J'utilise actuellement la règle suivante:
ufw allow out from my_local_ip to any port 587
C'est un peu trop laxiste à mon goût. Je voudrais le resserrer et le limiter aux seules adresses IP du serveur smtp de gmail, mais elles changent constamment. J'avais l'habitude d'attendre qu'un email sortant ne parvienne pas à sa destination, puis de vérifier l'adresse IP bloquée dans syslog, puis de l'ajouter au script de configuration ufw. Cependant, j'ai maintenant besoin de beaucoup plus de fiabilité.
Est-il possible d'utiliser smtp.gmail.com dans ufw? Je ne pense pas, mais je pensais demander. D'autres idées? Merci.
Mise à jour
En suivant la suggestion d’izx, j’ai obtenu l’information suivante (abrégée) de whois:
$ whois 74.125.53.108
...
NetRange: 74.125.0.0 - 74.125.255.255
CIDR: 74.125.0.0/16
...
En utilisant cette information, j'ai créé la commande suivante dans mon script de configuration ufw (je réalise qu'il y a d'autres plages à ouvrir, ce n'est qu'un exemple):
ufw allow out from 192.168.2.5 to 74.125.0/24.0/24 port 587
mais ufw n'aime pas ça. Alors je l'ai changé pour:
ufw allow out from 192.168.2.5 to 74.125.0.0/24 port 587
cette ufw a été acceptée mais cela ne bloquera évidemment que les adresses de cette plage avec 0 comme troisième octet. Alors, comment puis-je passer de 0 à 255 pour le troisième octet également?
Vous aurez besoin d'un script qui résout périodiquement le domaine et met à jour les règles de pare-feu avec la dernière adresse IP. Au lieu de cela, essayez cette méthode:
De tels domaines ont souvent plusieurs adresses IP associées. Utilisez Host domain.tld
pour obtenir une liste:
$ Hôte smtp.gmail.com Smtp.gmail.com est un alias pour gmail-smtp-msa.l.google.com. Gmail-smtp-msa.l .google.com a l'adresse 74.125.127.108 gmail-smtp-msa.l.google.com a l'adresse 74.125.127.109
Mais ces deux aussi continuent probablement à changer, en fonction de votre question. Il est donc préférable d’inscrire le netblock au complet dans la liste blanche - utilisez whois
avec l’IP:
$ whois 74.125.127.108 NetRange: 74.125.0.0 - 74.125.255.255 CIDR: 74.125.0.0/16 OriginAS: NetName: GOOGLE NetHandle: NET-74-125-0-0-1 Parent: NET-74-0-0-0-0 NetType: Direct Affectation Date d'enregistrement: 2007-03-13 Mise à jour: 2012-02-24 Voir: http://whois.arin.net/rest/net/NET-74- 125-0-0-1 ...
Le NetRange
name __/CIDR
vous indique ce que vous souhaitez ajouter à la liste blanche - 74.125.0.0/16. Google pourrait attribuer n'importe quelle adresse IP de cette plage à smtp.gmail.com.
La commande suivante renverra quelques domaines:
nslookup -q=TXT _spf.google.com 8.8.8.8
Lancer un nslookup pour chacun:
nslookup -q=TXT _netblocks.google.com 8.8.8.8
nslookup -q=TXT _netblocks2.google.com 8.8.8.8
nslookup -q=TXT _netblocks3.google.com 8.8.8.8
De: http://support.google.com/a/bin/answer.py?hl=fr&answer=60764
gMail gratuit et payant GSuite GMail utilise différents serveurs; parce que quand je cours:
Sudo doveadm dump /home/vmail/acme.com/postmaster/Maildir | grep google.com
il me donne des adresses dans la plage 209.85.128.0/17
.
ARIN a même une réponse API pour GOGL .