On Wed, 21 Mar 2001, Lion Lote F. wrote:
> Porem é imprescindível em um sistema corporativo onde os e-mail só
> poderiam ser usados para assuntos internos, e teríamos que ter um
> controle do que sai da empresa para evitar a saída de informação
> indevidas.
Ter controle sobre o que sai vai MUITO além do que controlar
email/sendmail.
Vocês grampeiam linhas telefôncas? ;)
Vocês revistam os funcionários?
Inspecionam TUDO o que entra e sai em notebooks?
Tem modem em algum micro?
Monitoram TUDO o que passa pela rede de quem acessa Internet?
Bom, será que seu caso não é uma implicância com email e sendmail? No
caso DoJ x MS, os arquivos de email só serviram para enforcar a
própria MS! :)))
Ok, ok, vamos ao tópico...
Até hoje não ví solução 100% para o problema.
Nas dicas do Hacker (é nome do cara! :) tinha uma solução
interessante, mas está temporariamente sem conteúdo:
http://www.harker.com/sendmail/sendmail-tips.html
Nao sei se esse site vai voltar ao ar, você pode mandar um email para
ele...
Ele não "punha a mão no fogo" pela solução que apresentou, mas é muito
interessante.
A ideia e' criar um mailer que chama o proprio sendmail e acrescenta
mais um usuario nessa "chamada", digamos "system.COPY".
Na regra zero verifica-se se o email termina com .COPY, se nao termina
com isso, acrescenta .COPY e usa o "mailer sendmail" para o despacho.
Quando o "mailer sendmail" receber a lista de destinatários, todos com
.COPY, a regra zero vai ser reprocessada, só que agora retira o .COPY
e faz o despacho normalmente.
Algo assim: (copiadora == "mailer sendmail")
Mcopiadora, P=/usr/sbin/sendmail, F=lsDFMoqeu9m, S=10/30, R=20/40, D=$z:/,
T=X-Unix,
A=sendmail -i $u
# Copiei o mailer acima do mailer "prog", acho que era essa a dica do
# Hacker. Foi acrescentado "m" nos flags, para permitir "multiple
# users"
LOCAL_RULE_0
R$* <@ $* . COPY > $* $@ $1 <@ $2 >$3 retira .COPY e despacha
R$* <@ $* > $* $@ $#copiadora $@ localhost $: $1 <@ $2 . COPY >$3
R$* $#error 5.0.1 "500 Falha grave, reporte ao SysAdmin!"
(chutei o erro 5.0.1/500...)
O legal dessa solucao e' que apenas uma copia para cada email e'
arquivada, como se fosse um "BCC:".
Pensando um pouco, acho esse sistema não vai apresentar a lista de
destinatários de BCC da mensagem original, talvez seja necessário mais
um hack para acrescentar e retirar headers com a lista dos envelope
addresses... Se não registrar a lista de envelope addresses, um
usuário local poderia mandar um email sigiloso para uma fonte
permitida (interna mesmo), e um BCC para uma fonte proibida (externa),
e não se saberia facilmente que o email teve um destinatário a mais...
Acho que o melhor é em vez de chamar o sendmail no "mailer sendmail",
chama-se um wrapper que registra os envelope addresses, e chama o
sendmail novamente para continuar o processo.
E também, um usuário experto poderia mandar email para
"[EMAIL PROTECTED]" e com isso "burlar" a cópia local.
"check_relay" poderia contornar um pouco o problema.
Talvez usar a nova API que o sendmail está oferecendo para se
comunucar com programas auxiliares seja uma boa maneira de tirar uma
cópia.
Outra solucao e' fazer o sendmail usar um mailer que na verdade tira
duas copias dos arquivos em mqueue (df e dq), via hardlink, sendo uma
cópia em um diretório com a "memória" desejada, e outra cópia para um
diretório onde outro sendmail trata a fila e despacha efetivamente os
emails.
Armazenar todos os emails também gera um problema de segurança: se
alguem invadir o sistema, vai poder acessar o passado da empresa, e
obter informações que não conseguiria de outra forma.
Portanto, para ser consistente com o objetivo de proteger os interesses
da empresa, o ideal talvez seja usar um servidor especialmente
protegido que recebe a copia dos emails. Ou no minimo um sistema de
backup muito bem protegido, com subsequente eliminação do email do
servidor.
Claro que sempre existe a solução de existirem outros MTAs mais
adequados para a tarefa. O qmail parece ser interessante, pois e'
composto por um serie de pequenos programas, o que sempre é uma forma
mais simples de introduzir "hacks". Nao conheco o qmail.
No final das contas, agora é que me ocorreu um detalhe:
Sistemas de antivirus fazem EXATAMENTE um processo de "re-mailer"
dentro do sendmail. Portanto, se você tem um sistema de antivirus,
esse processo pode ficar muito mais simples.
E é claro que para o "ambiente corporativo" um antivírus é algo
indispensável...
Mande email de seus progressos na área...
--- Wagner [EMAIL PROTECTED]
Assinantes em 21/03/2001: 2190
Mensagens recebidas desde 07/01/1999: 104682
Historico e [des]cadastramento: http://linux-br.conectiva.com.br
Assuntos administrativos e problemas com a lista:
mailto:[EMAIL PROTECTED]
