Uso básico de PolicyD Cluebringer: Control de HELO/EHLO

En este artículo vamos a ver como configurar Cluebringer para controlar los accesos a nuestro servidor de correo estableciendo restricciones en la cláusula que identifica quién quiere enviar su email: HELO/EHLO. En el menú de la izquierda dentro de HELO/EHLO Checks pulsamos Configure y accedemos a la pantalla desde la que podemos crear nuestras políticas de control. Como en las anteriores, el menú desplegable central contiene las opciones para trabajar, y seleccionamos Add:

Elegimos un nombre para nuestra configuración (aquí ControlGlobal) y la cuenta a la que se aplicará la política: Defaul Inbound. Si echamos un vistazo a los miembros de esta cuenta veremos como excluye a todos los emisores que pertenezcan al dominio local y acepta todos los receptores que estén en nuestro dominio, es decir, sólo aplicará los controles a los emisores ajenos a nuestro dominio. Los siguientes parámetros a definir son:

  • Use Blacklist: Habilita el uso de la blacklist de HELO/EHLO
  • Blacklist Period: Tiempo durante el cual un host será baneado en segundos. Cada vez que se intente un nuevo acceso la lista se resetea. En el ejemplo 2419200 seg. = 28 días.
  • Use HRP: Hello Randomization Prevention. Se logean todos los accesos.
  • HRP Period: Como el Blacklist Period. Si un mismo host supera el limite de HELO's (HRP Limit) se banea su ip durante el período señalado (en segundos), en el ejemplo 2419200 seg. = 28 días.
  • HRP Limit: Límite de intentos HELO para un mismo host. Si se superan se rechaza el mail.
  • Reject Invalid: Rechaza todo los HELO que no se identifiquen con un FQDN (no se permiten ip's ni nombres de dominio ilegales). Está opción debe habilitarse para que funcionen Reject non-literal IP y Reject Unresolvable.
  • Reject non-literal IP: Rechaza todo HELO que no cumpla los requisitos RFC 2821, pág. 22 sección 3.6. Resumiendo: no se aceptará un ip a.b.c.d pero si [a.b.c.d].
  • Reject Unresolvable: Rechaza todo HELO cuya ip no pueda resolverse.

Enviamos la consulta y, recordando que por defecto se crean inhabilitadas, vamos a Change y cambiamos su estado Disabled a no. Desde ese momento Cluebringer empezará a vigilar todos los emails entrantes que no pertenezcan a nuestro dominio y, si van dirigidos a nosotros, les aplicará las restricciones. Para terminar, el control HELO/EHLO dispone de una blacklist y una whitelist que podemos modificar según nuestros intereses para prohibir o permitir hosts concretos.


No hay comentarios:

Publicar un comentario