Firewall CSF

[Alexandre Duran]

Caros, existe uma forma de configurar o firewall CSF para bloquear qualquer tentativa de envio de email via SMTP ou IMAP de um determinado pais - ou o contrário, permitir que apenas os IPs do Brasil possam enviar emails bloqueando os demais ?

 

Encontrei isso mas não compreendi corretamente: 

 

[Fernando Rafs]

Alexandre, não sei se servirá para você!

 

Eu costumo bloquear as portas, da seguinte maneira:

 

 

Pelo menos para mim costuma bloquear o acesso para IPs do exterior corretamente, deixando apenas o País que informei acessar as portas e com isto IPs do exterior não conseguem acesso ao serviço devido a porta estar bloqueada.

[Visitante dessideriojr]

Olá Alexandre,

 

Usamos esse recurso, vocÊ também deve fazer uma configuração no exim, tem um tutorial simples em:

 

/etc/csf/readme.txt

 

Seção 26.

[avonni]

Alexandre, não sei se servirá para você!

 

Eu costumo bloquear as portas, da seguinte maneira:

 

 

Pelo menos para mim costuma bloquear o acesso para IPs do exterior corretamente, deixando apenas o País que informei acessar as portas e com isto IPs do exterior não conseguem acesso ao serviço devido a porta estar bloqueada.

 

Guto, o problema é que desta forma indicada (se a porta 25 for restringida apenas para o BR, por exemplo) o servidor não irá receber e-mails de dos demais países. E com isso adeus e-mails do Gmail, Outlook.com, Yahoo, etc. O que certamente tratá muitos problemas.

 

A opção que o Duran apontou parecer ser a ideal neste caso. Mas confesso que também nunca a usei, então estou curioso para ver as respostas dos demais colegas que estão usando.

[avonni]

Passei a usar a opção "cc_allow_smtp" durante esta última semana, permitindo apenas Brasil e Portugal, e realmente funciona muito bem.

E a configuração foi bem fácil (é como o @ citou, basta seguir as instruções do readme do CSF), então a dica tá mais que aprovada! :)

[Leo Amarante]

Olá @,

 

 

Você configurou o exim e csf via whm?

Além dessas configurações é preciso editar o arquivo /etc/csf/csf.smtpauth ?

 

Confesso que fiquei confuso com as instruções.

[avonni]

Olá @,

 

 

Você configurou o exim e csf via whm?

Além dessas configurações é preciso editar o arquivo /etc/csf/csf.smtpauth ?

 

Confesso que fiquei confuso com as instruções.

 

Sim, configurei tudo pelo WHM mesmo. O procedimento é este:

1- No CSF habilite a opção "SMTPAUTH_RESTRICT" e na opção "CC_ALLOW_SMTPAUTH" você especifica quais são os países que deseja permitir a autenticação SMTP. Se for permitir apenas Brasil é só inserir BR neste campo e salvar as alterações.

2- Volte na tela principal do CSF e verá um novo botão disponível, chamado "Edit SMTP AUTH". Através desta opção você pode incluir IPs para os quais também deseja habilitar a autenticação SMTP. (Exemplo: Se você permitir apenas autenticações do BR mas tem um servidor na Europa para o qual também deseja permitir a autenticação, então você inclui o IP deste outro servidor ali). Aqui nesta etapa eu inclui também o bloco de IPs do meu próprio servidor porque percebi que após ativar esta restrição os formulários de contato de alguns sites tinham parado de funcionar. Então depois que incluí o bloco de IPs do próprio servidor ali, tudo ficou ok.

 

Agora é só fazer a configuração no Exim:

1- Então no WHM vá em "Service Configuration" > "Exim Configuration Manager" e clique em "Advanced Editor"

2- Localize e clique no botão "Add additional configuration setting" e selecione na lista a opção "auth_advertise_hosts"

3- Na caixa de texto que irá abrir insira este código: 

${if match_ip{$sender_host_address}{iplsearch;/etc/exim.smtpauth}{*}{}}

4- Por fim é só salvar as alterações e testar para ver se está tudo ok e funcionando como o esperado.

[Leo Amarante]

@

 

Valeu mesmo pela contribuição.

 

Eu só não tinha realizado o passo 2 do seu tutorial.

 

Muito obrigado à você e ao @ .

[matt]

Pessoal, fiz isso como no tutorial mas alguns clientes da oi e da net reclamaram que não conseguiam enviar emails, principalmente da NET. Tem como ver como eu posso criar essas exceções para a NET e Oi no caso?

[Leo Amarante]

Pessoal, fiz isso como no tutorial mas alguns clientes da oi e da net reclamaram que não conseguiam enviar emails, principalmente da NET. Tem como ver como eu posso criar essas exceções para a NET e Oi no caso?

Verifique o IP de seus clientes, recentemente descobri que o bloco de ips 191.0.0.0/8 usado pela NET em alguns casos não foi reconhecido pelo CSF com sendo um IP Brasileiro.