Есть мыл-сервер в дмззоне. Через портмаппинг на него входящие smtp заходят. Для этого правила включен IDS Prevention.
Выяснилось что не могут дойти некоторые письма с mail.ru, inbox.ru.
Причем некоторые видимо могут проходить.
Например от нас было послано письмо на
xxx@mail.ru с флагом - подтвердить о доставке или прочтении (точно не помню). И письмо о том что письмо доставлено (или прочтено) пришло. А сам ответ, посланный человеком не доходит.
По логам выяснилось что IDS блокирует входящие с ip принадлежащих mail.ru, например
194.67.23.121
194.67.57.14
2005-11-22 08:30:45 Local0.Warning 192.168.100.101 EFW: IDS: prio=3 rule=mail_server_DMZ action=closing_connection reason=intrusion_detected description="WEB-MISC apache directory disclosure attempt. Impact: Information disclosure" signature="WEB-MISC apache directory disclosure attempt" idrule="mail_server_DMZ" srcip=194.67.23.121
2005-11-22 08:30:48 Local0.Warning 192.168.100.101 EFW: IDS: prio=3 rule=mail_server_DMZ action=closing_connection reason=intrusion_detected description="WEB-MISC apache directory disclosure attempt. Impact: Information disclosure" signature="WEB-MISC apache directory disclosure attempt" idrule="mail_server_DMZ" srcip=194.67.57.14
С одной стороны IDS полезная штука. Дополнительная защита от всяких разных атак, но с другой стороны она блокирует, то что нужно пропустить. Пришлось ее пока переключить в inspection only.
Что можете посоветовать по данному поводу...?
PS: Также в данном правиле используется сервис smtp-in, то бишь с галочкой Protect the destination from SYN flood attacks. Может это тоже имеет значение в данном случае
Вход
Регистрация
FAQ
Поиск
