Сергей Левин подготовил статью (http://sergeysl.pnz.ru/freebsd/mailsystem.php) о создании почтовой системы для среднего офиса (до 50-100 клиентов) с надежной защитой от вирусов и СПАМа, а также c возможностью безопасного использования из-за пределов корпоративной сети.URL: http://www.sergeysl.ru/freebsd-postfix-mail-system
Новость: http://www.opennet.me/opennews/art.shtml?num=12521[сообщение отредактировано модератором]
Сто раз уже описывались и переописывались всякие привязки к почтовому серверу, ничего нового нет в статье.
Я просто попытался собрать все, чем пользуюсь, в одну статью без лишней философии, но с описанием возможных проблем.
Скажите, а почему данные spamassassin хранятся в mysql вместо db?Почему? Насколько это выгодней? Насколько быстрей?
>Скажите, а почему данные spamassassin хранятся в mysql вместо db?
>Почему? Насколько это выгодней? Насколько быстрей?Изначально я побоялся, что SpamAssassin насоздает огромных таблиц + сервер MySQL уже был + мне кажется базы MySQL быстрее и удобнее в ослуживании. Никто не запрещает использовать bdb. Если MySQL отсутствует, то в небольших масштабах так будет даже разумнее...
bdb гараздо шестрее, но менее удобен чем mysql.
А почему именно 50-100? Помоемму это и 500-1000 прекрасно потянет, и 5000.
>А почему именно 50-100? Помоемму это и 500-1000 прекрасно потянет, и 5000.Я думаю, если больше 50-100, то списки юзеров нужно хранить в MySQL и админить их не из командной строки. А насчет потянуть, скорее всего потянет.
почему не LDAP?
>почему не LDAP?Руки пока не доходили до таких объемов, когда он нужен.
> почему не LDAP?А вот скажите зачем тут LDAP нужен? Если, допустим, у нас есть smtp и pop3/imap, и все они прекрасно могут самостоятельно работать с базой (одной и той же). Зачем в данной ситуации нужна еще одна прослойка в виде LDAP'a, который всё равно, к томуже, в конце-концов лезет в базу?
Пототму что в один прекрасный день Вы захочешь разнести Mail Gateway и pop/imap серверы и тут начнется .... :)
Но для 50-100 аккаунтов Вы этого захочешь не скоро - так что все верно автор ответил.
А если надо с AD завязать?
>А если надо с AD завязать?AD хороша в огромных сетях и требует больше персонала для человеческой настройки/поддержки. В небольших объемах я отдаю предпочтение доменам Windows NT.
>Пототму что в один прекрасный день Вы захочешь разнести Mail Gateway и
>pop/imap серверы и тут начнется .... :)
>Но для 50-100 аккаунтов Вы этого захочешь не скоро - так
>что все верно автор ответил.Ни чего не начнёться. База точно так же может быть только на одном сервере (и даже специально выделенном) и коннектиться к ней по сети.
> А если надо с AD завязать?
В данном конкретном случае - не надо. Когда надо будет - тогда и прикрутим, зачем сразу лишнюю работу делать? ;-)
>>А почему именно 50-100? Помоемму это и 500-1000 прекрасно потянет, и 5000.
>
>Я думаю, если больше 50-100, то списки юзеров нужно хранить в MySQL
>и админить их не из командной строки. А насчет потянуть, скорее
>всего потянет.Нада сразу мутить базу пользователей в мускуле... все равно потом переделывать
>>>А почему именно 50-100? Помоемму это и 500-1000 прекрасно потянет, и 5000.
>>
>>Я думаю, если больше 50-100, то списки юзеров нужно хранить в MySQL
>>и админить их не из командной строки. А насчет потянуть, скорее
>>всего потянет.
>
>Нада сразу мутить базу пользователей в мускуле... все равно потом переделыватьУ меня больше сотни юзеров не будет, поэтому надеюсь обойтись...
Такие материалы нужны всегда! ) Их мало не бывает ) Кому нить понадобится обязательно.
Статья нужнаю. Однако неплохо был бы давать хотя бы краткие расшифровки всех абревиатур (если уж статья действительно рассчитана на новечков)
>Статья нужнаю. Однако неплохо был бы давать хотя бы краткие расшифровки всех
>абревиатур (если уж статья действительно рассчитана на новечков)Так и целой книгой не обойдешься. Нет ни времени, ни желания. + Яндекс, Гугл и т.д. и т.п. пока еще никто не отменял ;)
И он еще говорит про горе админов и криво нестроенные сереры! А сам чему учит:/\.dsl.*\..*\..*/i REJECT Your message looks like SPAM
/cable.*\..*\..*/i REJECT Your message looks like SPAMПоловина мелких фирм Европы сидит на dsl и cable. Как же я задолбался организовывать НОРМАЛЬНУЮ почту из Австрии и Бельгии в Росиию. И все из-за вот таких "мудрецов". Благо бы сам себе гемор создавал. Дык, учить начинающих лезет.
Поубывал бы...
Как раз спама больше всего идет от таких dsl и cable!
Я считаю, что фильтрация по этому критерию правильная. Если серверу фирмы сидящей на dsl надо отсылать письмо, то пускай это делает через сервер своего провайдера или админ прописывает свой почтовый сервер в обратной зоне провайдера.
Но принимать кучу спама, только ради неправильно настроеных серверов не есть верное решение.
Соглашусь.
Требуйте у провайдера Fixed IP нормальную PTR запись в DNS-ах, или SMTP провайдера пользуйте если объемы не большие. Если вы это не способны организовать, то ваша почта никому не нужна.Тоже мне мудрецы австрийско-бельгийские.
>[оверквотинг удален]
>
>Поубывал бы...
>И он еще говорит про горе админов и криво нестроенные сереры! А
>сам чему учит:
>
>/\.dsl.*\..*\..*/i REJECT Your message looks like SPAM
>/cable.*\..*\..*/i REJECT Your message looks like SPAM
>
>Половина мелких фирм Европы сидит на dsl и cable. Как же я
>задолбался организовывать НОРМАЛЬНУЮ почту из Австрии и Бельгии в Росиию.Наша контора работает в основном с Россией, в которой основная проблема - почтовые серверы, не имеющие имени в DNS. Уважающие себя европейцы никогда не сэкономят $10 в год на своей репутации. Дальше, уважаемый МЕГААДМИН, если Вы читали внимательно, то всю Австрию и Бельгию можно пропустить в access_client или написать более конкретные правила на PCRE. Я не знаю его на столько хорошо, чтобы это сделать, однако я знаю, сколько г@вна из штатов и с востока режут данные правила. Опять же, про жесткую политику я предупредил.
> И все из-за вот таких "мудрецов". Благо бы сам себе гемор создавал. Дык, учить
> начинающих лезет. Поубывал бы...Я не мудрец, и никогда не называл себя мудрецом. Гемор я не создаю, а как с ним бороться, если он возникает, досканально описал. Я никого не учу, а просто делюсь своим скромным опытом, т.к. наверное, работа МЕГАДМИНОВ, типа Вас стоит бешеных денег, а на свете есть люди и попроще, хотя Вы их скорее всего не замечаете :). В последнее время много виртуальных убийц! В воскресенье по НТВ показывали некоего power lord, который познакомился с девочкой через инет, а потом ее убил. Вы не боитесь быть на него похожим!? ;)
>>Поубывал бы...
>В последнее время много виртуальных убийц! В воскресенье по НТВ
>показывали некоего power lord, который познакомился с девочкой через инет, а
>потом ее убил. Вы не боитесь быть на него похожим!? ;)
>А как у нас с чувством юмора? Я ведь специально написал "поубывал" через Ы из анекдота. Не помогает...
>>>Поубывал бы...
>>В последнее время много виртуальных убийц! В воскресенье по НТВ
>>показывали некоего power lord, который познакомился с девочкой через инет, а
>>потом ее убил. Вы не боитесь быть на него похожим!? ;)
>>
>
>А как у нас с чувством юмора? Я ведь специально написал "поубывал"
>через Ы из анекдота. Не помогает...Нормально. На ночь глядя осталось буковки разглядывать.
А по мне, так лучше чтоб вы задолбались ОРГАНИЗОВЫВАТЬ, чем бы мы задолбались принимать по ~30.000 smtp соединений в день от спаменов.
Дело не в том на чем сидит фирма, а в том как настроена для неё DNS.
Так что убей себя ;), привет...
>А по мне, так лучше чтоб вы задолбались ОРГАНИЗОВЫВАТЬ, чем бы мы
>задолбались принимать по ~30.000 smtp соединений в день от спаменов.Вот в этом и есть основная проблема! Админы берутся решать, что важно, а что нет для бизнеса фирмы. И в статье то-же: "Я предлагаю достаточно жесткую политику защиты от вирусов и СПАМа, которая не исключает потерю некоторых валидных сообщений". Вы попробуйте это сказать хозяину бизнеса. Угадайте с трех раз, как он ответит? На моей практике в 100% случаев бизнесмен выбирает: "пусть пройдет лишних 100 спам писем, но не заблокируется ни одного валидного". И он прав!
Угу. Только когда тому же бизнесмену доступно объясняешь, что разговор идёт не о ста и даже не о тысяче писем, тут уже позиция довольно часто меняется.
И вообще, все ситуации разные. В случае, когда у организации переписка гарантированно происходит только с российскими корреспондентами, то можно смело закрывать всю Корею-Японию-Китай-Тайвань-кто там ещё особо отличившийся...
>Админы берутся решать, что важно, а что нет для бизнеса фирмыЗдрассьте... Нас обязали принимать решения, и деньги за это платят. Да, решения компромиссные, а иначе и не бывает.
>"пусть пройдет лишних 100 спам писем, но не заблокируется ни одного валидного"Ну, абсолютной истины не бывает, и бизнес бизнесу - рознь.
Предположим, сессия блокируется с указанием причины и указанием адреса для апелляций.
А, к примеру, адресное пространство деловой переписки 500 пользователей почтовой системы некоего предприятия, занимающегося материально-товарным производством, можно описать файлом в 25-50 строк. Проверено. А вы говорите 100 писем прочитать, чтоб найти нужное.
крупный банк в топах по россии с присутствием в половине регионов
- за самодеятельность типа резать .dsl, японские зоны и т.п. не в меру ретивый админ был уволен, и это правильно, ибо нефиг.
- и таки внедрил же я потом свои решения, которые резали больше существенно - без серьёзного риска потери важных писем со всего мира
- ну порядка 90 тыс. попыток отправки почты щас в сутки на 2 релеях в балансире, ну вполне удовлетворенный бизнес и никакого идиотизма типа рубим усе, если не настроили обратную зону - ну насрать, пардон, бизнесу на то, как у клиентов настроена почта. Бизнесу работать надо с клиентами - по всему миру
.
так что борьба со спамом - задача вполне решаемая
обзор, если интересно - на http://www.ourorbits.org/itview/articles/mailsystem.shtml
с высоты прошедшего времени все видится еще яснее, но описать детально никак не соберусь
>[оверквотинг удален]
>- ну порядка 90 тыс. попыток отправки почты щас в сутки на
>2 релеях в балансире, ну вполне удовлетворенный бизнес и никакого идиотизма
>типа рубим усе, если не настроили обратную зону - ну насрать,
>пардон, бизнесу на то, как у клиентов настроена почта. Бизнесу работать
>надо с клиентами - по всему миру
>.
>так что борьба со спамом - задача вполне решаемая
>обзор, если интересно - на http://www.ourorbits.org/itview/articles/mailsystem.shtml
>с высоты прошедшего времени все видится еще яснее, но описать детально никак
>не соберусьВсем добрый день!
Я не поленился и сходил на сайт "ИТ специалиста Белонина Сергея Станиславовича" :)...
В его труде описана простая система из Sendmail'а с Milter'ом и прикрученного Spamassassin'а с ClamAV. Ни с Postfix, ни с Exim автор никогда не работал. Но у нас же страна советов - все дураки, а он Д'Артаньян :).С каких пор простой трудяга-специалист отвечает в банке за бизнес? Может быть вышел новый циркуляр ЦБ на эту тему?! И не он ли "помог" уволить человека, который пытался улучшить ситуацию. А потом на "чистом" месте "создал и внедрил"... Вы только почитайте эти общие фразы в его опусе... Слов нет от пафоса и самолюбования. Описанная в обсуждаемой статье система по сложности и универсальности на 2 головы выше "внедрённого таки решения" - 90000 в сутки - это примерно письмо в секунду (зачем балансир?) - и это крупный банк??! Вы в каком далёком филиале работаете, если на чистоту??! С таким потоком даже описанный Amavis (с 2-ми процессами по предложенному конфигу) справится играючи, без распределёнки и задержек - учите мат.часть "товарисъч" :). Вы наверное не в курсе, что Postfix может за один tcp connect отправлять несколько писем, а очередь отсылается потоками, одновременно?? А про безопасность Sendmail'а установленного у Вас я бы даже не вспоминал по сравнению с Postfix'ом. Удачи Вам в карьере - подайте наконец заявление на администратора! Хватит зарывать талант в специалистах :)...
Автор же обсуждаемой статьи молодец! Большое уважение и благодарность. :Р
От себя добавлю, по практике работы... Базу Spamassassin'а можно хранить и в r-tee'шных деревьях, без базы данных, они не растут со временем, а "переиндексируются" при обучении. Процессов на Amavis'е можно увеличить до 50 (или как кому), потому что, если они исчерпаются, то письма пойдут в отказ, а это не дело. Правда на каждую пару процессов (к Amavis и обратно к Postfix) надо примерно 50Мб оперативной памяти - считайте заранее мощности на сервере. При подобной (50) конфигурации надо минимум 4Гб RAM, так как нужна ещё дополнительная память под процессы Postfix и кое-какие области, например временный каталог антивируса, лучше держать на RAM-диске :). Список RBL можно рассширить по желанию (есть on-line проверялки в сети, http://www.kloth.net/services/dnsbl.php, и прочие варианты - по вкусу), при обработке Pflogsumm станет ясно, какие из них не активны в том объёме, который Вам господа, нужен (российские обычно очень вялые). Если соберётесь использовать директивы always_bcc (копирование всей почты на unix-box), то увеличте объём ящиков до суточной нормы почты с запасом, под суточную ротацию, тогда не заклинит сервер при переполнении. Не фиксированные адреса резать - модемы, dsl и прочее - гайка должна быть закручена, если она есть, ослабить успеете. Реверсивные зоны проверять. Исключения прописывать. И читать в tail -f логи с почтовика - всё время, хорошая привычка :).Удачи всем! И не слушайте "учёных", так как путь в Unix - делай по своему, то есть элегантно и надёжно, но по разному и творчески!! :Р
P.S.: Забыл :Р, извиняюсь - пользователя в процессе ClamAV лучше сделать таким же как пользователь Amavis - при обнослении баз и рестарте, базам будем "проще" прочитаться с диска :), ну конечно если Вы не хотите, чтобы их читали все :). И сортировать процессы по пользователям легче.
>"переиндексируются" при обучении. Процессов на Amavis'е можно увеличить до 50 (или
>как кому), потому что, если они исчерпаются, то письма пойдут в
>отказ, а это не дело.Процессы amavis'а не исчерпаются никогда, будь их хоть 2 :-) Число потоков устанавливается в настройках postfix и больше чем там написано он лить не будет, сообщения просто будут ждать в очереди. Более того, много процессов amavis даже вредно, они только мешать друг другу будут конкурируя за IO и CPU. Пусть лучше несколько писем будут проверены максимально быстро, чем много - но на проверку каждого уйдет больше времени.
>[оверквотинг удален]
>>как кому), потому что, если они исчерпаются, то письма пойдут в
>>отказ, а это не дело.
>
>Процессы amavis'а не исчерпаются никогда, будь их хоть 2 :-) Число потоков
>устанавливается в настройках postfix и больше чем там написано он лить
>не будет, сообщения просто будут ждать в очереди. Более того, много
>процессов amavis даже вредно, они только мешать друг другу будут конкурируя
>за IO и CPU. Пусть лучше несколько писем будут проверены максимально
>быстро, чем много - но на проверку каждого уйдет больше времени.
>Отказ в данном случае надо понимать как постановка в очередь (а зачем?), но и расти сами процессы Amavis не будут - у них жесткое ограничение в конфиге. Если у Postfix'а можно задать предел, то в Amavis'е сколько скажешь, столько и стартует, и перестартуются процессы только после чёткого количества обработанных писем (см. конфиг). А ресурсы IO и CPU - не смешите - если у Вас не шлют письма по 20Мб всё время - загрузка на CPU минимальна, они простаивают, тем более IO - сравните полосу канала и скорость работы дисков - раз 10 точно будет разница :)! На много-много-ядерном сервере все процессы проверки идут параллельно - нет ни задержек, ни очередей - очередь возникает только в одном случае, когда в канал не пропихнуть разом :Р. А это редкость. Так что если процессов в Postfix'е у Вас 100, то в Amavis'е можете смело поставить 50 - и нет проблем.
Ok, не верите на слово, проведите тест, попробуйте создать исскуственный флуд в 100 потоков и посмотреть, как поведет себя amavis (с задействованными clamav и SpamAssassin) с 10-15 и 50 воркерами.
>Ok, не верите на слово, проведите тест, попробуйте создать исскуственный флуд в
>100 потоков и посмотреть, как поведет себя amavis (с задействованными clamav
>и SpamAssassin) с 10-15 и 50 воркерами.Удачи Вам в искусственном флуде - очень интересно, этим и надо заниматься - нагрузочным тестированием систем написаных на Perl'е. Вы бы ещё на скрипты накинулись! :Р
У меня прописано 50 процессов на Amavis'е и ни разу за последние 4 года не было тормозов "не совместимых с жизнью" - почтовой очереди нет, как таковой. Не тот масштаб. Вот если бы у меня надо было задействовать соединений тысячи две, тогда вероятно имело бы место для тестов. Но таких систем нет - все предпочитают распределёнку :)...
>Удачи Вам в искусственном флуде - очень интересно, этим и надо заниматься
>- нагрузочным тестированием систем написаных на Perl'е. Вы бы ещё на
>скрипты накинулись! :РА чем вам Perl не угодил ? На нем например балансер livejournal.com написан.
Сам по себе amavis-new ресурсов потребляет крайне мало, систему очень хорошо подсаживает SpamAssassin.>У меня прописано 50 процессов на Amavis'е и ни разу за последние
>4 года не было тормозов "не совместимых с жизнью" - почтовой
>очереди нет, как таковой.Я и предлагал оценить на сколько изменится его пропускная способность, если уменьшить число рабочих процессов.
А по поводу пика в 1000 коннектов, то это обычная ситуация, - такое раз в пару месяцев бывает, когда спамерские трояны сходят сума и все разом накидываются.
В документации к Amavis-new ясно сказано:"Going beyond 10 usually brings no more improvements in overall system
throughput, it just wastes memory."
спасибо за то, что не поленились сходить и прочитать статью- уже во времена ее написания мои внутренние сервера работали на Exime. Поэтому голословное махание шашкой со стороны OpenOpen не принимаю
- простая схема на Sendmail однако ни разу не справится с такой нагрузкой без тюнинга того самого Sendmaila, который предусмотрен авторами
- дальше - балансир нужен для того, чтобы вся почтовая система не встала при отказе железа, например, а не чтобы поиграться специалистам
- дальше отвечаю на гусарские выпады - вы видимо плохо походили по сайту, могли бы найти интересующую вас определенную информацию по поводу филиалов и квалификации автора
- теперь еще - в статье, которую вы вычитывали, специально даны общие сведения - потому описан скелет архитектуры коммерческого решения от этого самого Белонина Сергея Станиславовича, и если у нас в стране идеи не защищаются законом, то коммерческие реализации защищаются. А если кто то при этом закон не уважает, и предпочитает трындеж о прелести открытых решений или прелести закрытых - отправлю его к 4 части ГК России и 146 статье УК России
ну и напоследок - перечислю состав текущего антиспам модуля для Exim в моих разработках
- гритинг пауза, проверка домена для заявленного ip отправителя, авторские модули несколько модифицированного greylist (на хранимых процедурах PostgreeSQL), модули автоматического формирования черных списков по IP и адресу отправителя на основе данных greylist, контент фильтр на SpamAssassin, те самые черные списки ...почему я об этом говорю вообще - потому что антиспам система должна быть комплексной, и, возможно, кому то такое перечисление поможет найти свое решение
- дальше, меня тут упрекнули в том, что я ушел SMTP администратора, навесили ярлык трудяги администратора и т.п. Не первый год имею еще и свой небольшой бизнес и могу себе позволить быть еще и трудягой ... При этом понимая потребности бизнеса, в т.ч. обслуживаемого моей организацией. Обычно принято писать что то типа - оставляю на вашей совести, но я не считаю это правильным. Поэтому если урод, который допускает подобные высказывания, а так нормальные люди себя не ведут - пусть весь вложенный негатив возьмет своей матери, либо таки согласится, что он погорячился и заберет свои слова. Я пойму
- про свой путь в UNIX - спорно. Сначала долго играем простые аккорды, потом только сочиняем свою музыку
Sergey S. Belonin
ну е еще там, конечно, проверка существования отправителя - благо в Exim она реализована нативно, в отличие от Sendmail.Да, еще специально для Open Open. Не люблю я ваш postfix - и без него все решается, ставил последний раз лет 5 назад. Знакомые говорили, что он вырос за эти годы, но и без него намоленные решения вполне себе есть и вполне себе работают
ps. OpenOpen вы таки попробуйте разобраться, какие пальцы загнули не по делу - я то свои обоснованно гну, т.к. попробовал разные варианты почтовых решений ну разве что только не в масштабах провайдера. И учитесь таки общаться - очень поспешно выводы делаете. Вам, в принципе, вот сюда надо было сходить - http://www.ourorbits.org. Искренне надеюсь, что вы дойдете до того, что были неправы
И давайте уж дальше переписку вынесем в почту, если есть что сказать. Мой ящик - belonin@yandex.ru
ну и чтобы завершить тему - не нравится мне манера некоторых редисок плеваться в Инете, надо дорасставить точкиподдержку SMTP решений на меня навалили как факультатив из за отсутствия людей, и она таки была выведена мной же на уровень, когда выделенный специалист по этой теме уже не требовался, уже года как полтора я не занимаюсь поддержкой SMTP как основной администратор
За прошедших полтора года пришедший основным администратором направления SMTP специалист практически ничего не изменил в моей схеме, только что мы докрутили к ней технологию greylist, реализованную стандартным бесплатным модулем для Sendmail, с уволенным специалистом я, в отличие от многих сотрудников, до сих пор поддерживаю вполне себе нормальные отношения, он работает руководителем IT в одной из фирм Москвы
И, конечно, внедряемое решение было согласовано отдельным детальным проектом с бизнесом - потому что это правильный путь решения таких вопросов в большой конторе
>крупный банк в топах по россии с присутствием в половине регионов
>- за самодеятельность типа резать .dsl, японские зоны и т.п. не в
>меру ретивый админ был уволен, и это правильно, ибо нефиг.
>- и таки внедрил же я потом свои решения, которые резали больше
>существенно - без серьёзного риска потери важных писем со всего мираЯ думаю в крупном банке меньше экономят на железе, софте и ЗП админов ;)
>>А по мне, так лучше чтоб вы задолбались ОРГАНИЗОВЫВАТЬ, чем бы мы
>>задолбались принимать по ~30.000 smtp соединений в день от спаменов.
>
>Вот в этом и есть основная проблема! Админы берутся решать, что важно,
>а что нет для бизнеса фирмы. И в статье то-же: "Я
>предлагаю достаточно жесткую политику защиты от вирусов и СПАМа, которая не
>исключает потерю некоторых валидных сообщений". Вы попробуйте это сказать хозяину бизнеса.
>Угадайте с трех раз, как он ответит? На моей практике в
>100% случаев бизнесмен выбирает: "пусть пройдет лишних 100 спам писем, но
>не заблокируется ни одного валидного". И он прав!Хозяин в курсе. Он прекрасно понимает, что менеджеры не должны отвлекаться на разную каку. Еще есть телефон, ICQ и контактная форма сайта, через которые человек, получивший отлуп, всегда может попросить поправить настройки. Как правило те, кого серьезно что-то интересует сначала звонят, а по почте уже передаются заявки, счета и т.д. и т.п.
>А по мне, так лучше чтоб вы задолбались ОРГАНИЗОВЫВАТЬ, чем бы мы
>задолбались принимать по ~30.000 smtp соединений в день от спаменов.Эх... везет же некоторым, у нас 30 тыс. соединений от спамеров в среднем за каждые 10-15 минут :-( В день 3-4 миллиона.
:)
Ну так вы в этом вопросе можете быть законодателями мод: что станете делать - то и другие подхватят...
А то, есть уже предложения читать всё подряд :) )
Если у вас такое количество спама то стоит присмотреться к хорошим готовым решениям, например www.ironport.com
>Если у вас такое количество спама то стоит присмотреться к хорошим готовым
>решениям, например www.ironport.comКак показывает практика, зарубежные решения очень плохо фильтруют русскоязычный спам.
Лучше всего фильтрует Спамоборона и продукт Касперского, главным образом за счет того, что у них хорошая база для набора статистики (yandex.ru и mail.ru).PS. Кто-нибудь экспериментировал на предмет заведения штук 10 фейковых доменов используемых как бочки с медем для формирования базы затрояненных IP ? Насколько это эффективно ?
>PS. Кто-нибудь экспериментировал на предмет заведения штук 10 фейковых доменов используемых как
>бочки с медем для формирования базы затрояненных IP ? Насколько это
>эффективно ?реджектить по этим спискам потом нельзя, бо там содержатся все крупные релеи. уже пробовали, максимум накинуть счет в любой из AS систем.
>>PS. Кто-нибудь экспериментировал на предмет заведения штук 10 фейковых доменов используемых как
>>бочки с медем для формирования базы затрояненных IP ? Насколько это
>>эффективно ?
>
>реджектить по этим спискам потом нельзя, бо там содержатся все крупные релеи.
>уже пробовали, максимум накинуть счет в любой из AS систем.Точно, я из виду упустил, что современные трояны вполне успешно через меcтный релей научились рассылать.
в продолжение моих писаний - когда разрабатывали свою схему, я тестировал работу каспера и SpamAssassin. После тренировки SA десятком тысяч писем нарытого спама он делал каспера в два раза ко количеству пойманного спама. При этом каспер получал ежедневные обновления баз от разработчика. Единственно я в правилах SA убирал некую опцию про .ru>[оверквотинг удален]
>>решениям, например www.ironport.com
>
>Как показывает практика, зарубежные решения очень плохо фильтруют русскоязычный спам.
>Лучше всего фильтрует Спамоборона и продукт Касперского, главным образом за счет того,
>что у них хорошая база для набора статистики (yandex.ru и mail.ru).
>
>
>PS. Кто-нибудь экспериментировал на предмет заведения штук 10 фейковых доменов используемых как
>бочки с медем для формирования базы затрояненных IP ? Насколько это
>эффективно ?
убей бог не помню какую - больше 2 лет назад было. Но вычислена она была по отражаемому SA в журнале весу каждого правила
>в продолжение моих писаний - когда разрабатывали свою схему, я тестировал работу
>каспера и SpamAssassin. После тренировки SA десятком тысяч писем нарытого спама
>он делал каспера в два раза ко количеству пойманного спама.А по количеству нормальных писем помеченных как спам ? Думаю, что при таком перекосе в обучении фильтра, раз в сто :-)
Для более-менее терпимых результатов, ему нужно было показать еще 10 тысяч нормальных песем и повторять операцию раз в месяц.
> При
>этом каспер получал ежедневные обновления баз от разработчика. Единственно я в
>правилах SA убирал некую опцию про .ruДля массовых систем байесовские фильтры неприемлимы, от них больше зла, чем пользы будет. К тому же он имеет такой недостаток, как слонность к переобучению.
Проведите эксперимент:
Обучите фильтр,предположим, несколькими тысячами нормальных и спам-писем.
Затем отфильтруйте им _другие_ несколько тысяч нормальных и спам-писем.
После этого, посмотрите сколько нормальных писем помечено как спам и сколько спама помечено как нормальные. Повторите проверку с другой порцией писем, через несколько месяцев.
я, в общем то не считаю себя суперпрофессионалом - теоретиком. Скорее просто практиком с некоторым опытом, поэтому не могу сказать, как это должно выглядетьа как выглядело - вот. Техника сравнения
КАС в режиме добавлять в Subject некое сообщение и не резать
SA - тоже
дальше в примерно 2 недель собирается непомеченный SA спам (из наиболее засвеченных ящиков и скармливается SA), Потом еще 2 недели приходящие на эти ящики письма раскладываются непомеченные ваще - отдельно, помеченные только SA отдельно, только КАС - отдельно, и КАС и SA - отдельнопо результатам ессно не весь спам был помечен, сумма помеченных КАС в 2 раза меньше помеченных SA , причем у SA выставлялся довольно большой порог срабатывания - 8.0
примерно так
да, отфильтрованных ошибочно при таком высоком пороге SA практически не было. Можно было бы тюнить дальше, снижать планку и т.п., но был получен достаточно удовлетворительный результат
>в продолжение моих писаний - когда разрабатывали свою схему, я тестировал работу
>каспера и SpamAssassin. После тренировки SA десятком тысяч писем нарытого спама
>он делал каспера в два раза ко количеству пойманного спама. При
>этом каспер получал ежедневные обновления баз от разработчика. Единственно я в
>правилах SA убирал некую опцию про .ruСтранные вещи вы пишете. Конкретный пример за прошедшие сутки: 2.5 млн сообщений (~26Г)пропущены через KAS. Из них спам - 93% или ~2.25 млн сообщений. Куда тут увеличивать в два раза? Хотите сказать, что при помощи SA довели процент фильтрации спама до 98% и при этом нет ложных срабатываний? Не верю.
меня эта тема реально утомила - все что хотел, я уже сказал - опираясь на свой практический опыт практически двухлетней давности. Описываемое антиспам решение того времени имело у меня эффективность около 80%, причем ни КАС ни СА, будучи установленными последними, ни играли ни первую, ни даже вторую скрипку
Текущее решение имеет эффективность более 90% от количества ретрейнов, в некоторых случаях фиксировалась эффективность более 98%, общие принципы я описал, детализировать считаю излишним
О вере. О вере вообще речи не идет - вам либо помогает написанное мной, либо нет - ибо никто здесь никому и ничего не должен. Так проще, чем кому то что то доказывать - на то и форум. Поможет 1 из 1000 - и хорошо, нет - просто идем дальше
все - с моейстороны тема закрыта. Обсуждение длилось очень долго
>меня эта тема реально утомила - все что хотел, я уже сказал
>- опираясь на свой практический опыт практически двухлетней давности. Описываемое антиспам
>решение того времени имело у меня эффективность около 80%, причем ни
>КАС ни СА, будучи установленными последними, ни играли ни первую, ни
>даже вторую скрипкуДаже два года назад (тогда КАС еще не было, кстати, был spamtest и совсем не от Касперского и компании) эффективность одного только spamtest была выше 80%. Я это к тому, что либо вы плохо помните о событиях того времени, либо не пытаетесь вспомнить, но в любом случае вводите в заблуждение читателей.
>Текущее решение имеет эффективность более 90% от количества ретрейнов, в некоторых случаях
>фиксировалась эффективность более 98%, общие принципы я описал, детализировать считаю излишнимв отдельных случаях можно обеспечить эффективность и 100%, но кого они интересуют, эти отдельные случаи? :)
>О вере. О вере вообще речи не идет - вам либо помогает
>написанное мной, либо нет - ибо никто здесь никому и ничегомне лично написанное вами не то что не поможет, а будет только вредно. поскольку описанное вами даст неприемлемый процент ложных срабатываний при попытке закрутить гайки, а при отпускании гаек даст фиговый процент фильтрации. возможно для организации с мелким почтовым траффиком это и даст какой-то эффект, но там, где траффик исчисляется миллионами сообщений в сутки описанное вами выше решение бесполезно.
>все - с моейстороны тема закрыта. Обсуждение длилось очень долго
на самом деле обсуждать не хотелось, а хотелось выяснить, каким это образом SA смог "в два раза" превзойти спамтест. С имеющимися у меня объемами отфильтрованного спама я могу обучить SA хоть сотней миллионов писем - и все равно результат будет так себе.
Впрочем, я в любом случае получил ответ на свой вопрос :)
как то не отпускает эта тема ...
что я могу сказать
- есть практический опыт определенный, он и описывался
- эффективность по отсеву входящих писем и ретрейнов - разные вещи, причем нужно понимать, что контент фильтр предполагает прием полного тела письма - скорее правильно перед ним ставить и другие фильтры, чтобы не жрать вредный траффик
- любые высказывания в адрес платных продуктов мной лично, хотя у меня есть свои платные, воспринимаются как попытка втюхивания их потребителю. И тут мне слова, расклады, логика и т.п. не интересны - у меня есть позиция, независимо от ваших слов. И есть некоторый свой опыт. Если мне потребуется платный продукт - я буду его искать сам, если мне пытаются "навязать помнить, что есть такое" - я буду искать альтернативы
- дальше предлагаю переписку вынести в почту, т.к. в этой ветке я "постить" больше не планирую
> как то не отпускает эта тема ...
> что я могу сказать
> - есть практический опыт определенный, он и описывался
> - эффективность по отсеву входящих писем и ретрейнов - разные вещи, причем нужно понимать, > что контент фильтр предполагает прием полного тела письма - скорее правильно перед ним
> ставить и другие фильтры, чтобы не жрать вредный траффикможно ставить любые другие фильтры, если не интересует процент ложных срабатываний. для почтовой системы с числом клиентов в десятки тысяч невозможно иметь однозначных правил, отсеивающих письма как спам без анализа контента, а только лишь на этапе коннекта/передачи заголовков. это аксиома. к сожалению, очень многие провайдеры никак себе это не уяснят и сплошь и рядом внедряют сомнительные вещи вроде RBL или уже упоминавшиеся здесь фильтры по отсутствию или неправильной, с их точки зрения, обратной зоне.
> - любые высказывания в адрес платных продуктов мной лично, хотя у меня есть свои
> платные, воспринимаются как попытка втюхивания их потребителю. И тут мне слова,
> расклады, логика и т.п. не интересны - у меня есть позиция, независимо от ваших слов.извините, но это редкостная чушь. я верю, что у вас может быть такая позиция, но озвучивать ее публично не стоит, это моветон. к вашему сведению, продавцам коммерческих систем даже реклама особо не нужна - замученные спамом потенциальные клиенты сами их найдут, всучат деньги и заберут их продукт. это либо бедные, либо еще не до конца замученные городят многоэтажные огороды, в которых сам черт ногу сломит, при этом с сомнительной эффективностью.
> можно ставить любые другие фильтры, если не интересует процент ложных
>срабатываний. для почтовой системы с числом клиентов в десятки тысяч невозможно
>иметь однозначных правил, отсеивающих письма как спам без анализа контента, а
>только лишь на этапе коннекта/передачи заголовков. это аксиома. к сожалению, оченьИли ты автор ПО которое делает анализ? Или спам рассылаешь? Или продаёшь? Зачем глупости говоришь? Я понимаю, что вероятность того, что письмо с адреса ppp91-76-151-57.pppoe.mtu-net.ru несёт в себе полезную информацию, не равна 0, хотя до смешного мала (уверен что будет 0 в ближайшие 10 лет), но увы, в данной реальности вопрос не в том спам это или нет, а в том, что пусть админ этой организации уж озаботится нормальным сервером с нормальным адресом. Сейчас аренда сервера стоит смешных денег, а VDS ещё меньше. А на 201-67-17-104.cbace702.dsl.brasiltelecom.net.br делают сервера только васипупкины.
>Или ты автор ПО которое делает анализ? Или спам рассылаешь? Или продаёшь?из моих сообщений выше можно понять, кто я.
>Зачем глупости говоришь? Я понимаю, что вероятность того, что письмо с
>адреса ppp91-76-151-57.pppoe.mtu-net.ru несёт в себе полезную информацию, не равна 0, хотя
>до смешного мала (уверен что будет 0 в ближайшие 10 лет),уверенность - это хорошо. а я вот уверен в обратном. и уверенность основывает в первую очередь на опыте - нормальная почта и с таких ip бывает. да, это минус тамошнему сисадмину, да, это в свете нынешних реалий не очень правильно. но это не противоречит стандартам и если я зарублю такую почту - мой клиент вполне обоснованно выдвинет мне претензии. поверьте, при потоке почты исчисляющейся миллионами сообщений в сутки, таких писем в день может быть два-три десятка. и геморрою с тридцатью недовольными клиентами ежедневно я предпочитаю более вдумчивую фильтрацию.
>но увы, в данной реальности вопрос не в том спам это
>или нет, а в том, что пусть админ этой организации уж
>озаботится нормальным сервером с нормальным адресом. Сейчас аренда сервера стоит смешных
>денег, а VDS ещё меньше. А на 201-67-17-104.cbace702.dsl.brasiltelecom.net.br делают сервера только
>васипупкины.в своем маленоком офисе, где вы - царь и бог и где вы можете запросто прочитать суточный лог postfix'а - вы можете себе это позволить. я - нет. вот и все.
как то не внушают ваши миллионы в сутки, очень часто вы это повторяете ... пальцы ... будь вы инжененром Яндекса, например, разрабатывающим антиспам - было бы интересно пообщаться по техническим деталям - только у них это наверняка служебная тайна
.
ну допустим. работаете вы в большом провайдере. работа большого провайдера, как и большой конторы вообще - это частный случай, совсем не распространенный, и, надо признать, качество сотрудников и отношения к бизнесу там зачастую не на высоте - это специфика крупных контор, стремящихся выстроить бизнес систему, помешанную на независимости от конкретных людей. Нормальные люди, не имеющие целью всей своей жизни стать винтиком в какой то бизнес машине - платят тем же, и в конце концов ищут другие места. Опять же не для обсуждения пишу, для констатации - это вполне себе сложившийся взгляд. И тамошние тонкости и решения основной аудитории могут быть интересны вполне себе отвлеченно
.
ну работал я с провайдерами, есть у меня добрые знакомые в лице админов и тех. директоров.
знаете, что ставилось ? milter-sender (проверка существования отправителя для sendmail, благо он тогда был бесплатный), greeting pause настраивалась и т.п. Не ставили люди никакой муеты типа контент фильтров - которые есть первые кандидаты на ложные срабатывания - и правильно делали
.
что вы предлагаете аудитории, считающей себя в массе специалистами - берите закрытый черный ящик, платите бабло и не имейте проблем. Не по адресу пишите, не та аудитория. Вот говноменеджерам, не интересующимся профессией, такой пиар самое оно. А специалистам, которым интересно понять проблему и ее разрулить самостоятельно - нормальным UNIXовым подходом, наверно, интересно не это. Плюс, опять же, ваши "тонкости большой конторы", которые сквозят постоянно
.
по поводу умных слов и ярлыков типа моветон - это ваше мнение, нефик его в чужие головы пропихивать, вы своими понятиями живите, мы им не мешаем в ваших головах жить, но в свои головы всяку срань не пустим, своей хватает :-). Мое мнение такое - пусть НАШИХ будет больше в нашем окружении, в идеале пусть такими будут все - а "не наши" - это просто вынужденный балласт, мешающий жить. Блин, давно открыл бы свои наработки, если б знал, что уроды всякие не (стырят и станут стричь бабло с чужого труда)
.
Подвожу итог "по вашему" - т.к. соринка в чужом глазу заметнее :-) Тимка - как видите люди есть разные, мнения давно сформированы - это ваш главный вывод. И не пропихивайте вы проприетарщину - от этого настолько дурно пахнет, опять же IMHO, что можно мгновенно убить желание с вами общаться в принципе
> извините, но это редкостная чушь. я верю, что у вас может
>быть такая позиция, но озвучивать ее публично не стоит, это моветон.
>к вашему сведению, продавцам коммерческих систем даже реклама особо не нужна
>- замученные спамом потенциальные клиенты сами их найдут, всучат деньги и
>заберут их продукт. это либо бедные, либо еще не до конца
>замученные городят многоэтажные огороды, в которых сам черт ногу сломитделаю вывод, что вы не инженер. В смысле не специалист. Вы обратили внимание, что пишите в форум, посвященный открытым системам ? еще раз пеhечитайте название сайта
>, при
>этом с сомнительной эффективностью.
Аааа граждане! Как отписатся от этой болтовни????? Ааааааааа.....
>делаю вывод, что вы не инженер. В смысле не специалист. Вы обратили
>внимание, что пишите в форум, посвященный открытым системам ? еще раз
>пеhечитайте название сайтапойду утоплюсь :)
но вы, уважаемый, когда в следующий раз будете перечитывать название сайта, не забудьте выкинуть все роутеры и прочее железо cisco, а то не к лицу настоящему инженеру пользоваться такой пропиетарщиной :)
за сим дискуссию считаю оконченой, ибо еще шаг - и вы перейдете на личности, а это уже двлеко за пределами моих интересов. всего доброго :)
ironport - вообщето говнецо :)
Если уж захотелось апплаянцес - то лучший (но - подороже) тут: www.borderware.com
А вообще я согласен, фильтровать надо по контенту, а не по месторасположению, адресам и прочей фигне.Вот расскажите как в случае с несколькими филиалами настраивать исходящие релеи в офисах если половина умников только от МХ принимают почту? - Релеить все письма из Владивостока в Москву и потом обратно?
Согласен, сколько людей столько мнений, и у каждого свои причины..>Вот расскажите как в случае с несколькими филиалами настраивать исходящие релеи в офисах если половина умников только от МХ принимают почту? - Релеить все письма из Владивостока в Москву и потом обратно?
Из этого, я сделал вывод, что вы не очень прониклись вопросом...
Отправлять можете с любого IP, но с начала будьте добры, зарегестрируйте для него A и PTR в DNS или попросите это сделать своих провайдера и хостмастера.
:) в некоторых случаях <кхе-кхе гоблинтелеком> оказывается таки проще релеить "из владивостока в москву" благо трафик, уходящий на почту, обычно стоит дешевле нервов, потраченных на уговаривание менеджера и донесение вопроса до админов.
> А вообще я согласен, фильтровать надо по контенту, а не по месторасположению, адресам и прочей фигне.
>
> Вот расскажите как в случае с несколькими филиалами настраивать исходящие релеи в офисах если половина умников только от МХ принимают почту? - Релеить все письма из Владивостока в Москву и потом обратно?По контенту фильтровать нужно то, что не отсеялось по прочим признакам. Так нагрузка на почтовый сервер значительно ниже будет.
А НЕСКОЛЬКО филиалов можно в прописать в access-лист, как уже упоминал автор.
Фильтровать следует сначала по статистике (всякие внешние базы отправителей, днс блеклист и т.п, только потом по контенту). В хороших готовых системах есть глобальная фильтрация по контенту, и отдельные фильтры по адресату, плюс черные и белые списки конечного пользователя. Все в чем сомневаешся (серое) - в карантин, который конечный пользователь может обслуживать.
Фильтрация по контенту требует слишком много процессороной мощности; поэтому на первый рубеж обороны выставляются запреты доступа и GreyListing. Главное, чего не должен допускать антиспам - это тихъого уничтожения писем, когда ни отправитель, ни получатель не знают, что письмо было уничтожено; причём запреты на уровне SMTP-сессии (в т.ч. по "dsl" в DNS-имени хоста) оповещают отправителя, а вот фильтрация по контенту этого обычно не делает.Что же касается филиалов, то их можно прописывать в DNS как MX - например, минский филиал суперпупербанка должен иметь имя minsk.superpuperbank.ru, а их Relay д.б. и MX для жтого адреса.
>Что же касается филиалов, то их можно прописывать в DNS как MX
>- например, минский филиал суперпупербанка должен иметь имя minsk.superpuperbank.ru, а их
>Relay д.б. и MX для жтого адреса.Дмитрий, я уже не в первый раз вынужден вам сообщить, что вы безграмотный и самоуверенный дилетант. Поскольку вы опять несете чушь с умным видом. Вам не приходило в голову что, например, входящий трафик в минском филиале суперпупербанка может быть очень дорог, и что по этой причине первичная фильтрация почты происходит в самом суперпупербанке, где трафик дешев, а почтовый сервер могуч? А что иные филиалы иных банков и прочих организаций до сих пор, в 21-м веке, принимают и отправляют почту по UUCP over TCP - по этой же самой причине?
Мне до слёз жаль ваших студентов. Чему вы их можете научить?
Шли бы вы водить троллейбус, что ли.
Да вы сэр с дуба рухнули!?!?!Почта м\у филиалами - есть внутренняя - она из сети в нешифрованном виде вообще выходить не должна!!! Россияне вы чего?!
М\у филиалами - VPN! Значит и днс сервер свой, прописывай чего надо, а вот наружу - через строго определенный список smtp-gateways, которые прописаны как положено в инете.
>Да вы сэр с дуба рухнули!?!?!
>
>Почта м\у филиалами - есть внутренняя - она из сети в нешифрованном
>виде вообще выходить не должна!!! Россияне вы чего?!Она в нешифрованном и не выходит. 465й порт. SMTP over TLS ;)
>А вообще я согласен, фильтровать надо по контенту, а не по месторасположению,
>адресам и прочей фигне.
>
>Вот расскажите как в случае с несколькими филиалами настраивать исходящие релеи в
>офисах если половина умников только от МХ принимают почту? - Релеить
>все письма из Владивостока в Москву и потом обратно?Хм. Наблюдаем почту с филиалов супербанка.ру отсутствующих среди МХ-ов его зоны.
В какой-нибудь печальный день ваяем письмецо - ..с сожалением сообщаем, что в нашем супербанке начата процедура банкротства и тп.... Рассылаем с домашнего дсл по любимым лучшим клиентам супербанка (согласно ввв.супербанк.ру\клиенты)и таки уже у половины админов клиентов (умников, уставших бороться с супербанком) почта с фром супербанк.ру принимается откуда угодно - даже с нигерийского диалапа. Поправьте, пожалуйста, если не прав, но думаю последствия будут интересные. И кто виноват?
>А вообще я согласен, фильтровать надо по контенту, а не по месторасположению,
>адресам и прочей фигне.
>
>Вот расскажите как в случае с несколькими филиалами настраивать исходящие релеи в
>офисах если половина умников только от МХ принимают почту? - Релеить
>все письма из Владивостока в Москву и потом обратно?Развести почту филиалов на поддомены... И MX на них расписать соответственно.
Если не хочешь чтобы на филиалы слали почту, постав пару резервных почтовых серверов
и задери приоритет MX филиалов под потолок.
Всё правильно автор делает. Наш почтовый сервер должен принимать соединения либо от своих пользователей, либо от других серверов. Соединения с .dsl. .cable. - это соединения от клиентских машин, а не серверов. А если вы не можете правильно прописать свой сервер в интернете, то пользуйтесь услугами своего провайдера (кстати, он и должен вам помочь с настройкой PTR).
Принимать тысячи писем спама из-за кривых 2-3 серверов глупо. Назвался сервером, будьте добры соблюдать правила игры, которые продиктованы сложившейся ситуацией со спамом.
А кто мешает этим мелким фирмочкам грамотно настроить свои почтовые сервера? Чтобы их МХ не разрешался во всякую лабуду *.dsl.*, *.cable.*? Если сами не могут, пусть попросят кого, или вообще заведут себе ящики в гугле.
>Половина мелких фирм Европы сидит на dsl и cable.Тебе нужны - ты и работай с ними. А обычному человеку они и нафиг не нужны. Тем более с такими именами. Фирма, блин. Поставить сервак они значит умеют, на динамический адрес наверно даже, а на постоянный адрес с правильным резолвом у них значит ума и денег не хватает.
Еще один момент вдогонку. Попробуйте отправить письмо хотя бы на один серьезный завод или комбинат России, если в имени Вашего сервера присутствует cable, dsl и т.п. ;)
А вообще для 50 человек проще у Гугля почту взять
>А вообще для 50 человек проще у Гугля почту взятьНесолидно :)))))
Самый простой способ защиты - делать реверс лукап, когда приходит соединение и указывается адрес, с которого отправляют, сервер соединяется с MX для данного сервера и пробивает наличие мыла, с которого пытаются послать почту, делая это от root@domain. При этом на своем сервере вы разрешаете посылать почту вам с ящиков типа root@domain. По такому принципу на начальном этапе соединения отсеивается около 60% спамеров. А если у вас рассылки, то все нормальные рассылки делаются с обратным адресом, который существует.
Опять же почему просто всю почту не от маркировать на спам и то что спам отдельно в папочку положить...
на заметку, в данном случае можно увеичить виртуальное пространство ядра( как известно оно на 32 разрядных 1 Gb, можно повысить до 2Gb, 3Gb отданы под процес пользователя) что даст преимущество для сетевых протоколов(как известно,
стек находиться в ядре)
С уважением!
>на заметку, в данном случае можно увеичить виртуальное пространство ядра( как известно
>оно на 32 разрядных 1 Gb, можно повысить до 2Gb,
>3Gb отданы под процес пользователя) что даст преимущество для сетевых протоколов(как
>известно,От увеличения _только_ виртуального пространства ядра толку ровно ноль.
И вообще, для почтового сервера не нужно тюнить лишнее, это больше повредит, чем поможет. Дефолтовые настройки (320Мб доступно для буферов ядра) вполне адекватны, и чтобы дойти до их потолка нужна гигантская нагрузка.
Автору, спасибо. У меня работала точно такая же система только без SA, руки не доходили привязать. Привязал, запустилось, работает.
А как постфикс запускается?
или очепятка?/quota
>Для того, чтобы Postfix запускался при загрузке операционной системы, необходимо выполнить >требование команды make install - добавить в файл /etc/rc.conf следующие строки:
>
>sendmail_enable="YES"
>sendmail_flags="-bd"
>sendmail_pidfile="/var/spool/postfix/pid/master.pid"
>sendmail_procname="/usr/local/libexec/postfix/master"
>sendmail_outbound_enable="NO"
>sendmail_submit_enable="NO"
>sendmail_msp_queue_enable="NO"/quota
>А как постфикс запускается?
>или очепятка?Нормально запускается. Он заменяет sendmail, установленный по умолчанию. Я об этом сказал.
>Нормально запускается. Он заменяет sendmail, установленный по умолчанию. Я об этом сказал.
>даже
postfix_enable="YES"
не надо писать в rc.conf?
>
>>Нормально запускается. Он заменяет sendmail, установленный по умолчанию. Я об этом сказал.
>>
>
>даже
>postfix_enable="YES"
>не надо писать в rc.conf?НЕТ!!! Ставить нужно из портов и все будет ок ;)
mail# pkg_info -v postfix-2.4.6,1 | less
....
Install notice:
To enable postfix startup script please add postfix_enable="YES" in
your rc.confIf you not need sendmail anymore, please add in your rc.conf:
sendmail_enable="NO"
sendmail_submit_enable="NO"
sendmail_outbound_enable="NO"
sendmail_msp_queue_enable="NO"
....
Мне не понятно, как у Вас стартует postfix?>>даже
>>postfix_enable="YES"
>>не надо писать в rc.conf?
>
>НЕТ!!! Ставить нужно из портов и все будет ок ;)
> Нормально запускается. Он заменяет sendmail, установленный по умолчанию. Я об этом сказал.postfix из портов давно ставил ?
Сейчас все делается так:
В /etc/rc.conf добавить строки:
sendmail_enable="NO"
sendmail_submit_enable="NO"
sendmail_outbound_enable="NO"
sendmail_msp_queue_enable="NO"
postfix_enable="YES"
>[оверквотинг удален]
>
>Сейчас все делается так:
>
>В /etc/rc.conf добавить строки:
>
>sendmail_enable="NO"
>sendmail_submit_enable="NO"
>sendmail_outbound_enable="NO"
>sendmail_msp_queue_enable="NO"
>postfix_enable="YES"Давно. Я написал - последняя версия порта для FreeBSD 4.10
pkg_info | grep postfix
postfix-2.3.7,1 A secure alternative to widely-used Sendmail
Зачем так?
Можно просто собрать без опций:make -DWITHOUT_OTP=YES -DWITHOUT_NTLM=YES -DWITHOUT_GSSAPI=YES
/qouta
>Все лишние (в смысле не используемые нами) возможности Cyrus-SASL2 нужно отключить:
>cd /usr/local/lib/sasl2
>mkdir deactivated
>mv *anonymous* deactivated
>mv *crammd5* deactivated....
/skip
>[оверквотинг удален]
>
>/qouta
>>Все лишние (в смысле не используемые нами) возможности Cyrus-SASL2 нужно отключить:
>>cd /usr/local/lib/sasl2
>>mkdir deactivated
>>mv *anonymous* deactivated
>>mv *crammd5* deactivated
>
>....
>/skipЯ как дяденька велел в статье + вдруг понадобятся когда-нибудь?
Тем более много места они не занимают...
А в описании сети не ошибка?
Может 192.168.0.0/24 ?>mydestination = $mydomain
>my_networks = 127.0.0.1/8, 192.168.0.1/24
>А в описании сети не ошибка?
>Может 192.168.0.0/24 ?
>
>>mydestination = $mydomain
>>my_networks = 127.0.0.1/8, 192.168.0.1/24Именно 192.168.0.0/24.
Ошибка! Спасибо. Исправил.
да и к этому
127.0.0.0/8 то же
>да и к этому
>127.0.0.0/8 то жеИ это исправил
Даже 127.23.4.2/8 - не ошибка, равно как и 192.168.1.253/24. Это, если подумать над тем, что означает число, стоящее после слэша.PS: Кто вам сказал, что "адрес сети == первый адрес в диапазоне"?
>Даже 127.23.4.2/8 - не ошибка, равно как и 192.168.1.253/24. Это, если подумать
>над тем, что означает число, стоящее после слэша.
>
>PS: Кто вам сказал, что "адрес сети == первый адрес в диапазоне"?
>Да просто, чтобы все культурно :)
Потому что 192.168.0.0/24 это подсеть
192.168.0.1/24 это конкретный IP в этой подсети
192.168.0.1/32 это просто IP без привязки к какой-бы то ни было сети
>PS: Кто вам сказал, что "адрес сети == первый адрес в диапазоне"?если Вы напишете 192.168.0.1/8
то ваша подсеть определится как 192.0.0.0/8
А это не всегда то, что вы хотите получить. К примеру, маршрутизация работать не будет
Если я напишу даже 192.168.200.4/8, то, "/8" как раз и означает маску, определяющую диапазон 192.0.0.0-192.255.255.255. Таким образом, я получу именно то, что написал (а в моём случае - и то, что хотел, ибо прекрасно понимаю, что означает то, что написал). Из _любого_ адреса в диапазоне и битовой маски я всегда могу узнать диапазон. Таким образом, адрес подсети я могу задать _любым_ адресом из её диапазона и её маской.PS. Определение адреса подсети есть тут: http://www.island-formoza.ru/tech_bred/dictionary/s.htm#subadr
PPS. Из этого определения не следует, что адрес подсети - это первый адрес из диапазона, описываемого ею.
ну, работать то это может и будет, т.е. идентифицировать сеть любым адресом и маской вы сможетено по авторизованным курсам от Microsoft и Cisco есть соглашение, говорящее, что первый адрес в диапазоне - это адрес подсети, последний - это броадкаст, а второй - это шлюз (хотя последнее и не обязательно)
В подсети может случиться такое: все до единого адреса из диапазона могут быть адресами хостов. Пример: диалап-сеть. С точки зрения внешних хостов это подсеть. Однако провайдер выдеяет адреса в этой подсети, начиная с первого и до последнего. И провайдер прав. И, что самое ужасное - это работает. А обозначить такую подсеть я могу, к примеру, выданным мне адресом и маской (если мне известна маска).А то, о чём Вы говорите - это "часто применяемая практика", не противоречащая RFC, но и не вносящая в RFC никаких корректив. Частный случай, в общем.
неудачный пример
грамотное решение для модемного пула - разбиение сети, допустим, класса C, на 64 куска, где
1 адрес подсети
2 адрес конца провайдера или же клиента
3 соответственно адрес конца клиента или же провайдера
4 броадкаст
хотя реализовывать можно по разному. Насколько я помню, если тому же ifconfig указать не все параметры, он вычислит недостающие по описанному соглашению, а если посмотреть, допустим, netstat -nr, то сети тоже будут именоваться по описанному соглашению
не в целом я согласен - работать всяко будет
LDAP нужен!!! - оч. мало толковых статей по нему для новичков.
У меня скромная фирма в отличии от высказавшихся здесь профессионалов - 400 юзеров 21 филиал, но бегать и объяснять каждому что вот тут он не ту букву в адресе написал вот и не идет письмо - увольте`c! Решения же с постоянно редактируемым файлом адресной книги выложенной на каком то общем ресурсе посчитал слишком сложным(как это сделать в Thunderbirdе?), а так птичка оч. хорошо с LDAPом работает, а остальные MUA-проги либо $, либо через Ж! Пользователь набирает фамилию, должность, отдел(что вспомнит :) ) и ему тут же выдаются варианты - чудно!
Сделал свой инсталлятор тхундера где прописал адресную книгу LDAP по умолчанию - успешно софт ставят в филиалах даже бухгалтеры(извините) :) ! Доработал молотком Yala и заводить-удалять пользователей, включать копию-отлуп по причине отпуска и т.д. сейчас может даже ОУП!Максимальный размер письма у меня 40Mb (вот пришлось вот ибо оч. часто такие бывают!) и Clam действительно сжирает память ойёйёй!
>Даже 127.23.4.2/8 - не ошибка, равно как и 192.168.1.253/24. Это, если подумать
>над тем, что означает число, стоящее после слэша.
>
>PS: Кто вам сказал, что "адрес сети == первый адрес в диапазоне"?
>А разве нет ? :)
Вот такие вот "резальщики" на mail.ru - где они увидели dial-up в моем PTR?
static-64-83-xx-yy.t1.cavtel.net? (реальные цифры заменены на xx и yy)
>Вот такие вот "резальщики" на mail.ru - где они увидели dial-up в
>моем PTR?
>static-64-83-xx-yy.t1.cavtel.net? (реальные цифры заменены на xx и yy)Они увидели static
>>Вот такие вот "резальщики" на mail.ru - где они увидели dial-up в
>>моем PTR?
>>static-64-83-xx-yy.t1.cavtel.net? (реальные цифры заменены на xx и yy)
>
>Они увидели staticк сожалению, они увидели "цифра-цифра". у меня была привычка обзывать "сервер-номер-номер.домен.тлд". все было хорошо, пока не понадобилось с одного почту порассылать... уродыбл... со своими регэкспами на цифры. причем ладно бы майл.ру, в городе вокруг клиенты - через одного такие вот борцуны со спамом.
>к сожалению, они увидели "цифра-цифра".static-цифра-цифра, хотя может и цифра-цифра.
>у меня была привычка обзывать "сервер-номер-номер.домен.тлд".Не все привычки хороши. Почему не серверномер.домен.тлд, например?
>Не все привычки хороши. Почему не серверномер.домен.тлд, например?потому что есть разные площадки, разные шкафы и т.д. андерстенд?
>потому что есть разные площадки, разные шкафы и т.д. андерстенд?Конечно. И, естественно, лучше заложить местонахождение сервера в его имя. Только в том формате, который не доставляет ни кому проблем...
Ваш PTR сгенерирован хостмастером, вроде того:
$GENERATE 1-255 $.x.y.z.in-addr.arpa. PTR static-$-x-y-z.domain.
а не прописан его заботливыми ручками.
Вот по этому признаку сгенерированности вы и получаете отлуп.
а чем грейлисты то плохи, досточтимые доны?
>а чем грейлисты то плохи, досточтимые доны?Приемлеммо настроенные грейлисты (с приемлеммыми таймаутами) уже пропускают относительно много спама. К сожалению спамеры научились их обходить :-(
Принимать от dsl, не примнимать от dsl. Вот где серым спискам место: принимать, но не сразу.
Почему он не прикрутил вебморду?и вообще какого там стоит АМАВИС?ведь это перловка грузящая.что сам немог кламав примотать?или хотя б clamsmtpd.вообщем бред это все.ИМХО.
>Почему он не прикрутил вебморду?и вообще какого там стоит АМАВИС?ведь это перловка
>грузящая.что сам немог кламав примотать?или хотя б clamsmtpd.вообщем бред это все.ИМХО.
>Насчет вебморды - задача такая не ставилась. Перловка стоит для связи с ClamAV и SpamAssassin. Она может еще много чего. Например, хочу со временем Касперского прикрутить к почтовому серверу...
Чтобы там не гундели, статья хорошая. Спасибо.Есть пара дополнений (не поправок), исходя из опыта:
reject_non_fqdn_hostname - не использовать до permit_mynetworks (для MS Outlook)
reject_invalid_hostname - не использовать до permit_mynetworks (проблемы с windows 95)В статье permit_mynetworks исп-ся первой строкой, поэтому то что я написал будет актуально, если кто-то захочет "построить" внутренных юзеров и задвинет permit_mynetworks куда пониже.
Еще вспомнил.
Для правилheader_checks
mime_header_checksпосле REJECT можно указать, например HC_RULE1, чтобы из логов потом можно было понять какое правило сработало. Типа, например:
/^Content-(Type|Disposition):.*name[[:space:]]*=.*\.com/ REJECT HC_RULE_COM
/^Content-(Type|Disposition):.*name[[:space:]]*=.*\.exe/ REJECT HC_RULE_EXE
>[оверквотинг удален]
>Для правил
>
>header_checks
>mime_header_checks
>
>после REJECT можно указать, например HC_RULE1, чтобы из логов потом можно было
>понять какое правило сработало. Типа, например:
>
>/^Content-(Type|Disposition):.*name[[:space:]]*=.*\.com/ REJECT HC_RULE_COM
>/^Content-(Type|Disposition):.*name[[:space:]]*=.*\.exe/ REJECT HC_RULE_EXEМне обычно говорят, что почтовик выдал "... сontent rejected". А что я режу, помню. Обычно это экзешники и любимые песни в mp3/wma :) Тем не менее спасибо за информацию. Обязательно обновлю списки правил.
Вот же блин народ, про "потребности бизнеса" думает. А что на улице творится или с другими - глубоко всё-равно. Вот потому и воняет на улице, потому что все думают про "свой" бизнес и ложили с прибором на других.А админа уволили - и хорошо. Зачем хорошему человеку работать в банке, тем более крупном? Сейчас более менее мальски уважающий себя человек в крупном банке работать не будет.
все правильно вы говорите, я тоже прихожу к такому же выводу, что пора делать ноги. человек, про которого я упомянул, понял это раньше, посмотрел на реакцию руководства на свои усилия - и написал по собственному. Кстати это заблуждение - что большие конторы типа банков платят шальные деньги. Уж они то умеют считать деньги и выжимать из кадровых ресурсов результат, мне даже попадались соискатели, которые отказывались от собеседования, узнав, что это банкно к теме организации антиспам решения эта история имеет косвенное отношение. Ясно, что универсального решения быть не может, но стремиться к универсализации надо. Потому, например, что с среднем турагенстве сотрудников так на 10, работающих с инетом, держать высокооплачиваемого UNIX админа - роскошь, а вот коммуникационный сервер на UNIX - самое оно иметь. Т.к. ставящему такие сервера обычно не очень интересно на потоке своих клиентов заниматься рутиной, антиспам решение должно резать максимум того, что можно порезать автоматически, при этом не резать то, что может быть нормальным письмом
а в таких турагенствах должны стоять UNIX сервера, потому что ни одна встроенная хардварь вам не даст того же функционала в плане разграничения прав доступа, установки лимитов и контроля за сотрудниками - а клиенту в лице владельца это интересно. Или вы предпочитаете, чтобы ставили пиратскую винду с какими нибудь приблудами ... ? дык с 2008 года с этим вообще плохо будет - читайте законы
При наличии своего админа реакция на непришедшее письмо - созвониться с админом отправителя, ткнуть его, что у него не настроен обратный резолвинг, постараться дожать тему. Если желания с той стороны нет что то делать, тосказать своим сотрудникам - эти редиски не могут почту настроить. Ваши сотрудники созваниваются и принимают почту, отправленную с какого нить mail.ru корреспондентом и все счастливы, за исключением того, что когда это становится нормой, то на вас, как на админа льется негатив ваших же сотрудников - они знают что за IT отвечаете вы, и что IT создает им проблемы
но этоне есть норма, можно свести поток спама к разумным величинам, и дальше с этими разумными величинами работать руками. т.к. структура спама меняется, мне такая схема представляется единственно разумной при организации своими силами
еще раз говорю - попробуйте, это работает
- гретинг пауза - если прошло, то
- черный список по IP - если прошло, то
- черный список по доменам (сразу включить всякую срань типа yahoo.com - если будет надо, потом отдельный адрес разоешите) - если прошло, то
- серые списки (здесь нужно играться с таймаутами и автоблокировкой, для недружелюбных почтовых систем типа yandex, mail, rambler - серые списки не применять) - если прошло, то
- проверка существования отправителя (точно знаю, что реализуется в Sendmail и Exim, слышал, что реализовано в Postfix) - если прошло, то
- антивирус или несколько в стэк - если прошло, то
- контент анализ (и не раньше, т.к. вам нужно сначала срубить основную массу) - если прошло, то
- отдать пользователюникакого махания шашкой по поводу забанить (.dsl и т.п.) здесь нет. Даже такой схемой (у меня в решениях она более наворочана) основной поток спама режется на ура, сводя его к величине, доступной нечастой ручной обработке
- еще хочу добавить, что в такой схеме тело письма для большей части спама не принимается в принципе - что здорово экономит вам траффик
- тело письма принимается только если дошло до фазы антивирусной проверки
- но есть и обратная сторона - при внедрении предлагаемой схемы количество ретрейнов (попыток подключиться и отправить письмо) увеличивается в 2-3 раза. К этому надо быть готовым. Но, т.к. тело письма при таких попытках не принимается, можно говорить об экономии траффика
- схему эту я применяю уже лет 5 уже лет, за исключением техники серых списков, которые открыл для себя года 2 назад
2zerot:>еще раз говорю - попробуйте, это работает
>- гретинг пауза - если прошло, то
>- черный список по IP - если прошло, то
>- черный список по доменам (сразу включить всякую срань типа yahoo.comА почему сначала пауза, а потом черные списки?
Если поставить черные списки сразу, то время обработки сокращается на время паузы.
Плюс экономия трафика на заголовках )
А если идет алгоритм "не выдержал паузу -> послан в черный список; потом смотрится в черный список - о, а ты там _уже_ есть, дисконнект".
То можно наверное заменить реакцию "не выдержал паузу -> послан в черный список" на "не выдержал паузу -> послан в черный список, дисконнект".
дело в том, что пауза в черном списке реализована средствами Exim и, насколько я понимаю, стоит раньше ACL с черными списками
но по сути вы правы. У меня, например, особо злостные спамеры время от времени уводятся в черный список сетевого фильтра, после чего их обращения ваще не доходят до почтовика
>У меня, например, особо злостные спамеры время от времени уводятся в черный список
>сетевого фильтра, после чего их обращения ваще не доходят до почтовикаНу дык! Уже давно (и успешно!) первый этап фильтрации - это отбой на фаерволе заблеклистенных IP. zerot - весьма рекомендую, у меня на почте BSD - мне простще - посмотри на spamd, и pfsync.
я посмотрю
- но что то мне подсказывает, что spamd и pfsync - это аналог spamassassin и формирователь черных списков к нему
- у меня есть cвои авторские модули, которые формируют черные списки IP по анализу логов почтовика и логов работы серых списков. А куда их прикручивать - к почтовику или сетевому фильтру - это дело совсем несложной техники
- анализ и формирование блэклиста по контент фильтру - имеет право на жизнь, но контент фильтр может ошибаться,он - последняя линия обороны, по возможности - только предупреждающая пользователя, но не рубящая письма
в любом случае спасибо
дело в том, что пауза реализована средствами Exim и, насколько я понимаю, стоит раньше ACL (в терминологии Exim) с черными списками
но по сути вы правы. У меня, например, особо злостные спамеры время от времени уводятся в черный список сетевого фильтра, после чего их обращения ваще не доходят до почтовика1
еще
стал тут разбираться - есть в Exim опция, позволяющая реализовать черные списки по IP до ACL, можно тогда файерволом не заморачиваться
Друзья!
Чёрный список фаерволом хорошо. Но увы, тогда в логах вы не увидите какое письмо хотело к вам прийти.
>Друзья!
>Чёрный список фаерволом хорошо. Но увы, тогда в логах вы не увидите
>какое письмо хотело к вам прийти.Конечно. В чёрные списки частенько попадают огромные бесплатные ресурсы, с которых периодически идет нужная корреспонденция.
тут есть тонкость
- такие солидные ресурсы. как yandex.ru и т.п. сами ведут борьбу со спамом, и зачастую (в силу своей архитектуры) не заточены под работу с серыми списками, но замечательно отрабатывают по проверке существования отправителя. У таких ресурсов в силу ряда причин спамерам не разгуляться
- эти ресурсы обычно не попадают в черные списки, а с них идет основная масса писем, приходящаяся на бесплатные ресурсы
- с другой стороны мелкие публичные сервера, не уделяющие должного антиспам профилактике, могут и должны попадать в черные списки, если их используют спамеры. И задача администратора конторы, принимающей письма с этих ресурсов - разрешить отправку с отдельных адресов, запрошенных сотрудниками. Публичный же сервис в целом должен оставаться в черном списке (но по имени домена отправителя, а не IP), т.к. это справедливо для предоставляющих некачественный сервис
- еще раз. Сначала сводим к минимуму поток спама, потом с остальным разбираемся руками. Альтернативы как то не видно, а процесс борьбы со спамом - это процесс постоянный, его нельзя автоматизировать полностью, как нельзя обеспечить 100% фильтрацию спама - можно только оптимизировать алгоритмы борьбы под текущую структуру спама
Кто мне может сказать: почему при использовании postfixadmin если создать домен вида mail.second.local то к нему нельзя будет содавать почтовые ящики, а если создать mail.second.ru то все нормально. Что за проблема у postfixadmin с доменом local???
помогите плиз, бьюсь уже пару недель головой об стенку )))
FreeBsd6.2, pflogsumm-1.1.1,11.Не работает скрипт account.monthly. при запуске ругается (tar: unrecognized option `--remove-files'.
2. А как можно сделать вывод всего отловленого спама в один файл. Так гораздо легче искать отправителя и получателя за большой отрезок времени.
3. И еще может кто подскажет , как это все подстроить для приема почты одновременно с двух доменов. Сейчас имеются пользователи : vova@mydomen.ru. Папочки пользователей находятся в /home. Еще имеется старый виндовый сервер , где пользователь называется : vova@mydomen.XXX.su. Как это все обединить ?Спасибо!
Всех с новым годом.
>FreeBsd6.2, pflogsumm-1.1.1,1
>1.Не работает скрипт account.monthly. при запуске ругается (tar: unrecognized option `--remove-files'.для начала man tar, может в новых версиях тар этот ключ выглядит по-другому
>2. А как можно сделать вывод всего отловленого спама в один файл. Так гораздо легче искать отправителя и получателя за большой отрезок времени.man aliases
>3. И еще может кто подскажет , как это все подстроить для приема почты одновременно с двух доменов. Сейчас имеются пользователи : vova@mydomen.ru. Папочки пользователей находятся в /home. Еще имеется старый виндовый сервер, где пользователь называется : vova@mydomen.XXX.su. Как это все обединить ?man fetchmail
>Спасибо! >Всех с новым годом.
Спасибо! С Новым годом :)
Сделал всё по статье. Письма принимает, отсылает, но с определённого почтового сервера (www.i.ua) ответом возвращается такое сообщение---------------------------------------------------------------------------
UNDELIVERABLE MAIL
Your message to the following recipients cannot be delivered:
<info@xxx.xxx>:
xx.xx.xxx [xx.xx.xx.xx]:
>>> DATA<<< 546 Routing loop detected -- too many Received: headers.
---------------------------------------------------------------------------
не пинайте сразу и наставте на правильный путь. Спасибо
>[оверквотинг удален]
>
><info@xxx.xxx>:
>xx.xx.xxx [xx.xx.xx.xx]:
>>>> DATA
>
><<< 546 Routing loop detected -- too many Received: headers.
>
>---------------------------------------------------------------------------
>
>не пинайте сразу и наставте на правильный путь. СпасибоИзвините, но Ваш вопрос совершенно неадекватен! На свете существует масса коряво настроенных почтовых серверов. Сообщите админу этого сервера про ошибку. Если интересно, из-за чего может возникать такая ошибка, пользуйтесь переводчиком, гуглом и т.д. и т.п., а не захламляйте форум!
смутило:
"Естественно, host.domain.com и domain.com нужно заменить на FQDN сервера и домена, а список mynetworks откорректировать в соответствии с конфигурацией сети."....
FQDN должен точкой заканчиваться..... http://ru.wikipedia.org/wiki/FQDN
>смутило:
>"Естественно, host.domain.com и domain.com нужно заменить на FQDN сервера и домена, а
>список mynetworks откорректировать в соответствии с конфигурацией сети."....
>FQDN должен точкой заканчиваться..... http://ru.wikipedia.org/wiki/FQDN1. Не было времени и желания писать ПОЛНОЕ ДОМЕННОЕ ИМЯ СЕРВЕРА и ПОЛНОЕ ИМЯ ДОМЕНА.
2. Многие поняли, что имелось ввиду. Кажется '.' на конце ставятся только в hosts и описаниях зон DNS (я вроде больше никогда нигде не ставил).
3. Это не официальный документ. Просто запись на память (чтобы в следующий раз все быстренько повторить) и попытка помочь начинающим (судя по отзывам, успешная).