URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 62632
[ Назад ]

Исходное сообщение
"Postfix - два серьезных вопроса "

Отправлено dxer , 12-Дек-05 19:20 
Господа, вопрос следующий.

Первый вопрос: Как отключить пустое поле email в MAIL FROM: <> в postfix?

Второй вопрос: Можно ли отключить подобную операцию в Postfix, которая заключается в следующем, почта (спаммерская соотв) пришедшая на наш релей хост, не обнаруживает пользователя в домене и reject-ит, соответственно от MAILER-DAEMON посылается письмо отправителю, что при смамм-аттаках режет глаза. Возможно ли отключить сию процедуру?

Особую благодарность заранее jonatan, unk, lavr ;)


Содержание

Сообщения в этом обсуждении
"Postfix - два серьезных вопроса "
Отправлено jonatan , 13-Дек-05 09:32 
>Первый вопрос: Как отключить пустое поле email в MAIL FROM: <> в postfix?
Если Вы имеете ввиду "не принимать почту с пустым отправителем", то

smtpd_null_access_lookup_key (default: <>)
    The lookup key to be used in SMTP access(5) tables instead of the null sender address.

но это нарушение RFC
Beware, some sites reject mail from <>, even though RFCs require that such addresses be accepted.
>Второй вопрос: Можно ли отключить подобную операцию в Postfix, которая заключается в
>следующем, почта (спаммерская соотв) пришедшая на наш релей хост, не обнаруживает
>пользователя в домене и reject-ит, соответственно от MAILER-DAEMON посылается письмо отправителю,
>что при смамм-аттаках режет глаза. Возможно ли отключить сию процедуру?
Не принимайте почту для несуществующих пользователей.


"Postfix - два серьезных вопроса "
Отправлено dxer , 13-Дек-05 10:45 
>>Первый вопрос: Как отключить пустое поле email в MAIL FROM: <> в postfix?
>Если Вы имеете ввиду "не принимать почту с пустым отправителем", то
>
>smtpd_null_access_lookup_key (default: <>)
>    The lookup key to be used in SMTP
>access(5) tables instead of the null sender address.
>
>но это нарушение RFC
>Beware, some sites reject mail from <>, even though RFCs require that such addresses be accepted.
>>Второй вопрос: Можно ли отключить подобную операцию в Postfix, которая заключается в
>>следующем, почта (спаммерская соотв) пришедшая на наш релей хост, не обнаруживает
>>пользователя в домене и reject-ит, соответственно от MAILER-DAEMON посылается письмо отправителю,
>>что при смамм-аттаках режет глаза. Возможно ли отключить сию процедуру?
>Не принимайте почту для несуществующих пользователей.

Джон, дело в том, что я не принимаю.
Лог выглядит примерно так:
Проверяет в Домене есть ли юзер, если нет - то rejectит, и посылает релейнику откуда пришел запрос на этого пользователя о несуществующем и прочее, от postmaster@mydomain.to...
Второй вопрос.
Что это за проверка? И как её отключить?
Dec 13 10:00:27 gtw postfix/smtpd[69374]: NOQUEUE: reject: RCPT from relay1.wplus.net[195.131.52.143]: 450 <osipov@sibur-rt.sp.ru>: Sender address : rejected: unverified address: Address verification in progress; from=<osipov@sibur-rt.sp.ru> to=<yakov@sibur-rt.ru> proto=ESMTP helo=<relay1.wplus.net>

спасиб



"Postfix - два серьезных вопроса "
Отправлено jonatan , 13-Дек-05 10:50 
>Джон, дело в том, что я не принимаю.
Я не Джон.
>Лог выглядит примерно так:
>Проверяет в Домене есть ли юзер, если нет - то rejectит, и
>посылает релейнику откуда пришел запрос на этого пользователя о несуществующем и
>прочее, от postmaster@mydomain.to...
Полное непонимание работы протокола smtp.
>Второй вопрос.
>Что это за проверка? И как её отключить?
>Dec 13 10:00:27 gtw postfix/smtpd[69374]: NOQUEUE: reject: RCPT from relay1.wplus.net[195.131.52.143]: 450 <osipov@sibur-rt.sp.ru>: Sender address : rejected: unverified address: Address verification in progress; from=<osipov@sibur-rt.sp.ru> to=<yakov@sibur-rt.ru> proto=ESMTP helo=<relay1.wplus.net>
Покажите postconf -n.

"Postfix - два серьезных вопроса "
Отправлено dxer , 13-Дек-05 11:02 
>>прочее, от postmaster@mydomain.to...
>Полное непонимание работы протокола smtp.

Видимо облажался на уровне обьяснения причины ;)
Интересует возможность отключить обращение от MAILER-DAEMON в сторону откуда пришло письмо (с не удачей попасть в virtual maibox table)-  не возможно?

Извини, как зовут тебя?

По второму вопросу следующее решение обрело место...
Отключил параметр
smtpd_helo_restrictions =
        permit_mynetworks,
        reject_non_fqdn_hostname,
        reject_invalid_hostname
smtpd_sender_restrictions =
        permit_mynetworks,
        reject_non_fqdn_sender,
#       reject_unverified_sender,   <<<<<---Вот этот
        reject_unknown_sender_domain
smtpd_recipient_restrictions =
        permit_mynetworks,
        reject_invalid_hostname,
        reject_unauth_pipelining,
        reject_unauth_destination,
        reject_non_fqdn_recipient,
        reject_non_fqdn_hostname,
        reject_non_fqdn_sender,
        reject_unlisted_recipient,
        reject_unknown_recipient_domain,
        reject_unknown_sender_domain,
        check_recipient_access hash:/etc/postfix/recipient_access

Ошибка пропала, но стало больше спама идти на Exchange, тот его ес-но там хлопает.

Хотелось бы понять, какие restricions треба убрать или добавить, для работы в корпоративной связки почты postfix225<->exchange2000.

Спасибо.


"Postfix - два серьезных вопроса "
Отправлено jonatan , 13-Дек-05 11:13 
>Видимо облажался на уровне обьяснения причины ;)
>Интересует возможность отключить обращение от MAILER-DAEMON в сторону откуда пришло письмо (с
>не удачей попасть в virtual maibox table)-  не возможно?
>
>Извини, как зовут тебя?
К чему эта фамильярность?
Я не вижу в Ваших конфигах никаких virtual. Вы или показываете postconf -n, или решаете Вашу проблему без меня. А еще лучше прочитайте доки.

"Postfix - два серьезных вопроса "
Отправлено dxer , 13-Дек-05 11:16 
>>Видимо облажался на уровне обьяснения причины ;)
>>Интересует возможность отключить обращение от MAILER-DAEMON в сторону откуда пришло письмо (с
>>не удачей попасть в virtual maibox table)-  не возможно?
>>
>>Извини, как зовут тебя?
>К чему эта фамильярность?
>Я не вижу в Ваших конфигах никаких virtual. Вы или показываете postconf
>-n, или решаете Вашу проблему без меня. А еще лучше прочитайте
>доки.

queue_directory = /var/spool/postfix
command_directory = /usr/sbin
daemon_directory = /usr/libexec/postfix
mail_owner = postfix
myhostname = gtw.sibur-rt.ru
mydomain = sibur-rt.ru
inet_interfaces = all
mydestination = $myhostname, localhost.$mydomain, localhost
transport_maps = hash:/etc/postfix/transport
local_recipient_maps =
smtpd_helo_restrictions =
        permit_mynetworks,
        reject_non_fqdn_hostname,
        reject_invalid_hostname
smtpd_sender_restrictions =
        permit_mynetworks,
        reject_non_fqdn_sender,
#       reject_unverified_sender,
        reject_unknown_sender_domain
smtpd_recipient_restrictions =
        permit_mynetworks,
        reject_invalid_hostname,
        reject_unauth_pipelining,
        reject_unauth_destination,
        reject_non_fqdn_recipient,
        reject_non_fqdn_hostname,
        reject_non_fqdn_sender,
        reject_unlisted_recipient,
        reject_unknown_recipient_domain,
        reject_unknown_sender_domain,
        check_recipient_access hash:/etc/postfix/recipient_access
#strict_rfc821_envelopes = yes
smtpd_helo_required = yes
disable_vrfy_command = yes
smtpd_error_sleep_time = 2
smtpd_soft_error_limit = 5
smtpd_hard_error_limit = 3
unknown_hostname_reject_code = 554
unknown_local_recipient_reject_code = 550
mynetworks = 172.29.1.6, 172.29.1.254, 172.29.1.253, 127.0.0.0/8
smtpd_banner = GO ahead ;-)
debug_peer_level = 2
debugger_command =
         PATH=/bin:/usr/bin:/usr/local/bin:/usr/X11R6/bin
         xxgdb $daemon_directory/$process_name $process_id & sleep 5
sendmail_path = /usr/sbin/sendmail
newaliases_path = /usr/bin/newaliases
mailq_path = /usr/bin/mailq
setgid_group = postfix
html_directory = no
manpage_directory = /usr/local/man
sample_directory = /etc/postfix
readme_directory = no
relay_domains = $mydestination
virtual_mailbox_domains = sibur-rt.ru
virtual_mailbox_maps = ldap:/etc/postfix/ldap-aliases.cf


"Postfix - два серьезных вопроса "
Отправлено jonatan , 13-Дек-05 11:31 
>myhostname = gtw.sibur-rt.ru
>mydomain = sibur-rt.ru
>inet_interfaces = all
>mydestination = $myhostname, localhost.$mydomain, localhost
>transport_maps = hash:/etc/postfix/transport
>local_recipient_maps =
Сервер будет принимать письма для всех адресов из $mydestination. Даже для несуществующих.
>smtpd_helo_restrictions =
>        permit_mynetworks,
>        reject_non_fqdn_hostname,
>        reject_invalid_hostname
>smtpd_sender_restrictions =
>        permit_mynetworks,
>        reject_non_fqdn_sender,
>#       reject_unverified_sender,
>        reject_unknown_sender_domain
>smtpd_recipient_restrictions =
>        permit_mynetworks,
>        reject_invalid_hostname,
>        reject_unauth_pipelining,
>        reject_unauth_destination,
>        reject_non_fqdn_recipient,
>        reject_non_fqdn_hostname,
>        reject_non_fqdn_sender,
>        reject_unlisted_recipient,
Это необязатально, т.к.
smtpd_reject_unlisted_recipient (default: yes)
>        reject_unknown_recipient_domain,
>        reject_unknown_sender_domain,
>        check_recipient_access hash:/etc/postfix/recipient_access
Что в этом файле?
>virtual_mailbox_domains = sibur-rt.ru
>virtual_mailbox_maps = ldap:/etc/postfix/ldap-aliases.cf
Для доменов $virtual_mailbox_domains сервер не должен принимать письма для несуществующих пользователей. Можете проверить это через telnet.

"Postfix - два серьезных вопроса "
Отправлено dxer , 13-Дек-05 11:45 
>>myhostname = gtw.sibur-rt.ru
>>mydomain = sibur-rt.ru
>>inet_interfaces = all
>>mydestination = $myhostname, localhost.$mydomain, localhost
>>transport_maps = hash:/etc/postfix/transport
>>local_recipient_maps =
>Сервер будет принимать письма для всех адресов из $mydestination. Даже для несуществующих.
>
>>smtpd_helo_restrictions =
>>        permit_mynetworks,
>>        reject_non_fqdn_hostname,
>>        reject_invalid_hostname
>>smtpd_sender_restrictions =
>>        permit_mynetworks,
>>        reject_non_fqdn_sender,
>>#       reject_unverified_sender,
>>        reject_unknown_sender_domain
>>smtpd_recipient_restrictions =
>>        permit_mynetworks,
>>        reject_invalid_hostname,
>>        reject_unauth_pipelining,
>>        reject_unauth_destination,
>>        reject_non_fqdn_recipient,
>>        reject_non_fqdn_hostname,
>>        reject_non_fqdn_sender,
>>        reject_unlisted_recipient,
>Это необязатально, т.к.
>smtpd_reject_unlisted_recipient (default: yes)
>>        reject_unknown_recipient_domain,
>>        reject_unknown_sender_domain,
>>        check_recipient_access hash:/etc/postfix/recipient_access
>Что в этом файле?
>>virtual_mailbox_domains = sibur-rt.ru
>>virtual_mailbox_maps = ldap:/etc/postfix/ldap-aliases.cf
>Для доменов $virtual_mailbox_domains сервер не должен принимать письма для несуществующих пользователей. Можете
>проверить это через telnet.

cat /etc/postfix/recipient_access
digest@sibur-rt.ru      REJECT
all-msk@sibur-rt.ru     REJECT

Как закрыть прием для несуществующих в mydistanation?

В принципе конфиг правильный в плане рестрикций?



"Postfix - два серьезных вопроса "
Отправлено dxer , 13-Дек-05 11:48 
в sender_restrictions
reject_unverified_sender

Нужный параметр, из-за него от MAILER-DAEMON уходят письма на неуточненные хосты.

Dec 13 11:46:30 gtw postfix/smtpd[77718]: connect from unknown[222.137.161.188]
Dec 13 11:46:44 gtw postfix/cleanup[77884]: 419AB2281E: message-id=<20051213084644.419AB2281E@gtw.sibur-rt.ru>
Dec 13 11:46:44 gtw postfix/qmgr[75828]: 419AB2281E: from=<postmaster@gtw.sibur-rt.ru>, size=261, nrcpt=1 (queue active)
Dec 13 11:46:46 gtw postfix/smtp[77719]: 419AB2281E: to=<lmoreno@artesmarciales.com>, relay=artesmarciales-com.mr.outblaze.com[64.62.181.92], delay=2, status=undeliverable (host artesmarciales-com.mr.outblaze.com[64.62.181.92] said: 550 <lmoreno@artesmarciales.com>: User unknown (in reply to RCPT TO command))
Dec 13 11:46:46 gtw postfix/qmgr[75828]: 419AB2281E: removed


"Postfix - два серьезных вопроса "
Отправлено jonatan , 13-Дек-05 12:02 
>Как закрыть прием для несуществующих в mydistanation?
Не оставлять пустым local_recipient_maps.
>В принципе конфиг правильный в плане рестрикций?
Главное, что сервер не open relay. А рестрикшены - полный винегрет.
>в sender_restrictions
>reject_unverified_sender
>Нужный параметр, из-за него от MAILER-DAEMON уходят письма на неуточненные хосты.
Внимательно изучить
http://www.postfix.org/ADDRESS_VERIFICATION_README.html

"Postfix - два серьезных вопроса "
Отправлено dxer , 13-Дек-05 15:14 
>>Как закрыть прием для несуществующих в mydistanation?
>Не оставлять пустым local_recipient_maps.
>>В принципе конфиг правильный в плане рестрикций?
>Главное, что сервер не open relay. А рестрикшены - полный винегрет.
>>в sender_restrictions
>>reject_unverified_sender
>>Нужный параметр, из-за него от MAILER-DAEMON уходят письма на неуточненные хосты.
>Внимательно изучить
>http://www.postfix.org/ADDRESS_VERIFICATION_README.html

спасибо шэф, будут вопросы обращусь, хорошо? ;)



"Postfix - два серьезных вопроса "
Отправлено jonatan , 13-Дек-05 15:31 
>спасибо шэф, будут вопросы обращусь, хорошо? ;)
Чем смогу :)