Задать вопрос
@5tgb5tgb
информационная-безопасность

Как интегрировать MTA Postfix и систему DLP?

Требуется помощь, с реализацией описанного ниже.
ВАЖНО: всё сделано абсолютно законно, сотрудники знают о мониторинге, расписывались в куче документов и т.п.

Исходные данные:
1) есть почтовый сервер на MTA Postfix - mail.domain.com
2) есть все пользователи этого сервера - users
3) есть небольшой список пользователей - dlp_users, почта которых должна проходить через сервер системы DLP
4) есть сервер DLP, на который необходимо пересылать письма - dlp.domain.com (IP 192.168.1.10)

Что необходимо сделать:
Входящие и исходящие письма пользователей из списка dlp_users должны отправляться на сервер dlp.domain.com. После чего они возвращаются обратно на почтовик и отправляются адресатам.

Как планировалось реализовать:
1) с помощью параметров smtpd_recipient_restrictions и smtpd_sender_restrictions в main.cf исходящие и входящие письма проверяются по списку пользователей dlp_users. Если отправитель или получатель попадает в этот список, то письмо перенаправляется на сервер DLP
2) письмо возвращается от сервера DLP и для устранения петель по таблице транспорта transport сразу отправляется на локальный порт встроенного контентного фильтра - 127.0.0.1:10025

Проблема в том, что устранить петли таким образом не удалось. При отправке/получении письма для абонента из списка dlp_users письмо начинает ходить между почтовым сервером и сервером DLP, пока не отбрасывается из-за превышения числа hop'ов.

Поможет ли указание параметра smtpd_client_restrictions = check_client_access hash:/etc/postfix/dlp_server в main.cf защититься от петель? При этом в dlp_server указать: 192.168.1.10 FILTER smtp:127.0.0.1:10025

Выдержки из конфигов:
main.cf
transport_maps = hash:/etc/postfix/transport
smtpd_recipient_restrictions = check_recipient_access hash:/etc/postfix/dlp_users
smtpd_sender_restrictions = check_sender_access hash:/etc/postfix/dlp_users

dlp_users
dlp_user1@domain.com FILTER smtp:192.168.1.10
dlp_user2@domain.com FILTER smtp:192.168.1.10
dlp_user_n@domain.com FILTER smtp:192.168.1.10

transport
192.168.1.10 smtp:[127.0.0.1]:10025
  • Вопрос задан
  • 417 просмотров
Комментировать
Подписаться 1 Оценить Комментировать
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы
Вакансии с Хабр Карьеры
Старший специалист по информационной безопасности (аттестация ОИ)
Гринатом Москва
До 120 000 ₽
Руководитель направления информационной безопасности ОКИИ
Интер РАО – Управление сервисами Санкт-Петербург
от 180 000 ₽
Инженер по информационной безопасности
Wanted. Москва
До 2 600 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Reverse engineering ключ подписи
18 февр. 2025, в 23:57
5000 руб./за проект
Парсер, нужно сделать генератор цифровых отпечатков TLS,SSL
18 февр. 2025, в 23:33
15000 руб./за проект
Opencart 3. Интегрировать фильтр
18 февр. 2025, в 22:50
5000 руб./за проект
Ещё заказы