Instalação do Antispam Proxmox: Parte 11 – Implementando em Produção

Falaremos sobre os procedimentos que utilizamos para instalar o Proxmox. Antes de iniciar esse procedimento, recomendamos uma lida em nosso artigo (neste link, ou nas referências abaixo) comparando algumas soluções antispam, para lhe ajudar a decidir se esta solução é a melhor para seu caso.

Como o post do Proxmox ficou mais extenso, dividimos ele em partes. Pedimos que siga cada parte e só passe para a seguinte se não tiver dúvidas ou problemas.

Instalação do Antispam Proxmox: Parte 1 – Instalando o(s) Servidor(es)
Instalação do Antispam Proxmox: Parte 2 – Instalando o Bind
Instalação do Antispam Proxmox: Parte 3 – Padronização do ambiente
Instalação do Antispam Proxmox: Parte 4 – Aprimorando o ambiente
Instalação do Antispam Proxmox: Parte 5 – Configurando o Proxmox
Instalação do Antispam Proxmox: Parte 6 – Aprimorando filtragem Antispam
Instalação do Antispam Proxmox: Parte 7 – (OPCIONAL) Configurar Cluster
Instalação do Antispam Proxmox: Parte 8 – Configurando a Quarentena
Instalação do Antispam Proxmox: Parte 9 – Integrando com o LDAP
Instalação do Antispam Proxmox: Parte 10 – Regras iniciais
Instalação do Antispam Proxmox: Parte 11 – Implementando em Produção
Instalação do Antispam Proxmox: Parte 12 – Comandos para o dia a dia

Lembre-se de alterar as partes em cinza para o padrão de sua empresa.

Requisitos DNS de um SMTP

Não é o foco desse post explicar quais os requisitos de um SMTP, mas itens básicos para um servidor SMTP que você precisa se atentar:

• Seu servidor Proxmox precisa ser cadastrado no DNS externo:
  • O(s) registro(s) direto(s) (nome, para qual IP);
  • O(s) registro(s) reverso(s) (do IP, para o nome), se não tiver acesso a fazer esse registro, entre em contato com seu provedor;
  • O(s) registro(s) MX(s) (apontando para o IP do Proxmox);
    • Caso exista mais de um domínio @suaempresa.com, cadastre os MX em cada domínio.
  • Demais registro(s) de sua empresa (tais como: SPF, DKIM, etc.).
• Se o Proxmox for entrar como Edge do seu servidor de e-mail, fazendo tanto a entrada quanto a saída dos e-mails, lembre-se de retirar os registros MX do seu servidor antigo;
• Se o Proxmox for ser usado apenas para filtrar a entrada de e-mails, mas o envio de e-mails ainda será feito pelo seu servidor atual, altere a prioridade MX do seu servidor de envio para um número maior do que o do Proxmox;

Liberação em Seu Firewall

Para o funcionamento do Proxmox é necessário liberar no firewall:

• Acesso dos servidores Proxmox para sua rede INTERNA:
  • Acesso NTP (123) aos DCs;
  • Acesso LDAP e/ou LDAPS aos DCs;
  • Acesso DNS aos DCs;
  • Acesso SMTP (25 TCP) e 26 TCP aos servidores de E-mail.
• Acesso dos servidores Proxmox para a INTERNET:
  • Para baixar via HTTP e HTTPS (instalação e atualizações);
  • Acesso DNS;
  • Acesso PYZOR (24441 TCP/UDP);
  • Acesso DCC (6277 UDP);
  • Acesso RAZOR (2703);
  • Acesso SMTP (25 TCP);
  • NAT de entrada na porta SMTP (25 TCP);
• Acesso dos Usuários ao Proxmox:
  • NAT na porta HTTP, para redirecionar para o quarentena;
  • NAT na porta 8006 no servidor de quarentena.

Alteração em seu MTA Exchange

Se houver um Servidor Exchange, configure-o da seguinte forma:

• Crie um conector de envio, com:
  • Limite o máximo de recipientes para 25;
  • Crie um Conector de envio, com:
  • O Nome Outbound-SMARTHOST(TCP26), tipo Personalizado.
    • Configure utilizar smarthosts, adcione os IPs dos servidores Proxmox;
  • Nenhuma autenticação;
  • Tipo SMTP, Nome FQDN * e custo 1;
  • Adicionar todos os servidores Exchange;
  • Edite e configure as demais configurações padrão (verifique o default);
  • Abra o powershell do exchange como administrador e digite o comando: Set-SendConnector -Identity “Outbound-SMARTHOST(TCP26)” -Port 26
  • Desabilite o conector default e renomeie ele para Outbound-SMARTHOST(TCP25)
    • Edite o conector de recebimento default
  • No conector Default, retire os IPs do Antispam’s antigos.

• Crie um Conector de recebimento, com:
  • O Nome Inbound-SMARTHOST(TCP25), Transporte de Front-end, Personalizado;
  • Na tela seguinte, deixe padrão;
  • Na terceira tela, para configurar a parte de configurações de rede remota, informe os endereços os servidores Proxmox;
  • Edite e configure as demais configurações padrão (verifique o default);

Alterando o tempo de retenção dos logs

Para aumentar a retenção dos logs (para o Tracking Center) de 7 dias para 90, edite o arquivo /etc/logrotate.d/rsyslog e altere o tempo de rotate do /var/log/syslog . Para isso, execute o comando:

vi /etc/logrotate.d/rsyslog

Pressione a tecla INSERT para entrar em modo de edição, localize a parte:

Original	Altere para
/var/log/syslog { rotate 7 daily missingok notifempty delaycompress compress postrotate /usr/lib/rsyslog/rsyslog-rotate endscript }	/var/log/syslog { rotate 90 daily missingok notifempty delaycompress compress postrotate /usr/lib/rsyslog/rsyslog-rotate endscript }

Pressione a tecla ESC, para sair do modo de edição, em seguida digite :wq! para sair e salvar. De volta ao shell, reinicie o serviço:

systemctl restart rsyslog.service

Alterando o fluxo de atualização do antivírus

Ao utilizarmos o PMG, constatamos um consumo excessivo de internet, do servidor PMG para o site clamav.net. Ao analisarmos:

ps -aux | grep clam
systemctl | grep clam

Verificamos que o Freshclam (serviço de atualização do antivirus ClamAV) é executado como um serviço. Ao lermos em alguns fóruns optamos por desabilitá-lo e executar apenas uma vez por dia. Para isso:

• Para desabilitar e parar o serviço Fresclam, execute:

systemctl disable clamav-freshclam.service
systemctl stop clamav-freshclam.service

• Para criar uma tarefa diária, execute:

vim /etc/cron.daily/freshclam.sh

Pressione a tecla INSERT para entrar em modo de edição, insira o seguinte conteúdo:

#!/bin/sh /usr/bin/freshclam –quiet

Pressione a tecla ESC, para sair do modo de edição, em seguida digite :wq! para sair e salvar. De volta ao shell, execute:

chmod 755 /etc/cron.daily/freshclam.sh
systemctl restart cron.service

Fontes/Referências

NVLAN – Comparativo Soluções Mail Gateway/Antispam OpenSource (gratuitas)
NVLAN – Instalação do Antispam Proxmox: Parte 1 – Instalando o(s) Servidor(es)
NVLAN – Instalação do Antispam Proxmox: Parte 2 – Instalando o Bind
NVLAN – Instalação do Antispam Proxmox: Parte 3 – Padronização do ambiente
NVLAN – Instalação do Antispam Proxmox: Parte 4 – Aprimorando o ambiente
NVLAN – Instalação do Antispam Proxmox: Parte 5 – Configurando o Proxmox
NVLAN – Instalação do Antispam Proxmox: Parte 6 – Aprimorando filtragem Antispam
NVLAN – Instalação do Antispam Proxmox: Parte 7 – (OPCIONAL) Configurar Cluster
NVLAN – Instalação do Antispam Proxmox: Parte 8 – Configurando a Quarentena
NVLAN – Instalação do Antispam Proxmox: Parte 9 – Integrando com o LDAP
NVLAN – Instalação do Antispam Proxmox: Parte 10 – Regras iniciais
NVLAN – Instalação do Antispam Proxmox: Parte 12 – Comandos para o dia a dia
NVLAN – Instalação padrão do CentOS7

https://forum.proxmox.com/threads/cluster-rsync-error.41135/
https://forum.proxmox.com/threads/how-to-local-dns-resolver-for-proxmox-mail-gateway.41189/
https://superuser.com/questions/78593/clamav-freshclam-update-intervals
https://www.netzspezialist.de/blog/2019/12/06/proxmox-mail-gateway-6-modifications/
https://www.proxmox.com/en/training/video-tutorials
https://youtube.com/watch?v=Dr3-BeY0V1k
https://youtube.com/watch?v=-QpIfm-qx1o

Mais Informações

Esperamos ter ajudado da melhor forma possível e estaremos sempre a disposição para mais informações.

Entre em contato conosco pelo e-mail equipe@nvlan.com.br.