老板要求：让员工上网，却不让他们发邮件!怎么解决？

zilai

kidgun 已经说过了

Post by kidgun
通过squid的代理来对webmail的限制，iptables对其他pop，smtp限制！

        其实很简单的要求，为什么非要说老板无知呢？公司寄予信息安全角度思考，应该禁止使用外面的免费的email服务，改用公司自己的mail服务器，有利于防止公司资料通过email外流，统一使用公司信箱有利于提升公司形象。每份通过公司的mail服务器的email统统都copy一份，保留三年，做为证据。

    iptables把所有80,81,8080,443端口（有些网站用81,8080非标准端口）的请求全部转向proxy squid的3128端口,然后在squid 里面设置所有url里面含有mail的字符的连接全部禁止通过， 在用iptables对其他pop3，smtp，imap等连接全部禁止。 这样做就可以达到要求了，除非哪个webmail服务器里面的url里面不含mail字符(基本上所有的流行的和非流行的webmail服务器的url里面都含有mail关键字)，在观察一段时间服务器，看有没有这样的服务器，如果有在squid里在禁止掉它。



    基本上员工尝试几次都被你发现后成功拦截住，他们的信心会受很大打击，会放弃继续尝试的。

    你是网管整上网还不好整，基本上你用squid+iptables，老板提出什么样的要求你都可以满足。

qsblj

这个老板白痴吧.呵呵,太搞笑了.

superbug

0，使用iptables将对外访问透明转发给代理服务器；
1，配置好Squid代理服务，至少符合下述规则：
2，配置过滤规则，禁止访问一些知名的免费webmail；
3，配置过滤规则，限定http post动作的size在一定额之下

通过上述方法，无法访问知名free webmail之外，访问没有在限定表中的webmail的时候即使发送webmail也无法发送过大的邮件；访问正常网站的时候也不会无法用post登录一些bbs之类的内容（post包都很小）。

完全禁止是完全不可能的。

Best Regards,
bug

zilai

怎么不可以完全屏蔽?
email,qq,msn,都可以屏蔽的。
封email，只要在squid里设置屏蔽url里面的关键字mail即可以。
屏蔽msn,只要在squid里屏蔽 .hotmail.com就可以
屏蔽qq,比较麻烦一点。要找到qq安装目录里qq号码下的一个名叫Config.db的文件，用记事本打开，是乱码，不用管它，里面会纪录上qq时用过的服务器地址。找到如下面的内容：

202.104.129.253:8000   sz.tencent.com:8000   218.18.95.209:8000   sz2.tencent.com:8000   sz3.tencent.com:8000   sz4.tencent.com:8000   sz5.tencent.com:8000   sz6.tencent.com:8000   sz7.tencent.com:8000

  219.133.49.6:80   tcpconn.tencent.com:80   tcpconn2.tencent.com:80   tcpconn3.tencent.com:80   tcpconn4.tencent.com:80   tcpconn2.tencent.com:80   tcpconn3.tencent.com:80   tcpconn4.tencent.com:80

http://http2.tencent.com:80
ttp://http.tencent.com:443
在squid里设置把.tencet.com 和上面的ip地址给屏蔽就可以。config.db里面的ip会变。所以你要天天开qq,要定期看看有没有多的ip地址，有就加进去。




acl first arp "/etc/squid/first.txt"  #定义第一组用户
acl second arp "/etc/squid/second.txt"  #定义第二组用户
acl third arp "/etc/squid/third.txt"  #定义第三组用户
acl fourth arp "/etc/squid/fourth.txt"  #定义第四组用户
acl fifth arp "/etc/squid/fifth.txt"  #定义第五组用户
acl xuhongjuan arp "/etc/squid/xuhongjuan.txt"  #PLMM用户
acl thirdmsn arp "/etc/squid/thirdmsn.txt"  #定义第三组用户,可以上MSN的部分
acl xuhongjuanmsn dstdomain "/etc/squid/xuhongjuanmsn.txt"  #定义登陆msn需要用到的网站，里面共四个网站.hotmail.com  .passport.com   .passport.net   .dhl.com
acl sixth src 192.168.1.0/24    #定义局域网用户

acl msn dstdomain "/etc/squid/msn.txt"  #定义MSN网址
acl qqdn dstdomain "/etc/squid/qqdn.txt"  #定义qq网址
acl qqip dst "/etc/squid/qqip.txt"   #定义qq域名
acl mail url_regex "/etc/squid/mail.txt"  #定义mail关键字
acl sex url_regex "/etc/squid/sex.txt"  #定义成人网站关键字

acl second_time time 8:00-22:0  #定义第二组用户，可以上网时间
acl third_time time MTWHFA 8:00-21:00  #定义第三组用户，可以上网时间
acl fourth_time time SMTWHFA 8:00-21:00  #定义第四组用户，可以上网时间
acl update_time time MTWHFA 8:00-17:30  #定义局域网全体用户都可以上的网的上网时间

acl mmxfile urlpath_regex -i \.mp3$ \.avi$ \.exe$ \.zip$ \.rar$ \.rm$ \.rmvb$ \.iso$ \.bin$ \.msi$   #定义禁止下载的文件类型。-i 文件名不分大小写

acl update dstdomain "/etc/squid/update.txt"  #定义局域网全体用户都可以上的网
no_cache deny QUERY

# And finally deny all other access to this proxy
#http_access deny all

  http_access allow first   #第一组用户上网不受任何限制

  http_access allow sixth update update_time  #局域网全体用户在指定时间内可以上指定的网

  http_access deny mmxfile  #以下所有用户禁止下载

  http_access deny second msn  #第二组用户禁止上msn
  http_access deny second mail   #第二组禁止上网使用mail
  http_access deny second sex   #第二组禁止上成人网站
  http_access deny second qqip  #第二组用户禁止上qq
  http_access deny second qqdn   #第二组用户禁止上qq
  http_access allow second  second_time  #第二组用户在规定的时间内可以上网


  http_access allow thirdmsn  xuhongjuanmsn third_time  #第三组可以上MSN用户可以在规定的时间内上msn
  http_access deny third msn  #第三组用户禁止使用msn
  http_access deny third qqip  #第三组禁止上sex网站
  http_access deny third qqdn
  http_access deny third mail  #第三组禁止上网使用mail
  http_access deny third sex  #第三组禁止上成人网站
  http_access allow third third_time  #第三组用户在规定的时间内可以上网

  http_access deny fourth msn
  http_access deny fourth mail
  http_access deny fourth sex
  http_access deny fourth qqip
  http_access deny fourth qqdn
  http_access allow fourth fourth_time

  http_access deny fifth msn
  http_access deny fifth mail
  http_access deny fifth sex
  http_access deny fifth qqip
  http_access deny fifth qqdn
  http_access allow fifth

  http_access allow xuhongjuan xuhongjuanmsn  #PLMM可以使用MSN和我聊天
  http_access deny xuhongjuan mail  #PLMM禁止上网收发email
  http_access deny xuhongjuan sex  #PLMM禁止上成人网站
  http_access deny xuhongjuan qqip  #PLMM禁止上qq
  http_access deny xuhongjuan qqdn
  http_access allow xuhongjuan  #PLMM可以上网，不受时间限制

  http_access deny all   #禁止一切

wheel

config.db里面的ip会变，哪是先封了QQ的服务器才会的，其实不要屏蔽，用转向本机的以开的端口就可以

szkingrose

能上网就能发邮件，这件事情是不用解释的。

我感觉是没有办法做到。曾经也试过。

zilai

Post by szkingrose
能上网就能发邮件，这件事情是不用解释的。

我感觉是没有办法做到。曾经也试过。

你试过什么?
你有用过squid做代理来控制上网吗?
上面的办法你怎么不仔细看看,还在发表文章误导别人

spiritgold

偶不太懂．．．不知道关掉ＳＭＴＰ可以不．．．

Yuri

现在websense可以做到。

herolf

已经有达人贴出方法了,还有人在下面叫不可能,其实老板也很无耻,但是这个任务是可以达成的,zilai的方案不错啊