Transparentne PROXY dla POP3 / ICAP

Zlecę przygotowanie oprogramowania zgodnie z poniższym opisem - oprogramowania ma działać na systemach linux x64 - preferowana dystrybucja linux gentoo.

Efekt końcowy powinien zawierać, kod źródłowy wraz z dokumentacją i odpisem wdrożenia, zestaw testów.

Cel

Celem projektu jest opracowanie mechanizmu umożliwiającego transparentne skanowanie poczty przychodzącej na poziomie bramki sieciowej z wykorzystaniem tproxy v4.

Założenia

1.W pełni transparentne skanowanie poczty POP3/IMAP bez konieczności jakiejkolwiek konfiguracji po stronie użytkownika końcowego

2.Obsługa ruchu SSL z wykorzystaniem man in the middle i dynamicznego generowania certyfikatów SSL

Sposób implementacji

System zbudowany zostanie w oparciu o następujące komponenty:

1.MailProxy – transparentne proxy napisane w c / c++ wykorzystujące tproxy v4

2.MailICAPServer – zmodyfikowana wersja serwera ICAP odpowiadająca za skanowanie antywirusowe i antyspamowe wiadomości 

MailProxy

MailProxy powinno zostać zaimplementowane w c / c++ w idealnym przypadku w modelu opartym o zdarzenia tak jak to zostało zrobione w nginx. 

Do generowania certyfikatów SSL „w locie” preferowane jest wykorzystanie mechanizmu SSLBump ze squida.

W uogólnieniu sesja pop / imap wygląda następująco

1.Klient po przekierowaniu nawiązuje połączenie z MailProxy

2.Rozpoczyna się proces logowania – przekazywany transparentnie do docelowego serwera 

3.Po poleceniu pobrania listy wiadomości z serwera wysyłane jest zmodyfikowane zapytanie preview do serwera zawierające adres serwera docelowego oraz nazwę konta. MailICAPServer na podstawie przesłanych danych identyfikacyjnych zwraca 100 Continue – co oznacza, że wymagane jest dokonanie modyfikacji listy wiadomości (np. dołożenie wiadomości przywróconej z kwarantanny)

4.MailProxy zwraca listę wiadomości – albo zmodyfikowaną przez MailICAPServer albo bezpośrednio otrzymaną z serwera (patrz punkt 3)

5.MailProxy o otrzymaniu żądania pobrania wiadomości i jej pobraniu wysyłane jest do MailICAPServer’a zapytanie preview zawierające adres serwera, nazwę użytkownika i message-id w celu określenia konieczności ew. skanowania. Jeżeli MailICAPServer zwróci 100 Continue konieczne jest przesłanie całej wiadomości do serwera

6.MailProxy zwraca do użytkownika albo zmodyfikowaną wiadomość albo bezpośrednio otrzymaną z serwer pocztowego. 

Wszędzie powyżej gdzie jest mowa o przesyłaniu wiadomości samo przesyłanie wiadomości odbywa się w częściach zgodnie z definicją protokołu ICAP, dodatkowo aby eliminować opóźnienia dane powinny być przesyłane strumieniowo – bez konieczności pobrania całej wiadomości (o ile jest to możliwe)