Здраствуйте, ситуация такая. Эсть маил сервер postfix/dovecot c SASL.
При отправке Релай не работаеть на моих доменах, а для других доменах работает.Например:
mail from: user@moydomen.ru
OK
rcpt to: somebody@moydomen.ru
OK <-- ненормальная ситуация
----------------
mail from: user@moydomen.ru
OK
rcpt to: somebody@mail.ru
RELAY ACCESS DENIED! <-- это нормальная ситуация
-------------------------------------------------
postconf -n:alias_database = hash:/etc/aliases
alias_maps = hash:/etc/aliases
backwards_bounce_logfile_compatibility = yes
bounce_queue_lifetime = 2h
broken_sasl_auth_clients = yes
command_directory = /usr/local/sbin
config_directory = /usr/local/etc/postfix
content_filter = clamsmtpd:[127.0.0.1]:10024
daemon_directory = /usr/local/libexec/postfix
data_directory = /var/db/postfix
debug_peer_level = 5
disable_vrfy_command = yes
header_checks = regexp:/usr/local/etc/postfix/header_checks
helpful_warnings = yes
html_directory = no
invalid_hostname_reject_code = 501
mail_owner = postfix
mail_spool_directory = /usr/local/virtual
mailq_path = /usr/local/bin/mailq
manpage_directory = /usr/local/man
maximal_backoff_time = 5h
maximal_queue_lifetime = 1d
message_size_limit = 13000000
minimal_backoff_time = 3h
mydestination = localhost.$mydomain, localhost
mydomain = ultel.net
myhostname = mail.ultel.net
mynetworks = 127.0.0.0/8,192.168.0.0/24
mynetworks_style = host
newaliases_path = /usr/local/bin/newaliases
non_fqdn_reject_code = 504
notify_classes = protocol, resource, software
plaintext_reject_code = 450
proxy_read_maps = $local_recipient_maps $mydestination $virtual_alias_maps $virtual_alias_domains $virtual_mailbox_maps $virtual_mailbox_domains $relay_recipient_maps $relay_domains $canonical_maps $sender_canonical_maps $recipient_canonical_maps $relocated_maps $transport_maps $mynetworks $virtual_mailbox_limit_maps
queue_directory = /var/spool/postfix
queue_run_delay = 30m
readme_directory = no
receive_override_options = no_address_mappings
reject_code = 554
relay_domains = proxy:mysql:/usr/local/etc/postfix/mysql_relay_domains_maps.cf
relay_domains_reject_code = 554
sample_directory = /usr/local/etc/postfix
sendmail_path = /usr/local/sbin/sendmail
setgid_group = maildrop
show_user_unknown_table_name = no
smtp_data_done_timeout = 10m
smtp_data_init_timeout = 2m
smtp_data_xfer_timeout = 3m
smtp_mail_timeout = 5m
smtp_rcpt_timeout = 5m
smtp_tls_note_starttls_offer = yes
smtp_use_tls = yes
smtpd_banner = WELCOME TO THE SMTP SERVER
smtpd_delay_reject = yes
smtpd_etrn_restrictions = reject
smtpd_hard_error_limit = 10
smtpd_helo_required = yes
smtpd_recipient_restrictions = check_client_access hash:/usr/local/etc/postfix/access, permit_mynetworks, permit_sasl_authenticated, reject_rbl_client sbl-xbl.spamhaus.org, reject_rbl_client sbl.spamhaus.org, reject_rbl_client spamcop.net, reject_non_fqdn_sender, reject_non_fqdn_recipient, reject_unauth_pipelining, reject_invalid_hostname, reject_unknown_recipient_domain, reject_unauth_destination, check_policy_service inet:127.0.0.1:10023, warn_if_reject
smtpd_reject_unlisted_sender = yes
smtpd_sasl_auth_enable = yes
smtpd_sasl_authenticated_header = yes
smtpd_sasl_local_domain = $myhostname
smtpd_sasl_path = private/auth
smtpd_sasl_security_options = noanonymous
smtpd_sasl_type = dovecot
smtpd_sender_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unknown_sender_domain, reject_unlisted_sender, reject_sender_login_mismatch
smtpd_starttls_timeout = 5m
smtpd_timeout = 5m
smtpd_tls_CAfile = /etc/ssl/postfix/smtpd.pem
smtpd_tls_cert_file = /etc/ssl/postfix/smtpd.pem
smtpd_tls_key_file = /etc/ssl/postfix/smtpd.pem
smtpd_tls_loglevel = 2
smtpd_tls_received_header = yes
smtpd_tls_session_cache_timeout = 3600s
smtpd_use_tls = yes
soft_bounce = no
syslog_facility = mail
syslog_name = postfix
tls_random_source = dev:/dev/urandom
transport_maps = hash:/usr/local/etc/postfix/transport
unknown_address_reject_code = 450
unknown_client_reject_code = 450
unknown_hostname_reject_code = 450
unknown_local_recipient_reject_code = 550
unknown_relay_recipient_reject_code = 550
unknown_virtual_alias_reject_code = 550
unknown_virtual_mailbox_reject_code = 550
unverified_recipient_reject_code = 450
unverified_sender_reject_code = 450
virtual_alias_maps = proxy:mysql:/usr/local/etc/postfix/mysql_virtual_alias_maps.cf
virtual_gid_maps = static:125
virtual_mailbox_base = /usr/local/virtual
virtual_mailbox_domains = proxy:mysql:/usr/local/etc/postfix/mysql_virtual_domains_maps.cf
virtual_mailbox_limit = 51200000
virtual_mailbox_limit_maps = proxy:mysql:/usr/local/etc/postfix/mysql_virtual_mailbox_limit_maps.cf
virtual_mailbox_limit_override = yes
virtual_mailbox_maps = proxy:mysql:/usr/local/etc/postfix/mysql_virtual_mailbox_maps.cf
virtual_maildir_limit_message = Sorry, this user reached mailbox quota! Please try send your mail after again!
virtual_minimum_uid = 125
virtual_overquota_bounce = yes
virtual_transport = virtual
virtual_uid_maps = static:125
-------------------------------------------------
>Здраствуйте, ситуация такая. Эсть маил сервер postfix/dovecot c SASL.
>При отправке Релай не работаеть на моих доменах, а для других доменах
>работает.
>
>Например:
>
>mail from: user@moydomen.ru
>OK
>rcpt to: somebody@moydomen.ru
>OK <-- ненормальная ситуацияПочему же ненормальная ситуация?
домен у Вас, вот он на него и примнимает.
>[оверквотинг удален]
>>
>>Например:
>>
>>mail from: user@moydomen.ru
>>OK
>>rcpt to: somebody@moydomen.ru
>>OK <-- ненормальная ситуация
>
>Почему же ненормальная ситуация?
>домен у Вас, вот он на него и примнимает.но у него же IP адрес не добавлено в mynetworks.
спамер просто заходить в мой smtp сервер через телнет и затем отправляеть писмо от моего имени только на моих доменах.
Добавьте в конец smtpd_sender_restrictions ещё "check_sender_access hash:/usr/local/etc/postfix/sender_access" и внесите в этот файл свой домен:moydomen.ru reject You can't send mails from this domain
>Добавьте в конец smtpd_sender_restrictions ещё "check_sender_access hash:/usr/local/etc/postfix/sender_access" и внесите в этот файл
>свой домен:
>
>moydomen.ru reject You can't send mails from this domain
>кажется вы меня неправильно понимали :) эсли я буду добавить свой домен check_sender_access то некто не можеть отправить писмо с этого домена :))
А мне нужно чтобы другие юзеры (не в списке mynetworks) получили сообшения об ошибке relay access denied. Тоэст они получают такие сообшении об ошибке relay, но когда они исползует место mail from и rcpt to моего домена (например: moydomen.ru - это домен моего маил сервера), тогда relay неработает. типа relay разрешает локалные домены, вот именно мне надо найти где я пропустил ошибку в конфиге.
Это произошло после того я добавиль moydomen.ru whitelist в спамассассине.
>кажется вы меня неправильно понимали :) эсли я буду добавить свой домен
>check_sender_access то некто не можеть отправить писмо с этого домена :))сможет, т.к. до этого там уже стоит "permit_mynetworks, permit_sasl_authenticated,"
>А мне нужно чтобы другие юзеры (не в списке mynetworks) получили сообшения
>об ошибке relay access denied. Тоэст они получают такие сообшенииэто не релей, т.к. письма предназначены вашему же серверу.
>>кажется вы меня неправильно понимали :) эсли я буду добавить свой домен
>>check_sender_access то некто не можеть отправить писмо с этого домена :))
>
>сможет, т.к. до этого там уже стоит "permit_mynetworks, permit_sasl_authenticated,"
>
>>А мне нужно чтобы другие юзеры (не в списке mynetworks) получили сообшения
>>об ошибке relay access denied. Тоэст они получают такие сообшении
>
>это не релей, т.к. письма предназначены вашему же серверу.Этого я понимаю, но надо же как то решить эту проблему...
спамер просто заходить в мой smtp сервер через телнет и затем отправляеть писмо от моего имени (исползуеть локалный домен) только на моих локалных доменах.А про check_sender_access. точно он будеть игнорировать permit_mynetworks, permit_sasl_authenticated ?
попробую исползовать restriction classes.
>>да уж... ппц полный.
>>Админ провайдера не знает элементарных вещей.
>>Вот поэтому и не пользуюсь этим провайдером и никому не советую
>
>Тут обсуждается проблемы.
>Я просто нерусский поэтому плохо обясняю проблему.
>
>Я просиль кто столкнулся с этой проблемой и как решил.
>
>Так что иди Гуляй.не проще добавить
reject_unknown_helo_hostname,reject_unknown_client_hostname,reject_invalid_helo_hostname
>[оверквотинг удален]
>>
>>Тут обсуждается проблемы.
>>Я просто нерусский поэтому плохо обясняю проблему.
>>
>>Я просиль кто столкнулся с этой проблемой и как решил.
>>
>>Так что иди Гуляй.
>
>не проще добавить
>reject_unknown_helo_hostname,reject_unknown_client_hostname,reject_invalid_helo_hostnamereject_unknown_helo_hostname, reject_invalid_helo_hostname - c этой не работаеть многие маил клиент программы. т.к. при helo мс оутлок выводить хостнейм компютера. например пс-вася
helo - не решает проблему.
у спамассассина уже не хватает сила чтобы не пускал эти писмы)) 2000 спам в час)))
лучше ковырят restriction classes.
>>не проще добавить
>>reject_unknown_helo_hostname,reject_unknown_client_hostname,reject_invalid_helo_hostname
>
>reject_unknown_helo_hostname, reject_invalid_helo_hostname - c этой не работаеть многие маил клиент программы.
>т.к. при helo мс оутлок выводить хостнейм компютера. например пс-вася
>
>helo - не решает проблему.
>у спамассассина уже не хватает сила чтобы не пускал эти писмы)) 2000
>спам в час)))
>лучше ковырят restriction classes.При чем тут клиентские программы, если клиент для отправки всё равно проходит авторизацию, и его пропустит.
вообще-то неплохо бы еще добавить лимит по количеству писем с одного IP в промежуток времени, скажем в час 50 писем с одного IP
и количество адресатов в письме, скажем 20:
smtpd_client_message_rate_limit = 50
anvil_rate_time_unit = 3600
smtpd_client_event_limit_exceptions = 192.168.0.0/24
smtpd_client_connection_count_limit = 50
smtpd_recipient_limit = 20
smtpd_recipient_overshoot_limit = 5
>[оверквотинг удален]
>>т.к. при helo мс оутлок выводить хостнейм компютера. например пс-вася
>>
>>helo - не решает проблему.
>>у спамассассина уже не хватает сила чтобы не пускал эти писмы)) 2000
>>спам в час)))
>>лучше ковырят restriction classes.
>
>При чем тут клиентские программы, если клиент для отправки всё равно проходит
>авторизацию, и его пропустит.
>ну эсть и клиенти которое поп сервер другое. исползует моего smtpd для пересылки почты.
>вообще-то неплохо бы еще добавить лимит по количеству писем с одного IP
>в промежуток времени, скажем в час 50 писем с одного IP
>
>и количество адресатов в письме, скажем 20:
>smtpd_client_message_rate_limit = 50
>anvil_rate_time_unit = 3600
>smtpd_client_event_limit_exceptions = 192.168.0.0/24
>smtpd_client_connection_count_limit = 50
>smtpd_recipient_limit = 20
>smtpd_recipient_overshoot_limit = 5Зачем это мне? А тогда как отправлют рассылки? :)
Вообшето добрый exim работаеть стабилно и нормално чем postfix :)
>[оверквотинг удален]
>>>у спамассассина уже не хватает сила чтобы не пускал эти писмы)) 2000
>>>спам в час)))
>>>лучше ковырят restriction classes.
>>
>>При чем тут клиентские программы, если клиент для отправки всё равно проходит
>>авторизацию, и его пропустит.
>>
>
>ну эсть и клиенти которое поп сервер другое. исползует моего smtpd для
>пересылки почты.Ну если клиенты из твоей подсети, добавь свой пул адресов в my_networks
а если сторонние клиенты, то у них авторизация для smtp>[оверквотинг удален]
>>
>>и количество адресатов в письме, скажем 20:
>>smtpd_client_message_rate_limit = 50
>>anvil_rate_time_unit = 3600
>>smtpd_client_event_limit_exceptions = 192.168.0.0/24
>>smtpd_client_connection_count_limit = 50
>>smtpd_recipient_limit = 20
>>smtpd_recipient_overshoot_limit = 5
>
>Зачем это мне? А тогда как отправлют рассылки? :)А вот этого делать не следует
Сам сейчас от спама мучеешься, с ним борешься, и сам же рассылки отправляешь>
>Вообшето добрый exim работаеть стабилно и нормално чем postfix :)
>[оверквотинг удален]
>>>При чем тут клиентские программы, если клиент для отправки всё равно проходит
>>>авторизацию, и его пропустит.
>>>
>>
>>ну эсть и клиенти которое поп сервер другое. исползует моего smtpd для
>>пересылки почты.
>
>Ну если клиенты из твоей подсети, добавь свой пул адресов в my_networks
>
>а если сторонние клиенты, то у них авторизация для smtpЭтого я давно сделаль, но надо же боротся с спамами :)
>[оверквотинг удален]
>>>smtpd_recipient_overshoot_limit = 5
>>
>>Зачем это мне? А тогда как отправлют рассылки? :)
>
>А вот этого делать не следует
>Сам сейчас от спама мучеешься, с ним борешься, и сам же рассылки
>отправляешь
>
>>
>>Вообшето добрый exim работаеть стабилно и нормално чем postfix :)Я сам не отправляю :) ну эсть люди которые отправляють newsletter на своих клиентах :)
>[оверквотинг удален]
>>>smtpd_recipient_overshoot_limit = 5
>>
>>Зачем это мне? А тогда как отправлют рассылки? :)
>
>А вот этого делать не следует
>Сам сейчас от спама мучеешься, с ним борешься, и сам же рассылки
>отправляешь
>
>>
>>Вообшето добрый exim работаеть стабилно и нормално чем postfix :)К стати тебя зовуть Андрей? :)
>[оверквотинг удален]
>>>Зачем это мне? А тогда как отправлют рассылки? :)
>>
>>А вот этого делать не следует
>>Сам сейчас от спама мучеешься, с ним борешься, и сам же рассылки
>>отправляешь
>>
>>>
>>>Вообшето добрый exim работаеть стабилно и нормално чем postfix :)
>
>К стати тебя зовуть Андрей? :)Кстати да.
>[оверквотинг удален]
>>>А вот этого делать не следует
>>>Сам сейчас от спама мучеешься, с ним борешься, и сам же рассылки
>>>отправляешь
>>>
>>>>
>>>>Вообшето добрый exim работаеть стабилно и нормално чем postfix :)
>>
>>К стати тебя зовуть Андрей? :)
>
>Кстати да.К стати мы встретились пару раз))) пиши мне свой емаил или мсн :)
sa(at)sorokin.org
Так я не понял - он гастарбайтер, работающий админом у провайдера? Или вы просто за другого его приняли поначалу?
>Так я не понял - он гастарбайтер, работающий админом у провайдера? Или
>вы просто за другого его приняли поначалу?нет, он админ в одном из провайдеров.
почему гастарбайтер? тут вообще-то люди со всего мира сидят :)
>почему гастарбайтер? тут вообще-то люди со всего мира сидят :)Потому что по русски плохо говорит, но при этом с вами (русскоговорящим) имеет личное знакомство. Короче, я сделал слишком далеко идущие выводы :)
А можно узнать, что это за язык на том сайте? А то у меня на мониторе один из языков в меню не распознан остался: http://img140.imageshack.us/img140/118/screen1d.png -- это ваш язык?
>
>А можно узнать, что это за язык на том сайте? А то
>у меня на мониторе один из языков в меню не распознан
>остался: http://img140.imageshack.us/img140/118/screen1d.png -- это ваш язык?На Вашем скриншоте или турецкий или азербайджанский, точно трудно сказать, ибо нет достаточного количества текста
>На Вашем скриншоте или турецкий или азербайджанский, точно трудно сказать, ибо нет
>достаточного количества текстаOk, вот ещё скрины того же языка:
http://img4.imageshack.us/img4/5061/screen2zya.png
http://img41.imageshack.us/img41/694/screen3w.png
http://img218.imageshack.us/img218/1456/screen4d.png
http://img91.imageshack.us/img91/2863/screen5r.pngМожно по ним определить точно?
>Можно по ним определить точно?Однозначно - турецкий
спасибо
>спасибонезачто =). а ты купил свой монитор с китая? :))
>незачто =). а ты купил свой монитор с китая? :))Нет, просто это Samsung SyncMaster 971p и у него всего одна кнопка для настройки. А что она настраивает и язык OSD можно выбрать только через gddccontrol (под винду есть прога на диске, но у меня нет винды). А чтобы этот ddccontrol нормально работал - пришлось повозиться и создать файл конфига для своего монитора. Только с идентификацией языков проблемы возникли.
>>незачто =). а ты купил свой монитор с китая? :))
>
>Нет, просто это Samsung SyncMaster 971p и у него всего одна кнопка
>для настройки. А что она настраивает и язык OSD можно выбрать
>только через gddccontrol (под винду есть прога на диске, но у
>меня нет винды). А чтобы этот ddccontrol нормально работал - пришлось
>повозиться и создать файл конфига для своего монитора. Только с идентификацией
>языков проблемы возникли.что у тебя управляемый монитор? =)
С юсб интерфейсом? конфиг монитора в компютере хранится или памяте монитора?
>что у тебя управляемый монитор? =)
>С юсб интерфейсом? конфиг монитора в компютере хранится или памяте монитора?Нет, интерфейсы - dvi и d-sub. Конфиг хранится в мониторе, просто есть стандарт, который называется DDC и позволяет обмениваться инфой с монитором (какие разрешения и частоты он поддерживает, а так же настройки монитора через него тоже можно менять). Стандарт поддерживается всеми современными мониторами, поэтому драйверы для них (мониторов) не нужны.
Проблема только в том, что у разных мониторов разный набор настроек, поэтому для человекопонятного представления этих настроек программе (ddccontrol и для иксов - gddccontrol) нужна подсказка (для каждого монитора). Проблема усугубляется тем, что эта программа не развивается с 2006 года :(
>>На Вашем скриншоте или турецкий или азербайджанский, точно трудно сказать, ибо нет
>>достаточного количества текста
>
>Ok, вот ещё скрины того же языка:
>http://img4.imageshack.us/img4/5061/screen2zya.png
>http://img41.imageshack.us/img41/694/screen3w.png
>http://img218.imageshack.us/img218/1456/screen4d.png
>http://img91.imageshack.us/img91/2863/screen5r.png
>
>Можно по ним определить точно?Турецский язык.
>Так я не понял - он гастарбайтер, работающий админом у провайдера? Или
>вы просто за другого его приняли поначалу?Да. а что быть гастарбайтаром это западло? ')
>smtpd_recipient_limit = 20а вот этого лучше не делать. RFC требует принимать минимум 100 получателей
>
>>smtpd_recipient_limit = 20
>
>а вот этого лучше не делать. RFC требует принимать минимум 100 получателей
>несогласен с RCF :)
100 получателей в письме - вам не кажется что это рассылка.
Для работы через край хватает и 20, согласитесь.
>
>>smtpd_recipient_limit = 20
>
>а вот этого лучше не делать. RFC требует принимать минимум 100 получателей
>Вот и решиль сам.
smtpd_recipient_restrictions =
check_recipient_access hash:/usr/local/etc/postfix/domainaccess,
domainaccess:all@my.domain permit_mynetworks,reject
all@my.hostname permit_mynetworks,reject
>[оверквотинг удален]
>
>
>smtpd_recipient_restrictions =
> check_recipient_access hash:/usr/local/etc/postfix/domainaccess,
>
>
>domainaccess:
>
>all@my.domain permit_mynetworks,reject
>all@my.hostname permit_mynetworks,rejectеще можно добавить permit_sasl_authenticated для сасл.
При таком раскладе действительно спамер не сможет отправить письмо ВАШЕМУ клиенту
непосредственно через ВАШ почтовый сервер вне зависимости от того, как он подписался - вашим доменом или своим ?Или это решение, только блокирующее письмо с подделанным обратным адресом (то есть когда спамер подставляет ваш домен в свой адрес)?
>При таком раскладе действительно спамер не сможет отправить письмо ВАШЕМУ клиенту
>непосредственно через ВАШ почтовый сервер вне зависимости от того, как он подписался
>- вашим доменом или своим ?
>
>Или это решение, только блокирующее письмо с подделанным обратным адресом (то есть
>когда спамер подставляет ваш домен в свой адрес)?П.С. Сори я допустиль ошибку. там должен быт аккес для сендера а не для ресипиента.
check_sender_access hash:/usr/local/etc/postfix/domainaccess,
эсли чужой юзер (не из сети моего пула) вводить mail from: somebody_existing_user@moydomen.ru и rcpt to: somebody_other_existing_user@moydomen.ru то релай пропускает его.
поэтому я добавиль check_sender_access.и добавиль эту строку в файл domainaccess:
*@moydomen.ru permit_mynetworks,permit_sasl_authenticated,reject
Ясно. Значит, первая задача еще не решена.
>Ясно. Значит, первая задача еще не решена.А у вас эсть какие-то проблемы?