Может тема уже разжеванная, но долго сидел в интернете решении не нашел. Я еще зеленый в никсах.
Ситуация такая: есть почтовый сервер который принимает почту (Дионис), есть промежуточный сервер который получает почту из внешнего мира и пересылает на Дионис. Надо обслуживать один домен. Можно даже отправку всех писем запретить. Но от шлюза рассылается спам. На шлюзе установлена Fedora 8. файлы конфигов:[root@mail mail]# cat sendmail.mc | egrep -v "#|dnl.+"
divert(-1)dnl
include(`/usr/share/sendmail-cf/m4/cf.m4')dnl
VERSIONID(`setup for linux')dnl
OSTYPE(`linux')dnl
define(`SMART_HOST', `mail.archive')dnl
define(`confDEF_USER_ID', ``8:12'')dnl
define(`confTO_CONNECT', `1m')dnl
define(`confTRY_NULL_MX_LIST', `True')dnl
define(`confDONT_PROBE_INTERFACES', `True')dnl
define(`PROCMAIL_MAILER_PATH', `/usr/bin/procmail')dnl
define(`ALIAS_FILE', `/etc/aliases')dnl
define(`STATUS_FILE', `/var/log/mail/statistics')dnl
define(`UUCP_MAILER_MAX', `2000000')dnl
define(`confUSERDB_SPEC', `/etc/mail/userdb.db')dnl
define(`confPRIVACY_FLAGS', `authwarnings,novrfy,noexpn,restrictqrun')dnl
define(`confAUTH_OPTIONS', `A')dnl
define(`confTO_IDENT', `0')dnl
FEATURE(`smrsh', `/usr/sbin/smrsh')dnl
FEATURE(`mailertable', `hash -o /etc/mail/mailertable.db')dnl
FEATURE(`virtusertable', `hash -o /etc/mail/virtusertable.db')dnl
FEATURE(redirect)dnl
FEATURE(always_add_domain)dnl
FEATURE(use_cw_file)dnl
FEATURE(use_ct_file)dnl
FEATURE(local_procmail, `', `procmail -t -Y -a $h -d $u')dnl
FEATURE(`access_db', `hash -T<TMPF> -o /etc/mail/access.db')dnl
FEATURE(`blacklist_recipients')dnl
EXPOSED_USER(`root')dnl
define(`confLOCAL_MAILER', `cyrusv2')dnl
DAEMON_OPTIONS(`Port=smtp,Addr=192.168.0.252, Name=MTA')dnl
FEATURE(`accept_unresolvable_domains')dnl
LOCAL_DOMAIN(`localhost.localdomain')dnl
define(`confCW_FILE', `-o /etc/mail/local-host-names')
MAILER(smtp)dnl
MAILER(cyrusv2)dnl
[root@mail mail]# cat mailertable
archive.gov.tatarstan.ru smtp:mail.archive[root@mail mail]#пока чтобы не отправлялась почта во внешний мир access у меня следующего вида:
TO:archive.gov.tatarstan.ru RELAY
TO:ru REJECT
TO:com REJECT
TO:org REJECT
ua REJECT
dk REJECT
nl REJECT
TO:net REJECT
au REJECT
pl REJECTи так на REJECT все домены первого уровня.
но так у меня забивается mqueue с письмами в заголовках TO:postmaster что письма не отправляются.
Могу еще какие конфиги выложить если надо. Заранее спасибо, кто откликнется.письма похоже отправляются с localhost
>[оверквотинг удален]
>au REJECT
>pl REJECT
>
>и так на REJECT все домены первого уровня.
>
>но так у меня забивается mqueue с письмами в заголовках TO:postmaster что
>письма не отправляются.
>Могу еще какие конфиги выложить если надо. Заранее спасибо, кто откликнется.
>
>письма похоже отправляются с localhostкакой MTA используете на шлюзе ?
>
>какой MTA используете на шлюзе ?sendmail-8.14.1
>define(`confTRY_NULL_MX_LIST', `True')dnlзачем вам это если вы используете mailertable?
>FEATURE(`accept_unresolvable_domains')dnl
вы уверены что вам это нужно?
>[root@mail mail]# cat mailertable
>archive.gov.tatarstan.ru smtp:mail.archive???
таки mail.archive ?
[root@mail mail]#
>
>пока чтобы не отправлялась почта во внешний мир access у меня следующего
>вида:...
>и так на REJECT все домены первого уровня.жесть!
>Могу еще какие конфиги выложить если надо.cat /etc/mail/relay-domains
хотел сделать спам-фильтр по следующему примеру http://www.senet.ru/modules.php?name=Forums&file=viewtopic&t...>>define(`confTRY_NULL_MX_LIST', `True')dnl
>
>зачем вам это если вы используете mailertable?оставил поумолчанию то что было. ведь проверка mx на dns не загрузит сильно шлюз (по идее, объем почты не большой - 10 учетных записей), и mx только один, резервных серверов нет.
>
>>FEATURE(`accept_unresolvable_domains')dnl
>
>вы уверены что вам это нужно?пробовал поразному, и это комментировал. в итоге оставил.
>
>>[root@mail mail]# cat mailertable
>>archive.gov.tatarstan.ru smtp:mail.archive
>
>???
>таки mail.archive ?извините, не понял вопроса
mail.archive подключен через кроссовер к шлюзу, в hosts прописан его ip.
>жесть!согласен :) но после этого хоть убрали из black listов, я висел как минимум на трех
>cat /etc/mail/relay-domains
[root@mail mail]# cat /etc/mail/relay-domains
cat: /etc/mail/relay-domains: Нет такого файла или каталога
>хотел сделать спам-фильтр по следующему примеру http://www.senet.ru/modules.php?name=Forums&file=viewtopic&t...однако неплохо и документацию sendmail почитать на предмет того, что означают опции, выбранного вами спам-фильтра.
>>>define(`confTRY_NULL_MX_LIST', `True')dnl
>>
>>зачем вам это если вы используете mailertable?
>
>оставил поумолчанию то что было. ведь проверка mx на dns не загрузит
>сильно шлюз (по идее, объем почты не большой - 10 учетных
>записей), и mx только один, резервных серверов нет.Вы уверены, что эта опция означает проверку mx, а не наоборот? См. доки
>>>FEATURE(`accept_unresolvable_domains')dnl
>>
>>вы уверены что вам это нужно?
>
>пробовал поразному, и это комментировал. в итоге оставил.Ваша воля, принимайте почту с нерезолвящихся доменов, то бишь спам
>>>[root@mail mail]# cat mailertable
>>>archive.gov.tatarstan.ru smtp:mail.archive
>>???
>>таки mail.archive ?
>извините, не понял вопроса
>mail.archive подключен через кроссовер к шлюзу, в hosts прописан его ip.мне тоже непонятно, как sendmail в таких условиях (smtp:mail.archive) работает c mailertable, ну да ладно.
В общем, у меня так и не появилось четкого понимания, что у вас за почтовая система, и как это все работает, и с ясновидением сегодня плохо, так что признаю свою бесполезность.
Сорри.Разве что sendmail-гуру подтянутся и разъяснят, что к чему.
>[оверквотинг удален]
>
>мне тоже непонятно, как sendmail в таких условиях (smtp:mail.archive) работает c mailertable,
>ну да ладно.
>
>В общем, у меня так и не появилось четкого понимания, что у
>вас за почтовая система, и как это все работает, и с
>ясновидением сегодня плохо, так что признаю свою бесполезность.
>Сорри.
>
>Разве что sendmail-гуру подтянутся и разъяснят, что к чему.Не скромничайте ;) Вы есть и самая крутая sendmail-гуру :) Я дофига почерпнул инфы с ваших статей http://www.anrb.ru/linux/sendmail.html
неа. sendmail-гуру всем хорошо известен, но здесь очень редко бывает, и тому, кто успевает в этом момент вопрос свой запостить, сильно везет.а автору могу лишь еще посоветовать внимательно почитать логи + файлы /var/spool/mqueue/q* (причина отказа)
и задаться вопросом, почему этот трафик генерирует локалхост
может, еще веб-сервер на сервере крутится>но так у меня забивается mqueue с письмами в заголовках TO:postmaster что письма не >отправляются.
и что за причина не отправления
вообще по умолчанию relay в sendmail закрыт
вообще я теряюсь в догадках, что нужно было сделать, чтобы получить такую дырявую почтовую систему и чтобы бороться с open relay таким жестким способом:TO:archive.gov.tatarstan.ru RELAY
TO:ru REJECT
TO:com REJECT
TO:org REJECT
ua REJECT
dk REJECT
nl REJECT
TO:net REJECT
au REJECT
pl REJECT
Вы для начала определитесь угроза внешняя(не правильно настроен MTA) или внутри сети(куча зараженных виндовс машин, из котрых рассылается спам). В моем опыте больше приходилось разбираться со вторым случаем. Первым делом нужно правильно настроить фаервол, особенно обратить внимание на 25 порт, тоесть разрешить отправку почты только через Ваш MTA. А еще лучше если все пользователи будут проходить аутентификацию. Во вторых, стандартных настроек почтового сервера должно хватить чтобы не создавать открытый релей, правда в старых версиях sendmail прописывать доступ нужно явно.Думаю, если бы все администраторы придерживались этих мер защиты спама и ботнет сетей было на много меньше.
Извините, пост к автору темы.