).
спасибо за внимание, но не могли бы вы более точнее указать какие опции имеете в виду.

однострочный вариант не соответсвует ТЗ, ибо накапливаясь в какомто ящике почту прийдется форвардить вручную, что изменяет вид письма.