Printable View
To je mi jasny, ze mas mbox, kdyz je to uw-imap ... :-)Citace:
Původně odeslal Airwolf
a zadny locking nepotrebujes ... to je nesmysl ...
Vyhod to a napis ten main.cf .... bude tam jeste nekde nejaka chybka ...
A propo ! z uw-imap pouzivam VZDY jen imapd demon, ale na pop3 pouzivam popa3d .... nebo courier ...
Tak Postfix sa osvedcuje - ako som ocakaval, pomaly mnozstvo toho svinstva klesa.
To bude spíš náhodný pokles :)
A co greylisting, už jsi zkoušel?
Citace:
Původně odeslal Marty
Greylisting nebrat ...
pouzivam ho doma (zkousel jsem vsechny tri hlavni) ale proste na firme, ktera je zavisla na mailech - tedy potrebuji mail jeste drive, nez byl odeslany to neni ...
Jinak gut, ale nejvice se mi osvedcuje helo restrictions a snizovani levelu u spamassasinu ....
A co ty rejected zpravy ??? Ty je rovnou zahazujes, proto zadny spam ... :-)Citace:
Původně odeslal Rainbow
Sakra. ....
REX = SVACA !
Prihlasil jsem se na kolegu ... :-)
Muze to nekdo opravit ?
Dik
Greylisting som neskusal a asi ani nebudem.
Myslel som pokles tych rejected. Spam je nula preto, ze tam nie je Spamassassin.
Zmenit ownera postu asi len tak nepojde...
neva.
Jaktoze nemas spamassassin ?
Jak resis spam ?
s rejectovanim na zaklade blacklistu a par pravidel (reject_invalid_hostname, reject_non_fqdn_hostname, reject_unknown_sender_domain, ...). hned ubude spamu - mrkni na ten muj graf, mam tam spamu jednotky denne, to je to co proslo tim filtrem na zaklade blacklistu a pravidel.Citace:
Původně odeslal svaca
takze spamassassin prakticky neni potreba.
jj to mam taky + helo restraction, ale takovy stesti nemam ..... :-(Citace:
Původně odeslal Marty
Myslim tedy u zakazniku, ja jsem celkem v pohode ..
Pouze blacklist nepouzivam, da se nekde sehnat nejaka poradna databaze ???
Diky.
kolik cca lidskych postovnich uctu ten tvujserver obsluhuje ? ono taky zalezi, kde vsude jsou ty maily uvedene...Citace:
Původně odeslal Marty
priklad muj primar...
posledni tyden cca 140k odmitnuto, cca 4-6k spamu...pouze nekolik desitek mail uctu...
usetreni prace userum - spamassassin bych nasadil vzdy...
ad blacklisty: testuji zrovna na sekundaru blackhole.mail-abuse.org, xbl.spamhaus.org, sbl.spamhaus.org
btw: kdyby nekdo uvazoval o sekundarnim MX s 4(!!) ucty (zbytek se preposila)...http://cacti.impuls.cz/mailgraph.cgi
Priamo na tom serveri ma schranku len par ludi, takze ti nejaky ten spam preziju :) Vacsina mailov su len aliasy a spam sa zistuje az na cielovom serveri.
ja mam cca 50-60 schranek, tam kde je to fakt maso ...Citace:
Původně odeslal Rainbow
A to je nemocnice:
http://mail.pnsp.cz/cgi-bin/mailgraph.cgi
tady ten je pouze prichozi posta pro vydavatelstvi, asi tak 50 mailboxu. odchozi posta jde jinudy.
Ja ho testim doma - postgrey, a aktualne to vypada zhruba tak, ze urcite 50-70%% spamu odstreli rovnou postfix (mam maximalne striktni nastaveni na RFC + check domeny a reverzu) a na greylistu zdechne dalsich 15 - 20%.Citace:
Původně odeslal Rainbow
Do klienta mi dorazi semo tamo nakej kousek oznacenej nasledne za spam.
Z nejakyho me zatim utajenyho duvodu se mi nepovedlo rozchodit amavis (Gentoo) abych moh odfiltrovat ten zbytek.
BTW: celkem mi vyhovuje ze postfixem takhle odfitruju i cast spamu stahovanyho pomoci fetchmailu.
Doma to mozes spravit, lenze vo firmach pouzivaju ludia nielen shity typu Outlook ale aj vselijake prapodivne a zle nakonfigurovane SMTP servery...
Citace:
Původně odeslal Rainbow
Tak tak, a pokud se server používá pro přímé odesílání pošty z lokálu jako SMTP, tak nemůžeš používat podmínku požadovat FQDN, protože to dost často v lokální síti ani nemáš.. Teda já nikdy kompům v lokálu neřešil reverzy a podobný věci. Vy jo?
To JEZEVEC:
1. a co zpozdeni + prave spatne nastaveny nastaveni SMTP ??? Taky jsem mel takovy restrikce, ale kdyz pak neprijdou dulezite mejly je to problem ...
A nemam pored cas ladit whitelisty a blacklisty ...
2. Amavis - muzu poradit ... napis SZ
Domenu sendera (cast za @ v adrese) mozes kontrolovat - ci je to FQDN a tiez ci existuje. Dalej sa mi celkom osvedcili dva rbl blacklisty - sbl-xbl.spamhaus.org a bl.spamcop.net.
Vyborna vec proti spamu je "reject_unknown_client_hostname", lenze hrozne vela normanych SMTP serverov je zle nakonfigurovanych a odmieta to potom od nich postu. Posfix 2.3 a novsi ma "reject_unknown_reverse_client_hostname" - to by sa asi dalo pouzit.Kód:smtpd_recipient_restrictions =
permit_mynetworks,
permit_sasl_authenticated,
reject_unauth_destination,
reject_rbl_client sbl-xbl.spamhaus.org,
reject_rbl_client bl.spamcop.net,
reject_rbl_client relays.ordb.org,
permit
smtpd_sender_restrictions =
reject_non_fqdn_sender,
reject_unknown_sender_domain,
permit
Normalne sa to pouziva takto:
permit_mynetworks zabezpeci, ze maily z lokalnej siete pojdu (inak by ludia neboli velmi nadseni ;D )Kód:smtpd_client_restrictions =
permit_mynetworks,
reject_unknown_client,
permit
No fuj ;), vsechny kompy v moji siti maj samo komplet naconfeny DNS vcetne reverzu a to jak na privatni IPv4(to je samo videt jen ve vnitrni siti, zvenku to videt neni) tak na produkcni IPv6. Nehlede na to, ze lokalni klienti tak jako tak padnou do permit_mynetworks.Citace:
Původně odeslal Marty
BTW: emaily od tebe pozdrzel postgrey o 316s - coz je neco pres 5 minut. To zalezi ciste na nastaveni odesilajiciho SMTP jak rychle se pokusi o spojeni znovu. Pokud se nepokusi => asi neni az zajem email dorucit => asi neni o co stat.
2svaca: nespravne naconfeny MTA neresim, IMO to svedci o neschopnosti admina (99% MTA je defaultne OK pokud se v tom nikdo nerejpe + DNS(A/AAAA + reverz + MX) povazuju za samozrejmost) potazmo o neschopnosti firmy. A vzhledem k tomu s kym komunikuju mi to zaroven prijde jako dobrej filtr na to, od koho pripadne neco koupim.
ad permit_mynetworks - máš pravdu. s DNSkami lokulně nevím. asi se teda budu stydětCitace:
Původně odeslal Jezevec
ad maily ode mě - ten server nemám ve správě, nevím ani co se na něm děje, ale asi je ok. jinak by ti to nedorazilo :)
ad greylisting obecně - u klientů je to většinou fakt blbý. jeden náš klient je vydavatelství, kde se redaktoři vztekaj když jim nedorazí maily třeba od čtenářů - tam pak nemůžeš čekat nějaký dobře konfený servery... takže používáme blacklisty a přidáváme na whitelisty servery freemailu atp.
o nejakem automatickem lokalnim blacklistu v zavislosti rekneme na poctu chybne odeslanych mailu nevite ? proti generovanym odesilatelum to je nepouzitelne, ale proti stejnym...to pouzitelne je...
btw Rainbow: neni lepsi mit ty blacklisty v smtpd_sender_restrictions ?
btw2 Rainbow: SASL ti bezi na jakem systemu ? momentalne se to snazim rozjet na debianu, TLS a SASL by tam bezet melo, ale ...jeste nejede.
Mno on ten greylist je hlavne o obecnym povedomi. Je to stejny jako s webem, nevalidni stranky se taky vetsinou "nejak" zobrazej => spousta lidi na validitu doslova sere (a casto i "profici").
Co me dovede vazne zvednou je kuprikladu email bez subj. To mam vzdycky chut dotycnymu odepsat neco ve smyslu, at se nauci nejdriv ten nesmirne slozity nastroj zvany mail pouzivat a do ty doby at me neotravuje(bohuzel ne vzdy si to muzu dovolit :( ). Nemluve o tom ze takovej mail z vysokou pravdepodobnosti skonci tak jako tak v /dev/null.
Co se DNS tejce, ripe a spol by IMO mel bejt daleko agresivnejsi a pokud je aktivnich vic nez N% z pridelenyho rozsahu IP a nemaj DNS/reverz, mel by rozsah dotycnymu proste odebrat.
Chapu to dobre ze chces aby se posilaly do /dev/null maily od pepazdepa@jzd.cz pokud ti od nej prijde trebas 5 mailu na neexistujici ucet ? Tohle urcite existuje, a slo by to vyuzit i proti serveru ze kteryho ti prijde vic mailu, ale na konkretni SW te neodkazu, zkus hledat, v nejhorsim to pujde napsat jako script (nejspis perl).Citace:
Původně odeslal Airwolf
Takovy neohrabany reseni = cron + sledovani logu + uprava blacklistu
Ked je to v recipient, tak vidim komu by ten mail dosiel. Niekedy sa to moze hodit. Nie je to moj napad, niekde som to cital :)Citace:
Původně odeslal Airwolf
To SASL je z Gentoo - tam to islo celkom lahko, samozrejme s TLS. V Debiane je stary Postfix, ktory nema este integrovanu podporu SASL a potom nejaky patchovany, ktory som radsej neskusal.Citace:
btw2 Rainbow: SASL ti bezi na jakem systemu ? momentalne se to snazim rozjet na debianu, TLS a SASL by tam bezet melo, ale ...jeste nejede.
Ja jsem dnes stastne rozjel autorizaci na postfixu 2.1.5-9 pod debianem sarge (kernel 2.4.29-bf2.4 SMP pro uplnost ;D) s postfix-tls 2.1.5-9 se sasl2 2.1.19-1.5sarge. Sice zatim jen na sasldb2 bez TLS a na plain hesla only, ale taky dobry.
nemate nekdo nejaky pekny howto nebo tipy ke konfiguraci postfixu aby autorizoval rovnou z /etc/passwd ?