Control del tráfico de Webmail
Cuando se trata de controlar el tráfico que se genera en nuestra red local hacia servidores externos de webmail como GMail, Hotmail, etc. No es suficiente con realizar simplemente un par de consultas DNS y bloquear los registros que obtengamos. Necesitamos una lista completa de servidores.
Usaremos el registro SPF (Sender Policy Framework). Este es un estándar abierto que se implementa para limitar la actividad de los spammers activity. Con el SPF los administradores de dominio pueden listar los servidores autorizados a enviar correos para un determinado dominio. Una vez configurado, los servidores de correo que reciben correos de un determinado dominio, pueden comprobar si se ha generado en uno de los servidores autorizados.
Esto nos viene muy bien a la hora de implementar reglas de filtrado. Digamos que queremos controlar el acceso a Hotmail servers.
Primero obtenemos la lista de servidores que necesitamos. Muy fácil mediante nslookup o dig.
Después creamos un object-group para simplificar el trabajo con nuestra ACL:
object-group network hotmail.com
network-object 209.240.192.0 255.255.224.0
network-object 65.52.0.0 255.252.0.0
network-object 131.107.0.0 255.255.0.0
network-object 157.54.0.0 255.254.0.0
network-object 157.56.0.0 255.252.0.0
network-object 157.60.0.0 255.255.0.0
network-object 167.220.0.0 255.255.0.0
network-object 204.79.135.0 255.255.255.0
network-object 204.79.188.0 255.255.255.0
network-object 204.79.252.0 255.255.255.0
network-object 207.46.0.0 255.255.0.0
network-object 199.2.137.0 255.255.255.0
network-object 199.103.90.0 255.255.254.0
network-object 204.182.144.0 255.255.255.0
network-object 204.255.244.0 255.255.254.0
network-object 206.138.168.0 255.255.248.0
network-object 64.4.0.0 255.255.192.0
network-object 65.54.128.0 255.255.128.0
network-object 207.68.128.0 255.255.192.0
network-object 207.68.192.0 255.255.240.0
network-object 207.82.250.0 255.255.254.0
network-object 207.82.252.0 255.255.254.0
network-object 209.1.112.0 255.255.254.0
network-object 209.185.128.0 255.255.254.0
network-object 209.185.130.0 255.255.254.0
network-object 209.185.240.0 255.255.252.0
network-object 216.32.180.0 255.255.252.0
network-object 216.32.240.0 255.255.252.0
network-object 216.33.148.0 255.255.252.0
network-object 216.33.151.0 255.255.255.0
network-object 216.33.236.0 255.255.252.0
network-object 216.33.240.0 255.255.252.0
network-object 216.200.206.0 255.255.255.0
network-object 204.95.96.0 255.255.240.0
network-object 65.59.232.0 255.255.254.0
network-object 65.59.234.0 255.255.255.0
network-object 209.1.15.0 255.255.255.0
network-object 64.41.193.0 255.255.255.0
network-object 216.34.51.0 255.255.255.0