URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 80597
[ Назад ]

Исходное сообщение
"Postfix - проверка адреса отправителя"

Отправлено heap , 03-Июн-08 17:06 
Сабж. Включил так:
smtpd_recipient_restrictions =
      permit_sasl_authenticated,
      permit_mynetworks,
      reject_unauth_destination,
      check_sender_access hash:/etc/postfix/sender_access reject_unknown_sender_domain warn_if_reject reject_unverified_sender,
      check_policy_service inet:127.0.0.1:9998
address_verify_map = btree:/var/spool/postfix/verify/verify

В логах много записей подобных:
Jun  3 15:59:49 <host> postfix/smtpd[3556]: NOQUEUE: reject_warning: RCPT from unknown[124.46.230.164]: 450 4.1.7 <kyusqjvcfdh@boom.eng.ascend.com>: Sender address rejected: unverified address: Address verification in progress; from=<kyusqjvcfdh@boom.eng.ascend.com> to=<resursdd@<domain>> proto=ESMTP helo=<ss0627m11a-1020>

Но при этом захожу на тестовый сервачок, ни сном ни духом не упоминающийся в настройках этого почтовика (то есть ни в mynetworks ни где-либо еще его нет), отправляю на нем письмо с адреса произвольной формы (akdaskhd@mail.ru, pedrilus9999@ukr.net) и оно почему-то проходит как ни в чем не бывало.В логах и упоминания нет о том, что его проверяло как-то.

Может быть ошибка в конфе? Или куда смотреть еще?


Содержание

Сообщения в этом обсуждении
"Postfix - проверка адреса отправителя"
Отправлено ALex_hha , 03-Июн-08 19:27 
> отправляю на нем письмо с адреса произвольной формы

как именно? Покажи лог отправки такого письма


"Postfix - проверка адреса отправителя"
Отправлено heap , 03-Июн-08 20:59 
>> отправляю на нем письмо с адреса произвольной формы
>
>как именно? Покажи лог отправки такого письма

Извиняюсь. Не внимательно читал лог - слишком много там всякого г сыплется. У меня и мысли не было, что есть такой мэйл: :-D
Jun  3 15:47:10 <host> postfix/smtp[2808]: A1BA96180AF: to=<pedrilus123@mail.ru>, relay=mxs.mail.ru[194.67.23.20]:25, delay=3.7, delays=0.87/0.02/0.38/2.4, dsn=2.0.0, status=deliverable (250 OK)


"Postfix - проверка адреса отправителя"
Отправлено parad , 04-Июн-08 00:40 
-deleted-

"Postfix - проверка адреса отправителя"
Отправлено ALex_hha , 04-Июн-08 12:46 
>>> отправляю на нем письмо с адреса произвольной формы
>>
>>как именно? Покажи лог отправки такого письма
>
>Извиняюсь. Не внимательно читал лог - слишком много там всякого г сыплется.
>У меня и мысли не было, что есть такой мэйл: :-D
>
>Jun  3 15:47:10 <host> postfix/smtp[2808]: A1BA96180AF: to=<pedrilus123@mail.ru>, relay=mxs.mail.ru[194.67.23.20]:25, delay=3.7, delays=0.87/0.02/0.38/2.4, dsn=2.0.0, status=deliverable (250 OK)

Покажи

# cat maillog | grep A1BA96180AF


"Postfix - проверка адреса отправителя"
Отправлено heap , 04-Июн-08 15:17 
>Покажи
>
># cat maillog | grep A1BA96180AF

Буду за компом с доступом к серверу - скину. Пока назрел другой вопрос:
все эти ограничения (и проверка адреся отправителя, и прочие лимиты) не распространяются на сетки в mynetworks. При этом иногда из mynetworks вирусы дуют спамом. Как можно форсить его на проверку mynetworks?


"Postfix - проверка адреса отправителя"
Отправлено pavel_simple , 04-Июн-08 15:24 
>>Покажи
>>
>># cat maillog | grep A1BA96180AF
>
>Буду за компом с доступом к серверу - скину. Пока назрел другой
>вопрос:
>все эти ограничения (и проверка адреся отправителя, и прочие лимиты) не распространяются
>на сетки в mynetworks. При этом иногда из mynetworks вирусы дуют
>спамом. Как можно форсить его на проверку mynetworks?

убрать permit_mynetworks


"Postfix - проверка адреса отправителя"
Отправлено heap , 04-Июн-08 16:08 
>убрать permit_mynetworks

Идея хорошая - я ее обдумывал. Но вот засада - а как тогда клиенты будут почту слать? :)


"Postfix - проверка адреса отправителя"
Отправлено jerky , 04-Июн-08 16:36 
>>убрать permit_mynetworks
>
>Идея хорошая - я ее обдумывал. Но вот засада - а как
>тогда клиенты будут почту слать? :)

вот же есть: permit_sasl_authenticated
означает - кто пароль знает (угадал), тот и зашлет письмецо.


"Postfix - проверка адреса отправителя"
Отправлено heap , 04-Июн-08 16:38 
>>>убрать permit_mynetworks
>>
>>Идея хорошая - я ее обдумывал. Но вот засада - а как
>>тогда клиенты будут почту слать? :)
>
>вот же есть: permit_sasl_authenticated
>означает - кто пароль знает (угадал), тот и зашлет письмецо.

sasl там на будущее. Пока он не юзается. Никто не угадал и ничего не знает. Почта от клиентов принимается как раз при помощи mynetworks. Нужен какой-то обходной путь - обзвонить сейчас всех клиентов и сообщить им пароли - не вариант. Да и это не помешает особо вирусне - она ведь и к почтовику приклеится может, и настройки с него ссосать - смотря какая вирусня. :)


"Postfix - проверка адреса отправителя"
Отправлено jerky , 04-Июн-08 16:45 

>sasl там на будущее.

как вариант в smtpd_recipient_restrictions поставить permit_mynetworks после check_sender_access


"Postfix - проверка адреса отправителя"
Отправлено heap , 04-Июн-08 17:03 
>
>>sasl там на будущее.
>
>как вариант в smtpd_recipient_restrictions поставить permit_mynetworks после check_sender_access

Риспект. Благодарю. Решение верное. Но тогда вылазит другой баг (или глюк в настройке):
на серванте цепляюсь telnet 127.0.0.1 25. Шлю письмо с совершенно левого адреса.
Jun  4 15:48:52 <host> postfix/smtpd[89464]: 5A81943D823: client=localhost[127.0.0.1]
Jun  4 15:48:56 <host> postfix/cleanup[89438]: 5A81943D823: message-id=<20080604124852.5A81943D823@<host>>
Jun  4 15:48:56 <host> postfix/qmgr[89414]: 5A81943D823: from=<hhjghgfasd@ukr.net>, size=361, nrcpt=1 (queue active)
Jun  4 15:48:56 <host> postfix/smtp[89422]: 5A81943D823: to=<"destmail">, relay=gmail-smtp-in.l.google.com[209.85.129.27]:25, delay=20, delays=19/0.02/0.18/0.54, dsn=2.0.0, status=sent (250 2.0.0 OK 1212583797 y18si3155619fkd.19)
Jun  4 15:48:56 <host> postfix/qmgr[89414]: 5A81943D823: removed

Как видим письмо успешно ушло, куда шло. Но зато в логе есть запись:

Jun  4 15:48:49 <host> postfix/smtp[89418]: 46A342D2B2A: to=<hhjghgfasd@ukr.net>, relay=mxs.ukr.net[195.214.192.100]:25, delay=0.13, delays=0/0.01/0.09/0.03, dsn=5.0.0, status=undeliverable (host mxs.ukr.net[195.214.192.100] said: 550 <hhjghgfasd@ukr.net>... no such user (in reply to RCPT TO command))
Jun  4 15:48:52 <host> postfix/smtpd[89464]: NOQUEUE: reject_warning: RCPT from localhost[127.0.0.1]: 450 4.1.7 <hhjghgfasd@ukr.net>: Sender address rejected: undeliverable address: host mxs.ukr.net[195.214.192.100] said: 550 <hhjghgfasd@ukr.net>... no such user (in reply to RCPT TO command); from=<hhjghgfasd@ukr.net> to=<"destmail"> proto=SMTP

И в топик еще хочу спросить - на сервере есть грей листинг, есть проверка адреса отправителя и amavisd-new (spamassassin). Что еще хорошего можно прикрутить в борьбе как с внешним, так и внутренним спамом?


"Postfix - проверка адреса отправителя"
Отправлено casp3r , 05-Июн-08 14:50 

>И в топик еще хочу спросить - на сервере есть грей листинг,
>есть проверка адреса отправителя и amavisd-new (spamassassin). Что еще хорошего можно
>прикрутить в борьбе как с внешним, так и внутренним спамом?

А вас параноя не замучала? При грамотной настройке и обучении - этого хватит выше крыши.


"Postfix - проверка адреса отправителя"
Отправлено heap , 05-Июн-08 15:11 
>А вас параноя не замучала? При грамотной настройке и обучении - этого
>хватит выше крыши.

Параноя произрастает извне. :-D
Объясню: по сути меня это устраивает. Но вот засада - работало оно работало (этот сервер принимает всю входящую почту и потом на внутренние два сервера раскладывает, и принимает от внутренних, дует ее в инет. И вот вдруг пару дней оказалось в очереди active 30000-40000 писем. Смотрю postqueue -f - а там висит куча спама, валющегося изнутри. И тут возник вопрос - а нафик оно надо? Полезная почта лежит курит, а сервер спам ворочает. :(


"Postfix - проверка адреса отправителя"
Отправлено ALex_hha , 06-Июн-08 11:31 
>[оверквотинг удален]
>настройке):
>на серванте цепляюсь telnet 127.0.0.1 25. Шлю письмо с совершенно левого адреса.
>
>Jun  4 15:48:52 <host> postfix/smtpd[89464]: 5A81943D823: client=localhost[127.0.0.1]
>Jun  4 15:48:56 <host> postfix/cleanup[89438]: 5A81943D823: message-id=<20080604124852.5A81943D823@<host>>
>Jun  4 15:48:56 <host> postfix/qmgr[89414]: 5A81943D823: from=<hhjghgfasd@ukr.net>, size=361, nrcpt=1 (queue active)
>Jun  4 15:48:56 <host> postfix/smtp[89422]: 5A81943D823: to=<"destmail">, relay=gmail-smtp-in.l.google.com[209.85.129.27]:25, delay=20, delays=19/0.02/0.18/0.54, dsn=2.0.0, status=sent (250 2.0.0 OK 1212583797 y18si3155619fkd.19)
>Jun  4 15:48:56 <host> postfix/qmgr[89414]: 5A81943D823: removed
>
>Как видим письмо успешно ушло, куда шло.

ну и что тут непонятно? 127.0.0.1 попадает под permit_mynetworks

>И в топик еще хочу спросить - на сервере есть грей листинг,
>есть проверка адреса отправителя и amavisd-new (spamassassin). Что еще хорошего можно
>прикрутить в борьбе как с внешним, так и внутренним спамом?

а кто это у вас отправляет почту с localhost?


"Postfix - проверка адреса отправителя"
Отправлено heap , 07-Июн-08 15:59 
>
>ну и что тут непонятно? 127.0.0.1 попадает под permit_mynetworks

Ну дык в том и засада была - добиться эффекта проверки даже для нетворковс.
Проблема решалась просто - через smtpd_sender_restrictions. Но вот тут уже возникает другой грабль. А именно - если на хосте, у которого запрашивается для проверки адрес стоит грейлистинг - он на некоторое время пошлет погулять. А в это время наш сервер откажет в приеме почты клиенту. o_O

>а кто это у вас отправляет почту с localhost?

Никто - ну дык если localhost в mynetworks, то и другие там клиенты. :)