URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 51795
[ Назад ]

Исходное сообщение
"Qmail + открыть 25 порт."
Отправлено VictorV , 21-Дек-04 14:45

Есть задача на уже работающем Qmail Открыть 25 порт для почты извне локальной сети. Все для этого есть, только вопрос в том, как бы не сделать релей. Т.е. сейчас все закрыто, как средствами qmail, так и фаирволом (правила писать не буду). Открываю на фаирволе, конекчусь к 25 порту с машины в инете, конект отбрасывается, открываю релей, все в порядке. Это же ведь не дело! Есть ли способ без потерь выйти из этой ситуации?
Релей закрыт таким способом:
Создаем файл /etc/tcp.smtp
127.0.0.:allow,RELAYCLIENT=""
192.168.0.:allow,RELAYCLIENT=""
:deny
Выполняем следующую команду:
tcprules /etc/tcp.smtp.cdb /etc/tcp.smtp.tmp < /etc/tcp.smtp

Содержание

Qmail + открыть 25 порт.,dl, 15:02 , 21-Дек-04
- Qmail + открыть 25 порт.,fantom, 16:37 , 21-Дек-04
  - Qmail + открыть 25 порт.,VictorV, 08:05 , 22-Дек-04
    - Qmail + открыть 25 порт.,DogEater, 17:40 , 22-Дек-04
      - Qmail + открыть 25 порт.,VictorV, 11:01 , 23-Дек-04
        
        Qmail + открыть 25 порт.,DogEater, 12:29 , 23-Дек-04
        
        Qmail + открыть 25 порт.,VictorV, 15:19 , 24-Дек-04
        
        Qmail + открыть 25 порт.,dl, 18:54 , 24-Дек-04
Qmail + открыть 25 порт.,Denis, 11:44 , 25-Дек-04
Qmail + открыть 25 порт.,z00d, 13:00 , 26-Дек-04
- Qmail + открыть 25 порт.,r4, 14:02 , 26-Дек-04
Qmail + открыть 25 порт.,Gochy, 17:13 , 26-Дек-04
- Qmail + открыть 25 порт.,VictorV, 12:04 , 27-Дек-04
  - Qmail + открыть 25 порт.,fantom, 14:51 , 27-Дек-04
    - Qmail + открыть 25 порт.,VictorV, 15:16 , 29-Дек-04

Сообщения в этом обсуждении

"Qmail + открыть 25 порт."
Отправлено dl , 21-Дек-04 15:02

насколько я понимаю пока стоит
:deny
он (tcpserver) не будет ничего обслуживать помимо 127.0.0. и 192.168.0.
копай здесь.

"Qmail + открыть 25 порт."
Отправлено fantom , 21-Дек-04 16:37

>насколько я понимаю пока стоит
>:deny
>он (tcpserver) не будет ничего обслуживать помимо 127.0.0. и 192.168.0.
>
>копай здесь.
Почту для кого надо получать?
пропиши в доверенные момены для кого получать почту :)

"Qmail + открыть 25 порт."
Отправлено VictorV , 22-Дек-04 08:05

>>насколько я понимаю пока стоит
>>:deny
>>он (tcpserver) не будет ничего обслуживать помимо 127.0.0. и 192.168.0.
>>
>>копай здесь.
>
>Почту для кого надо получать?
>пропиши в доверенные момены для кого получать почту :)
Все правильно, только когда делаешь все allow, открывается релей и сторонние сервера не только могут послать почту на мой сервак, но и пользовать его как релей, а это крайне неприятно.

"Qmail + открыть 25 порт."
Отправлено DogEater , 22-Дек-04 17:40

если ты хочешь позволить отправлять почту юзерам снаружи то есть 2 решения:
1). поставить vpopmail и использовать параметр --enable-rouming-users
2). поствить патч auth для smtp авторизации
второе идеологически правильнее. имхо.

"Qmail + открыть 25 порт."
Отправлено VictorV , 23-Дек-04 11:01

>если ты хочешь позволить отправлять почту юзерам снаружи то есть 2 решения:
>
>1). поставить vpopmail и использовать параметр --enable-rouming-users
>2). поствить патч auth для smtp авторизации
>второе идеологически правильнее. имхо.
:) Мне надо только принимать почту от пользователей снаружи, но не релеить их. Vpopmail стоит :) Вопрос: патч существует под конкретный почтовик или кросплатформенный?

"Qmail + открыть 25 порт."
Отправлено DogEater , 23-Дек-04 12:29

>>если ты хочешь позволить отправлять почту юзерам снаружи то есть 2 решения:
>>
>>1). поставить vpopmail и использовать параметр --enable-rouming-users
>>2). поствить патч auth для smtp авторизации
>>второе идеологически правильнее. имхо.
>
>:) Мне надо только принимать почту от пользователей снаружи, но не релеить
>их. Vpopmail стоит :) Вопрос: патч существует под конкретный почтовик или
>кросплатформенный?
telnet yourmailhost 25
mail <some@emailadress>
rcpt <validuser@yourmaildomain>
что smtp сервер отвечает?
(подстановку не забудь сделать :-))

"Qmail + открыть 25 порт."
Отправлено VictorV , 24-Дек-04 15:19

>telnet yourmailhost 25
>mail <some@emailadress>
>rcpt <validuser@yourmaildomain>
>
>что smtp сервер отвечает?
>(подстановку не забудь сделать :-))
И что дальше, он скажет OK естественно!!!! Релей разрешен для локальных IP, для петли, и для другой (некоторой) сети. Ну и письмо примется соответственно. Для других адресов, не существующих, почта не примется!!!
У МЕНЯ КОКРЕТНАЯ ПРОБЛЕМА. Почта от других серверов должна только приниматся, но не релеется. Т.Е. другие сервера не должны иметь возможность посылать через мой 25 порт почту, но принять на себя я ее мог. Сейчас проблема в том, что релей закрыт как описано выше. С других компов в инете я даже не могу с 25 портом связатся, так как сервер отвергает подключения. Открываю релей, все работает. НО РЕЛЕЙ ОТКРЫТ!!!
ПОВТОРЮСЬ, СЕРВАК ПОЧТОВЫЙ РАБОТАЕТ КАК МНЕ НАДО, ТОЛЬКО НА ОТПРАВКУ, ПОЧТУ ТЯНУ С ПРОВАЙЛЕРА, У КОТОРОГО НАШИ DNS ЗАПИСИ. НАДО СДЕЛАТЬ MX запасной сервер из своего почтовика.
Может мне как-то конкретней выражатся, может кто-то не понимает что нужно? Тут единсаенный совет прозвучал правильный, smtp аутентификация, но она не желательна. Что не возможности сделать это на уровни IPSEC? Или почтовиком самим например?

"Qmail + открыть 25 порт."
Отправлено dl , 24-Дек-04 18:54

с какой стати предполагаеться, что строка
:allow
открывает релэй?
она говорит tcpserver'у о том, что имеет смысл принимать соединения на 25 порт из мира (и "передает" это соединение дальше кумайлу)
Релэй, как пример, открываеться данным чудом:
127.0.0.:allow,RELAYCLIENT=""
^^^^^^^^^^^^^^

"Qmail + открыть 25 порт."
Отправлено Denis , 25-Дек-04 11:44

>Есть задача на уже работающем Qmail Открыть 25 порт для почты извне
>локальной сети. Все для этого есть, только вопрос в том, как
>бы не сделать релей. Т.е. сейчас все закрыто, как средствами qmail,
>так и фаирволом (правила писать не буду). Открываю на фаирволе, конекчусь
>к 25 порту с машины в инете, конект отбрасывается, открываю релей,
>все в порядке. Это же ведь не дело! Есть ли способ
>без потерь выйти из этой ситуации?
>
>Релей закрыт таким способом:
>
>Создаем файл /etc/tcp.smtp
>127.0.0.:allow,RELAYCLIENT=""
>192.168.0.:allow,RELAYCLIENT=""
>:deny
>
>Выполняем следующую команду:
>tcprules /etc/tcp.smtp.cdb /etc/tcp.smtp.tmp < /etc/tcp.smtp
0.0.0.0:allow,RELAYCLIENT=""
:allow
tcprules /etc/tcp.smtp.cdb /etc/tcp.smtp.tmp < /etc/tcp.smtp
Poprobuy
u menya rabotalo

"Qmail + открыть 25 порт."
Отправлено z00d , 26-Дек-04 13:00

Наверное кто-то что-то не понимает
Первое: есть tcpserver, который слушает 25 порт и взависимости от своей настройки устанавливает перененные и запускает сессию, или не запускает
Соответственно эти настройки должны быть следующими:
127.0.0.:allow,RELAYCLIENT=""
192.168.0.:allow,RELAYCLIENT=""
deny ставить не надо, можно поставить allow но он и так используется по умолчанию,
соответственно это означает стартануть qmail при любом соединении и разрешить релей для своих пользователей (127.0.0.0/24 192.168.0.0/24) - для остальных релей запрещён
Второе: существую настройка qmail, отвечающие за приём локальной почты,
тебе нужен /var/qmail/control/rcpthosts - список доменов, которые qmail воспринемает как собственные
Добавляешь суда свой и почта для это домена будет отрабатываться qmail в любом случае:
echo "mydomain.ru" >> rcpthosts
Ну соответственно нужно открыть 25 порт на фаерволе

"Qmail + открыть 25 порт."
Отправлено r4 , 26-Дек-04 14:02

А что такое релей? %)))

"Qmail + открыть 25 порт."
Отправлено Gochy , 26-Дек-04 17:13

Че вы мозги парите, пропиши в /var/qmail/control/* свои домен и сервак будет принимать почту только для твоего домена
в /etc/tcp.smtp
192.168.0.:allow,RELAYCLIENT=""
127.:allow,RELAYCLIENT=""
И все будет ок.

"Qmail + открыть 25 порт."
Отправлено VictorV , 27-Дек-04 12:04

>Че вы мозги парите, пропиши в /var/qmail/control/* свои домен и сервак будет
>принимать почту только для твоего домена
>в /etc/tcp.smtp
>192.168.0.:allow,RELAYCLIENT=""
>127.:allow,RELAYCLIENT=""
>
>И все будет ок.

Ок. Всем большое спасибо за высказывания. Стратегия абсолютно понятна теперь. Попробую. В любом случае информации достаточно для экспериментов.

"Qmail + открыть 25 порт."
Отправлено fantom , 27-Дек-04 14:51

>>Че вы мозги парите, пропиши в /var/qmail/control/* свои домен и сервак будет
>>принимать почту только для твоего домена
>>в /etc/tcp.smtp
>>192.168.0.:allow,RELAYCLIENT=""
>>127.:allow,RELAYCLIENT=""
>>
>>И все будет ок.
>
>
>Ок. Всем большое спасибо за высказывания. Стратегия абсолютно понятна теперь. Попробую. В
>любом случае информации достаточно для экспериментов.
в qmail/control/rcpthosts добавь строчку, для какого домена можно почту принимать! собственно это просто домен и все.... и не морочь себе голову :)

"Qmail + открыть 25 порт."
Отправлено VictorV , 29-Дек-04 15:16

>>>принимать почту только для твоего домена
>>>в /etc/tcp.smtp
>>>192.168.0.:allow,RELAYCLIENT=""
>>>127.:allow,RELAYCLIENT=""
Вот так под tcpserv вроде работает, тестировал ORDB.org, вроде все в порядке.
>в qmail/control/rcpthosts добавь строчку, для какого домена можно почту принимать! собственно
>это просто домен и все.... и не морочь себе голову :)
Это у меня давным давно стоит. Вопрос был в другом: "Как правильно исходя из моих настроек"
У меня после
192.168.0.:allow,RELAYCLIENT=""
127.:allow,RELAYCLIENT=""
стоял еще один параметр
:deny
Вот тут были грабли.