Сабж. Включил так:
smtpd_recipient_restrictions =
permit_sasl_authenticated,
permit_mynetworks,
reject_unauth_destination,
check_sender_access hash:/etc/postfix/sender_access reject_unknown_sender_domain warn_if_reject reject_unverified_sender,
check_policy_service inet:127.0.0.1:9998
address_verify_map = btree:/var/spool/postfix/verify/verifyВ логах много записей подобных:
Jun 3 15:59:49 <host> postfix/smtpd[3556]: NOQUEUE: reject_warning: RCPT from unknown[124.46.230.164]: 450 4.1.7 <kyusqjvcfdh@boom.eng.ascend.com>: Sender address rejected: unverified address: Address verification in progress; from=<kyusqjvcfdh@boom.eng.ascend.com> to=<resursdd@<domain>> proto=ESMTP helo=<ss0627m11a-1020>Но при этом захожу на тестовый сервачок, ни сном ни духом не упоминающийся в настройках этого почтовика (то есть ни в mynetworks ни где-либо еще его нет), отправляю на нем письмо с адреса произвольной формы (akdaskhd@mail.ru, pedrilus9999@ukr.net) и оно почему-то проходит как ни в чем не бывало.В логах и упоминания нет о том, что его проверяло как-то.
Может быть ошибка в конфе? Или куда смотреть еще?
> отправляю на нем письмо с адреса произвольной формыкак именно? Покажи лог отправки такого письма
>> отправляю на нем письмо с адреса произвольной формы
>
>как именно? Покажи лог отправки такого письмаИзвиняюсь. Не внимательно читал лог - слишком много там всякого г сыплется. У меня и мысли не было, что есть такой мэйл: :-D
Jun 3 15:47:10 <host> postfix/smtp[2808]: A1BA96180AF: to=<pedrilus123@mail.ru>, relay=mxs.mail.ru[194.67.23.20]:25, delay=3.7, delays=0.87/0.02/0.38/2.4, dsn=2.0.0, status=deliverable (250 OK)
-deleted-
>>> отправляю на нем письмо с адреса произвольной формы
>>
>>как именно? Покажи лог отправки такого письма
>
>Извиняюсь. Не внимательно читал лог - слишком много там всякого г сыплется.
>У меня и мысли не было, что есть такой мэйл: :-D
>
>Jun 3 15:47:10 <host> postfix/smtp[2808]: A1BA96180AF: to=<pedrilus123@mail.ru>, relay=mxs.mail.ru[194.67.23.20]:25, delay=3.7, delays=0.87/0.02/0.38/2.4, dsn=2.0.0, status=deliverable (250 OK)Покажи
# cat maillog | grep A1BA96180AF
>Покажи
>
># cat maillog | grep A1BA96180AFБуду за компом с доступом к серверу - скину. Пока назрел другой вопрос:
все эти ограничения (и проверка адреся отправителя, и прочие лимиты) не распространяются на сетки в mynetworks. При этом иногда из mynetworks вирусы дуют спамом. Как можно форсить его на проверку mynetworks?
>>Покажи
>>
>># cat maillog | grep A1BA96180AF
>
>Буду за компом с доступом к серверу - скину. Пока назрел другой
>вопрос:
>все эти ограничения (и проверка адреся отправителя, и прочие лимиты) не распространяются
>на сетки в mynetworks. При этом иногда из mynetworks вирусы дуют
>спамом. Как можно форсить его на проверку mynetworks?убрать permit_mynetworks
>убрать permit_mynetworksИдея хорошая - я ее обдумывал. Но вот засада - а как тогда клиенты будут почту слать? :)
>>убрать permit_mynetworks
>
>Идея хорошая - я ее обдумывал. Но вот засада - а как
>тогда клиенты будут почту слать? :)вот же есть: permit_sasl_authenticated
означает - кто пароль знает (угадал), тот и зашлет письмецо.
>>>убрать permit_mynetworks
>>
>>Идея хорошая - я ее обдумывал. Но вот засада - а как
>>тогда клиенты будут почту слать? :)
>
>вот же есть: permit_sasl_authenticated
>означает - кто пароль знает (угадал), тот и зашлет письмецо.sasl там на будущее. Пока он не юзается. Никто не угадал и ничего не знает. Почта от клиентов принимается как раз при помощи mynetworks. Нужен какой-то обходной путь - обзвонить сейчас всех клиентов и сообщить им пароли - не вариант. Да и это не помешает особо вирусне - она ведь и к почтовику приклеится может, и настройки с него ссосать - смотря какая вирусня. :)
>sasl там на будущее.как вариант в smtpd_recipient_restrictions поставить permit_mynetworks после check_sender_access
>
>>sasl там на будущее.
>
>как вариант в smtpd_recipient_restrictions поставить permit_mynetworks после check_sender_accessРиспект. Благодарю. Решение верное. Но тогда вылазит другой баг (или глюк в настройке):
на серванте цепляюсь telnet 127.0.0.1 25. Шлю письмо с совершенно левого адреса.
Jun 4 15:48:52 <host> postfix/smtpd[89464]: 5A81943D823: client=localhost[127.0.0.1]
Jun 4 15:48:56 <host> postfix/cleanup[89438]: 5A81943D823: message-id=<20080604124852.5A81943D823@<host>>
Jun 4 15:48:56 <host> postfix/qmgr[89414]: 5A81943D823: from=<hhjghgfasd@ukr.net>, size=361, nrcpt=1 (queue active)
Jun 4 15:48:56 <host> postfix/smtp[89422]: 5A81943D823: to=<"destmail">, relay=gmail-smtp-in.l.google.com[209.85.129.27]:25, delay=20, delays=19/0.02/0.18/0.54, dsn=2.0.0, status=sent (250 2.0.0 OK 1212583797 y18si3155619fkd.19)
Jun 4 15:48:56 <host> postfix/qmgr[89414]: 5A81943D823: removedКак видим письмо успешно ушло, куда шло. Но зато в логе есть запись:
Jun 4 15:48:49 <host> postfix/smtp[89418]: 46A342D2B2A: to=<hhjghgfasd@ukr.net>, relay=mxs.ukr.net[195.214.192.100]:25, delay=0.13, delays=0/0.01/0.09/0.03, dsn=5.0.0, status=undeliverable (host mxs.ukr.net[195.214.192.100] said: 550 <hhjghgfasd@ukr.net>... no such user (in reply to RCPT TO command))
Jun 4 15:48:52 <host> postfix/smtpd[89464]: NOQUEUE: reject_warning: RCPT from localhost[127.0.0.1]: 450 4.1.7 <hhjghgfasd@ukr.net>: Sender address rejected: undeliverable address: host mxs.ukr.net[195.214.192.100] said: 550 <hhjghgfasd@ukr.net>... no such user (in reply to RCPT TO command); from=<hhjghgfasd@ukr.net> to=<"destmail"> proto=SMTPИ в топик еще хочу спросить - на сервере есть грей листинг, есть проверка адреса отправителя и amavisd-new (spamassassin). Что еще хорошего можно прикрутить в борьбе как с внешним, так и внутренним спамом?
>И в топик еще хочу спросить - на сервере есть грей листинг,
>есть проверка адреса отправителя и amavisd-new (spamassassin). Что еще хорошего можно
>прикрутить в борьбе как с внешним, так и внутренним спамом?А вас параноя не замучала? При грамотной настройке и обучении - этого хватит выше крыши.
>А вас параноя не замучала? При грамотной настройке и обучении - этого
>хватит выше крыши.Параноя произрастает извне. :-D
Объясню: по сути меня это устраивает. Но вот засада - работало оно работало (этот сервер принимает всю входящую почту и потом на внутренние два сервера раскладывает, и принимает от внутренних, дует ее в инет. И вот вдруг пару дней оказалось в очереди active 30000-40000 писем. Смотрю postqueue -f - а там висит куча спама, валющегося изнутри. И тут возник вопрос - а нафик оно надо? Полезная почта лежит курит, а сервер спам ворочает. :(
>[оверквотинг удален]
>настройке):
>на серванте цепляюсь telnet 127.0.0.1 25. Шлю письмо с совершенно левого адреса.
>
>Jun 4 15:48:52 <host> postfix/smtpd[89464]: 5A81943D823: client=localhost[127.0.0.1]
>Jun 4 15:48:56 <host> postfix/cleanup[89438]: 5A81943D823: message-id=<20080604124852.5A81943D823@<host>>
>Jun 4 15:48:56 <host> postfix/qmgr[89414]: 5A81943D823: from=<hhjghgfasd@ukr.net>, size=361, nrcpt=1 (queue active)
>Jun 4 15:48:56 <host> postfix/smtp[89422]: 5A81943D823: to=<"destmail">, relay=gmail-smtp-in.l.google.com[209.85.129.27]:25, delay=20, delays=19/0.02/0.18/0.54, dsn=2.0.0, status=sent (250 2.0.0 OK 1212583797 y18si3155619fkd.19)
>Jun 4 15:48:56 <host> postfix/qmgr[89414]: 5A81943D823: removed
>
>Как видим письмо успешно ушло, куда шло.ну и что тут непонятно? 127.0.0.1 попадает под permit_mynetworks
>И в топик еще хочу спросить - на сервере есть грей листинг,
>есть проверка адреса отправителя и amavisd-new (spamassassin). Что еще хорошего можно
>прикрутить в борьбе как с внешним, так и внутренним спамом?а кто это у вас отправляет почту с localhost?
>
>ну и что тут непонятно? 127.0.0.1 попадает под permit_mynetworksНу дык в том и засада была - добиться эффекта проверки даже для нетворковс.
Проблема решалась просто - через smtpd_sender_restrictions. Но вот тут уже возникает другой грабль. А именно - если на хосте, у которого запрашивается для проверки адрес стоит грейлистинг - он на некоторое время пошлет погулять. А в это время наш сервер откажет в приеме почты клиенту. o_O>а кто это у вас отправляет почту с localhost?
Никто - ну дык если localhost в mynetworks, то и другие там клиенты. :)