OpenForum RSS: Postfix, хочется странного https://www.opennet.ru/openforum/vsluhforumID1/87235.html Есть почтовый сервер на базе Postfix. Настроена аутентификация пользователей через SASL. Вся проблема в том, что у пользователей регулярно воруют логины/пароли и рассылают через сервак спам. Я уже задолбался вытаскивать его из блэклистов. Стоит такая задача: нужно разрешить пользователям аутентифицироваться только из определённых сетей (а не откуда они хотят) с возможностью прописать исключения.<br> Postfix, хочется странного (serg37) https://www.opennet.ru/openforum/vsluhforumID1/87235.html#12 Mon, 08 Oct 2018 01:35:14 GMT &gt; Блин! Это бред какой-то! Я прописал в main.cf следующее: <br>&gt; smtpd_discard_ehlo_keyword_address_maps = hash:/etc/postfix/discard_ehlo <br>&gt; smtpd_sasl_exceptions_networks = !10.0.0.0/8, !127.0.0.1, static:all <br>&gt; [root@mail postfix]# cat /etc/postfix/discard_ehlo <br>&gt; !!10.0.0.0/8 AUTH <br>&gt; !127.0.0.1 AUTH <br>&gt; Цепляюсь телнетом с другого IP, делаю EHLO - слова AUTH нет <br>&gt; Но тем не менее спаммеры всё равно каким-то образом продолжают соединяться с <br>&gt; внешних адресов, аутентифицироваться (КАК?!!!) и рассылают тонны спама <br>&gt; postfix версии 2.7.1 <br><br>этот параметр: smtpd_sasl_exceptions_networks всего лишь скрывает в AUTH в протоколе, но если попробовать<br>авторизоваться (AUTH LOIGN) запрос пройдет. возможно поможет restriction_class<br> Postfix, хочется странного (Cyclone) https://www.opennet.ru/openforum/vsluhforumID1/87235.html#11 Thu, 22 Jul 2010 18:43:29 GMT Блин! Это бред какой-то! Я прописал в main.cf следующее:<br><br>smtpd_discard_ehlo_keyword_address_maps = hash:/etc/postfix/discard_ehlo<br>smtpd_sasl_exceptions_networks = !10.0.0.0/8, !127.0.0.1, static:all<br><br>[root@mail postfix]# cat /etc/postfix/discard_ehlo<br>!!10.0.0.0/8 AUTH<br>!127.0.0.1 AUTH<br><br>Цепляюсь телнетом с другого IP, делаю EHLO - слова AUTH нет<br><br>Но тем не менее спаммеры всё равно каким-то образом продолжают соединяться с внешних адресов, аутентифицироваться (КАК?!!!) и рассылают тонны спама<br><br>postfix версии 2.7.1<br> Postfix, хочется странного (Cyclone) https://www.opennet.ru/openforum/vsluhforumID1/87235.html#10 Thu, 22 Jul 2010 09:17:19 GMT &gt;smtpd_discard_ehlo_keyword_address_maps (default: empty) <br><br>Прописал я эту опцию. Тем не менее снаружи как-то всё равно аутентифицируются и засерают почтовик.<br><br><br> Postfix, хочется странного (Amator) https://www.opennet.ru/openforum/vsluhforumID1/87235.html#9 Wed, 11 Nov 2009 13:43:14 GMT &gt;&gt;можно просто через smtpd_discard_ehlo_keyword_address_maps отключить AUTH для всех ip кто не в <br>&gt;&gt;списке. <br>&gt;<br>&gt;smtp_discard_ehlo_keyword_address_maps (default: empty) <br><br>будьте повнимательнее - не smtp, а smtpd !<br><br>smtpd_discard_ehlo_keyword_address_maps (default: empty)<br> Postfix, хочется странного (ia) https://www.opennet.ru/openforum/vsluhforumID1/87235.html#8 Wed, 11 Nov 2009 12:31:59 GMT &gt;Ведь судя из описания, в файле должны быть указаны адреса для <br>&gt;которых надо игнорировать AUTH а не адреса для которых надо его <br>&gt;разрешить <br><br>Идея была такая:<br>AUTH включен всегда<br>через эту опцию задается список который перекроет весь IPv4 кроме указанных вами подсетей/адресов<br>т.е както-так<br>!192.168.0/24 AUTH<br>!1.2.3.4/32 AUTH<br> Postfix, хочется странного (ALex_hha) https://www.opennet.ru/openforum/vsluhforumID1/87235.html#7 Wed, 11 Nov 2009 12:21:21 GMT &gt;&gt;Я уже сказал, как правильно. Админ-ные меры, вплоть до увольнения. <br>&gt;<br>&gt;Ещё раз повторю: НИКАКИХ АДМИНИСТРАТИВНЫХ МЕР ПРИНЯТЬ НЕВОЗМОЖНО. Прошу к этому отнестись <br>&gt;как к аксиоме. Мне интересна техническая сторона вопроса, а не рассуждения <br>&gt;о том, как можно навазелинить пользователей. <br><br>Ну тогда одевайте штаны через голову :)<br> Postfix, хочется странного (Cyclone) https://www.opennet.ru/openforum/vsluhforumID1/87235.html#6 Wed, 11 Nov 2009 11:59:23 GMT &gt;можно просто через smtpd_discard_ehlo_keyword_address_maps отключить AUTH для всех ip кто не в <br>&gt;списке. <br><br>smtp_discard_ehlo_keyword_address_maps (default: empty)<br><br> Lookup tables, indexed by the remote SMTP server address, with case insensitive lists of EHLO keywords (pipelining, starttls, auth, etc.) that the Postfix SMTP client will ignore in the EHLO response from a remote SMTP server. See smtp_discard_ehlo_keywords for details. The table is not indexed by hostname for consistency with smtpd_discard_ehlo_keyword_address_maps.<br><br>Что-то из описания этого параметра не совсем ясно каким образом это реализовать. Вернее описание самой опции понятно, на как должен выглядеть сам файл? Ведь судя из описания, в файле должны быть указаны адреса для которых надо игнорировать AUTH а не адреса для которых надо его разрешить<br> Postfix, хочется странного (ia) https://www.opennet.ru/openforum/vsluhforumID1/87235.html#5 Wed, 11 Nov 2009 11:09:46 GMT можно просто через smtpd_discard_ehlo_keyword_address_maps отключить AUTH для всех ip кто не в списке.<br><br> Postfix, хочется странного (Cyclone) https://www.opennet.ru/openforum/vsluhforumID1/87235.html#4 Wed, 11 Nov 2009 10:53:03 GMT &gt;Я уже сказал, как правильно. Админ-ные меры, вплоть до увольнения. <br><br>Ещё раз повторю: НИКАКИХ АДМИНИСТРАТИВНЫХ МЕР ПРИНЯТЬ НЕВОЗМОЖНО. Прошу к этому отнестись как к аксиоме. Мне интересна техническая сторона вопроса, а не рассуждения о том, как можно навазелинить пользователей.<br><br>&gt;Если же все таки, надо ограничивать ip, то смотри в сторону http://www.postfix.org/RESTRICTION_CLASS_README.html <br><br>Спасибо, гляну, но ИМХО, это не совсем то...<br>