migracia qmail->postfix (bolo: qmail a bordel od spammerov)

Vsimol som si, ze qmail na serveri (je tam dost domen - web+mail) nerobi prakticky nic ine, len posiela bounce maily na spamy, co chodia na neexistujuce adresy. Podla vsetkeho, co som cital (a vyskusal), qmail pri prijimani mailov nekontroluje, ci taka adresa existuje. Prijme vsetko na nastavene domeny a potom, ked to nevie dorucit, posiela bounce maily ako debil :mad: Vraj je to feature :evil:
Nasiel som nejake patche, ale nechcem do toho babrat, kedze je to nainstalovane z balikov od Debianu. Co s tym? Vymenit za Postfix?

a co udělat nějaký delay
http://www-dt.e-technik.uni-dortmund.de/~ma/qmail-bugs.html#delayedbounce

jinak dál jsem neprocházel ten vrchní odkaz byl první na který jsem se podíval, ale dal jsem do google asi tohle

http://www.google.com/search?hl=cs&q...at+Googlem&lr=

Tak som si precital viac o qmaile a vysledkom toho bude prechod na Postfix.
Ma tu s tym niekto osobne skusenosti?

Citace:

---

Původně odeslal Rainbow

Tak som si precital viac o qmaile a vysledkom toho bude prechod na Postfix.
Ma tu s tym niekto osobne skusenosti?

---

S postfixem ano, s Qmailem minimalne.

Tak presne rovnako som na tom aj ja... Ten qmail poriadne nepoznam, takze ani poriadne neviem, co vsetko tam vlastne robi. A ta jeho debilna konfiguracia v milion suboroch rozhadzanych nahodne po adresaroch tomu tiez velmi "pomaha".

Citace:

---

Původně odeslal Rainbow

Tak presne rovnako som na tom aj ja... Ten qmail poriadne nepoznam, takze ani poriadne neviem, co vsetko tam vlastne robi. A ta jeho debilna konfiguracia v milion suboroch rozhadzanych nahodne po adresaroch tomu tiez velmi "pomaha".

---

Mame ho nasazenej ve firme, kdyz budes mit problem napis, juknu na to a pripadne se zeptam zkusenejsich s qmailem.

Prechazel sem na postfix z Qmailu doma, prave kvuli chaoticky konfiguraci qmailu a taky tomu ze se mi stalo ze po aktualizaci aniz bych menil konfiguraky prestal qmail fungovat.

Co se prechodu tejce, to zalezi hlavne na tom, co vsechno tam mas nakonfigurovany.

Ale pokud vim, defaultne i qmail odmitne mail pro neexistujici adresu jeste pred jejim prijetim - jakmile mu sdelis adresata => bounce dorucuje srv, kterej se o to pokusil.

Mimochodem, nastavil sem si postfix na striktni vyzadovani odpovidajiciho zaznamu v DNS + reverzu a pocet spamu klesnul o 80%.

Podla toho, co som cital, tak qmail nevie odmietnut adresu hned - vraj je to jeho vlastnost... (napr. http://http.netdevice.com:9080/qmail/rcptck/ ) Su na to nejake patche, ale s tym sa mi fakt babrat nechce.
Nakonfigurovane je tam vselijake preposielanie v .qmail suboroch po celom disku...a niekolko lokalnych schranok, kam sa pristupuje cez OpenWebmail. Zjavne v tom treba spravit poriadok...

Na druhom serveri je Postfix, nastavil som kontrolu klienta podla bl.spamcop.net a sbl-xbl.spamhaus.org - to denne zrusi viac ako 600 spamov, potom kontrolu existencie domeny odosielatela. Skusal som aj kontrolu reverz+DNS, lenze to odmietalo aj normalnu postu (od dementov, co si to nevedia nakonfigurovat). Z Postfixu to ide cez Spamassassin - ten za pomoci vselicoho (vratane DCC, Razor a Pyzor) chyti takmer vsetky spamy (a ham zatial ziadny).
Najviac ma teraz seru prave tie bounce, co mi chodia kvoli tomu qmailu. Funguje to velmi jednoducho - spammeri posielaju mail na nieco_nahodne_vygenerovane@domena.sk. qmail to prijme, potom zisti, ze sa to neda dorucit, tak posle bounce odosielatelovi. Lenze odosielatel je vzdy falosny, tak mi dojde bud od qmailu alebo z cieloveho servera dalsi bounce...

ty spamy bych poresil spis pres SA. pokud nainstalujes qmail-scanner + SA, tak jakmile je mail klasifikovan jako spam, tak muzes urcit co se s nim ma dit (tusim delete/quarantine/mark). jinak v qmail-scanneru jde mimo jine nastavit i komu se maji bounce posilat, takze muzes klidne uplne vypnout jejich rozesilani (coz ale asi nebude uplne zadouci)

tak SA nezachyti bohuzel taky vse...i tak mi chodi dost spamu do firemni posty..

mam otazku...zatim jsem nezjistil jak, ale jak urcit, aby Postfix nejdriv otestoval odesilatele (validace), teprve potom otestoval prijemce ? sice mam v konfiguracaku restrikce senderu pred restrikcemi recipientu, ale bere to obracene...:roll:

Citace:

---

Původně odeslal night_

ty spamy bych poresil spis pres SA. pokud nainstalujes qmail-scanner + SA, tak jakmile je mail klasifikovan jako spam, tak muzes urcit co se s nim ma dit (tusim delete/quarantine/mark). jinak v qmail-scanneru jde mimo jine nastavit i komu se maji bounce posilat, takze muzes klidne uplne vypnout jejich rozesilani (coz ale asi nebude uplne zadouci)

---

No to, co chodi na nahodne vygenerovane adresy je 100% spam, takze nema zmysel na to Spamassassin pustat (ktory mimochodom pekne zatazuje server), tiez nema zmysel posielat nejake bounce - proste to treba hned po RCPT TO: odmietnut. V pondelok asi skusim ten Postfix.

Postfix by mal testovat vzdy najprv odosielatela az potom prijemcu. Mam nastavene toto:

Kód:

---

smtpd_sender_restrictions =
        reject_non_fqdn_sender,
        reject_unknown_sender_domain,
        permit

---

a funguje to takto:

Kód:

---

MAIL FROM: a@b.c
250 Ok
RCPT TO: c@d.e
450 <a@b.c>: Sender address rejected: Domain not found

---

Tak som to dnes prerobil. Najviac roboty bolo s konverziou .qmail* suborov - nastastie tam neboli ziadne divoke pravidla, len forwardovanie na ine adresy a ukladanie do lokalnych mailboxov. Niektore adresy mali obe veci naraz - nastastie to ide v Postfixe spravit - do suboru s virtualnymi domenami treba na pravu stranu dat aj adresu odosielatela (bez toho sa len forwarduje, zapis v subore s virtualnymi mailboxami sa ignoruje):
/etc/postfix/virtual:

Kód:

---

example.com        virtual_domain
test@example.com    xyz@somewhere.net, asdf@elsewhere.com, test@example.com

---

/etc/postfix/vmailbox:

Kód:

---

test@example.com    test/Mailbox

---

Len tak pre zaujimavost, kolko spamu to zahadzuje (to je asi za 7 hodin...):

Kód:

---

/var/log# grep NOQUEUE mail.log | wc -l
3128

---

tak nakonec "nesmazat" :mad:

neustale se mi na server pripojuji klienti, jejichz vysledkem je neco jako tohle:

Kód:

---

Aug  1 18:30:55 verena postfix/cleanup[28152]: 547DF18900F4: message-id=<20060801163055.547DF18900F4@verena.impuls.cz>
Aug  1 18:30:55 verena postfix/qmgr[15772]: 547DF18900F4: from=<postmaster@verena.impuls.cz>, size=270, nrcpt=1 (queue active)
Aug  1 18:31:01 verena postfix/smtp[28154]: 547DF18900F4: to=<poli_nezja@poczta.onet.pl>, relay=mx.poczta.onet.pl[213.180.130.86], delay=6, status=undeliverable (host mx.poczta.onet.pl[213.180.130.86] said: 550 5.7.1 Policy analysis reported: This is not accepted relay target rcpt=<poli_nezja@poczta.onet.pl> (in reply to RCPT TO command))
Aug  1 18:31:01 verena postfix/qmgr[15772]: 547DF18900F4: removed

---

Kód:

---

mynetworks = 127.0.0.0/32

address_verify_map = btree://var/mta/verify
smtpd_helo_restrictions =
 reject_non_fqdn_hostname
 reject_unknown_hostname
 reject_invalid_hostname
# permit
smtpd_sender_restrictions =
 check_sender_access hash:/etc/postfix/sender_access
 reject_non_fqdn_sender
 reject_unknown_sender_domain
# reject_sender_login_mismatch
 reject_unlisted_sender
 reject_unverified_sender
 permit_mynetworks
# permit
smtpd_recipient_restrictions =
 permit_auth_destination
 reject_unauth_destination
 reject_unknown_recipient_domain
 reject_unverified_recipient

---

zatim se mi nedari to zakazat...proc se jim to dari ?

No ten kus z logu = nieco posielas ty na nejaky polsky server. Musis zistit preco to posielas. Takze pozri do /var/spool/postfix (ci kde to je), ci tam nejake take spravy necakaju a pozri, co v nich je.

Citace:

---

Původně odeslal Rainbow

No ten kus z logu = nieco posielas ty na nejaky polsky server. Musis zistit preco to posielas. Takze pozri do /var/spool/postfix (ci kde to je), ci tam nejake take spravy necakaju a pozri, co v nich je.

---

No vtip je v tom, ze v logu neni zadny dalsi zaznam ohledne ID teto zpravy. Cili neni co posilat...

tohle je priklad "zpravy od postmastera", ktere server posila

Kód:

---

C?            270            202              1              0T
1154454382Amessage_origin=localAtrace_flags=256Sostmaster@verena.impuls.czW    1154468782Oamanda@tlcfan.comRamanda@tlcfan.comMN'Received: by verena.impuls.cz (Postfix)N8    id 0BA4D18900F5; Tue,  1 Aug 2006 19:46:22 +0200 (CEST)N,Date: Tue,  1 Aug 2006 19:46:22 +0200 (CEST)N:Message-Id: <20060801174622.0BA4D18900F5@verena.impuls.cz>N!From: postmaster@verena.impuls.czNTo: undisclosed-recipients:;XEverena:/var/spool/postfix/active/0#

---

po vycisteni z fronty postfixem z duvodu nemoznosti odeslat...

Kód:

---

verena:/var/spool/postfix/active/0# cat /var/log/mail.log |grep 0BA4D18900F5
Aug  1 19:46:22 verena postfix/cleanup[21067]: 0BA4D18900F5: message-id=<20060801174622.0BA4D18900F5@verena.impuls.cz>
Aug  1 19:46:22 verena postfix/qmgr[15772]: 0BA4D18900F5: from=<postmaster@verena.impuls.cz>, size=270, nrcpt=1 (queue active)
Aug  1 20:03:05 verena postfix/smtp[21068]: 0BA4D18900F5: to=<amanda@tlcfan.com>, relay=none, delay=1003, status=undeliverable (connect to tlcfan-com-bk.mr.outblaze.com [205.158.62.181]: read timeout)
Aug  1 20:03:05 verena postfix/qmgr[15772]: 0BA4D18900F5: removed

---

cili ? nejak se mi to nezda ze by server jen tak z hecu posilal takovehle zpravy, aniz by to byla reakce na neco...

Ta sprava fakt nema telo? Ked to pozeras cez mc, tak si zapni wrap (F2).

Citace:

---

Původně odeslal Rainbow

Ta sprava fakt nema telo? Ked to pozeras cez mc, tak si zapni wrap (F2).

---

velikost zpravy se pohybuje kolem 500 bytu. to co je vyse je kompletni text co v tom souboru existuje...

Kód:

---

Messages rejected:
    Domain not found 54 Time(s)
Messages rejected using Anti-Spam site 4079 Time(s)
    bl.spamcop.net identified 231 spam messages
    sbl-xbl.spamhaus.org identified 3848 spam messages

---

Pekna statistika, cim to generujes? Ja pouzivam mailgraph - viz priloha.

apt-get install logwatch ;D
Ten mailgraph vyzera zajimavo :)

Citace:

---

Původně odeslal Airwolf

velikost zpravy se pohybuje kolem 500 bytu. to co je vyse je kompletni text co v tom souboru existuje...

---

nikdo nevi ? musi to mit souvislost s relayem, nebot se to zacalo projevovat po zprovozneni relay z sekundarniho MX na primar...

btw: Marty, nemas tam cas o 2 hodiny napred v tom mailgraphu ?

Nedavno som sekundarny MX zrusil, lebo cez to chodil len spam...

jj, ja musel na volnyho tlacit asi 2 mesice nez sem je dokopal ke zruseni zalozniho MX zaznamu. To se da provozovat jen kdyz ma clovek nad obema MTA kontrolu.

BTW: jakou verzi Postfixu pouzivas ?

Citace:

---

Původně odeslal Jezevec

jj, ja musel na volnyho tlacit asi 2 mesice nez sem je dokopal ke zruseni zalozniho MX zaznamu. To se da provozovat jen kdyz ma clovek nad obema MTA kontrolu.

BTW: jakou verzi Postfixu pouzivas ?

---

MX sekundar zaznam muzu nechat smazat behem chvile, to neni problem. Jen z principu bych rad vedel proc a jak se to chova takhle...

verze: last stable debian 2.1.5-9

duvod proc jsem nepouzil 2.2.10 je ten, ze pri pokusu ho zkompilovat jsem zjistil, ze samotny source neobsahuje veskere potrebne soubory...:/

jeste to overim na 2.3

Kód:

---

/opt/postfix-2.3.2# make
make -f Makefile.in MAKELEVEL= Makefiles
(echo "# Do not edit -- this file documents how Postfix was built for your machine."; /bin/sh makedefs) >makedefs.tmp
No <db.h> include file found.
Install the appropriate db*-devel package first.
See the RELEASE_NOTES file for more information.
make: *** [Makefiles] Error 1
make: *** [Makefiles] Error 2

---

a kvuli tomuhle...je fain ze ty knihovny nejsou soucasti baliku postfix-2.3.2.tar.gz

Jo, cas tam mam mozna rozhozenej.. ono je to vesmes jedno, ten server dela jen mail gateway a VPN server...
na logwatch mrknu, dik za tip.

Citace:

---

Původně odeslal Jezevec

jj, ja musel na volnyho tlacit asi 2 mesice nez sem je dokopal ke zruseni zalozniho MX zaznamu. To se da provozovat jen kdyz ma clovek nad obema MTA kontrolu.

---

Ja som mal, lenze ten backup bol prave tento qmail... Teraz by som to teoreticky mohol nastavit znovu.

11-tisic rejected za den - pekne...

Tak to je hodne huste... tady ten muj mail gateway prijima asi 10 domen pomerne dost znamych a mam tam za den jen 7000. A to jsem si rikal ze je tam hodne spamu...
Ale pomer pocet spamu na normalni zpravu to mas fakt hodne spatny - ja mam na 1 prijatou zpravu 7 rejectnutych spamu, ty mas tem pomer skoro dvakrat vetsi.

Citace:

---

Původně odeslal Marty

Tak to je hodne huste... tady ten muj mail gateway prijima asi 10 domen pomerne dost znamych a mam tam za den jen 7000. A to jsem si rikal ze je tam hodne spamu...
Ale pomer pocet spamu na normalni zpravu to mas fakt hodne spatny - ja mam na 1 prijatou zpravu 7 rejectnutych spamu, ty mas tem pomer skoro dvakrat vetsi.

---

no vzhledem k tomu kolik mu tam chodi zprav tak se to jako klasicky mailserver moc nepouziva...spis je to odesilaci...to se pak dela skore :)

ja mam cca 4k prijatych mailu, k tomu cca 10k odmitnutych + cca 1-2k spamu odfiltrovanych...sem hodim nekdy taky info...

takze koukam ze mi s mym problemem nikdo nepomuze, hm, tak zrusim sekundarni MX, protoze ty same zpravy se generuji od zprovozneni relaye i na primarnim MX :?

btw: jak nainstalovat 2.3 Postfix, kdyz nema veskere zdrojaky v baliku ? :/

Ono je to webserver, mailov je tam len par. A tie masove odosielania su suhrny sprav. Mozno sa ten spam tak rozbujnel preto, ze ten qmail vsetko preberal... Hadam to bude pomaly klesat...

Airwolf: no s tym sa na dialku pomaha tazko - musis sledovat, co presne to robi...ked uz nic nepomaha, tak zachytavat celu komunikaciu na porte 25 a pozerat, co sa tam robi
postfix 2.3 - v dokumentacii o tom nahodou nieco nie je?
[edit]
Prave som to skusil v Slackware - stacilo nainstalovat db44.

Na efektivni snizeni spamu docela dobre funguje postgrey - implementace greylistingu do postfixu. Pomerne dobre funkcni. apt-get install postgrey :)
http://isg.ee.ethz.ch/tools/postgrey/

Jeste jsem to ale na tuhle gateway neaplikoval, ale uvazuju o tom.

Jinak ten muj server skutecne jen prijima, odesila se pres jinej...

Citace:

---

Původně odeslal Rainbow

Ono je to webserver, mailov je tam len par. A tie masove odosielania su suhrny sprav. Mozno sa ten spam tak rozbujnel preto, ze ten qmail vsetko preberal... Hadam to bude pomaly klesat...

Airwolf: no s tym sa na dialku pomaha tazko - musis sledovat, co presne to robi...ked uz nic nepomaha, tak zachytavat celu komunikaciu na porte 25 a pozerat, co sa tam robi
postfix 2.3 - v dokumentacii o tom nahodou nieco nie je?
[edit]
Prave som to skusil v Slackware - stacilo nainstalovat db44.

---

aha takze to chce libdb4.3-dev...
bohuzel s ohledem na zavislosti je to prekerka :confused: jen upgrade web serveru s postfixem 2.3 by znamenalo odstraneni "40" baliku, upgrade "63", instalu "22"...no co dodat ?

zde priklad dalsiho mozneho "upgrade"

Kód:

---

The following packages will be REMOVED:
  base-config initrd-tools kernel-image-2.6-686 kernel-image-2.6.8-11-em64t-p4-smp kernel-image-2.6.8-12-em64t-p4-smp kernel-image-2.6.8-2-686
  kernel-image-2.6.8-3-686 kernel-image-2.6.8-3-686-smp postfix-tls

---

:eek:

No dependency hell... Ja do Debianu radsej nerypem a pouzivam len oficialne baliky.

Citace:

---

Původně odeslal Rainbow

No dependency hell... Ja do Debianu radsej nerypem a pouzivam len oficialne baliky.

---

No on je Airwolf ve svych postupech obcas trosku sverazny :) ostatne, vyzkouset by si to mel kazdy... ja to jednou zkusil, ten server prekvapive jeste porad jede a dokonce i funguje, ale stalo me to hodne usili ty dokompilovany veci vyjebat pryc a uvest to do stavu kdy tam fungoval zas normalne apt-get.

Citace:

---

Původně odeslal Marty

No on je Airwolf ve svych postupech obcas trosku sverazny :) ostatne, vyzkouset by si to mel kazdy... ja to jednou zkusil, ten server prekvapive jeste porad jede a dokonce i funguje, ale stalo me to hodne usili ty dokompilovany veci vyjebat pryc a uvest to do stavu kdy tam fungoval zas normalne apt-get.

---

Marty neboj, zavislostem neverim ani levou zadni, jak to neni stable nebo je to zavisle na unstable, ruce pryc, pokud to nejde snadno :cool: bezi to, bezi to, nac se v tom hrabat. kazdopadne 2.3 pada, timpadem sekundar MX brzo padne taky, nehodlam si mailservery s*at nejakymi nesmyslnymi maily, ktere tam vznikaji bez meho vedomi. Apt-get me uz jednou poucil, jak je bez nej Debian jak neschopne mimino :D

Kód:

---

Aug  4 00:04:15 verena postfix/smtpd[28052]: connect from vega.redigy.cz[195.39.44.210]
Aug  4 00:04:16 verena postfix/smtpd[28052]: NOQUEUE: reject: RCPT from vega.redigy.cz[195.39.44.210]: 450 <CaroluuuTobin@chemicool.com>: Sender address rejected: undeliverable address: host chemicool.com[206.130.106.206] said: 550 5.1.1 <CaroluuuTobin@chemicool.com>... User unknown (in reply to RCPT TO command); from=<CaroluuuTobin@chemicool.com> to=<barah@radioimpuls.cz> proto=ESMTP helo=<vega.redigy.cz>
Aug  4 00:04:16 verena postfix/cleanup[28141]: 48101189000D: message-id=<20060803220416.48101189000D@verena.impuls.cz>
Aug  4 00:04:16 verena postfix/qmgr[28048]: 48101189000D: from=<postmaster@verena.impuls.cz>, size=270, nrcpt=1 (queue active)
Aug  4 00:04:18 verena postfix/smtp[28142]: 48101189000D: to=<CaroluuuTobin@chemicool.com>, relay=chemicool.com[206.130.106.206], delay=2, status=undeliverable (host chemicool.com[206.130.106.206] said: 550 5.1.1 <CaroluuuTobin@chemicool.com>... User unknown (in reply to RCPT TO command))
Aug  4 00:04:18 verena postfix/qmgr[28048]: 48101189000D: removed

---

Tak a je to jasne ! "postmaster@..." je dusledek odmitnuti zpravy z duvodu neexistence odesilatele. Nebyt kontroly prijemce teto generovane zpravy, server by zbytecne byl zatizen nedorucitelnymi zpravami...:?

zde je mailgraph z primarniho MX, jevidet vliv relay sekeundarniho MX (zprovoznen v pondeli)

Citace:

---

Původně odeslal Marty

Jo, cas tam mam mozna rozhozenej.. ono je to vesmes jedno, ten server dela jen mail gateway a VPN server...
na logwatch mrknu, dik za tip.

---

Vidis, ja zase neznam ten mailgraph, logwatch je super - ma toho mnoho ...
Pouzivam ho na vsech (6 serverech) - bez nej bych byl ztraceny ... :-)

Uff, absolutne nedokazu zprovoznit ten mailgraph .....

Neustale mi to hazi chyby, ze nemuze najit mailgraph.rrd ....

takze cgi se spusti, ale bez grachu , apache pise, ze soubor neexistuje, kdyz axistuje, tak zase chlasi, neco o sysntaxi toho mailgraph.rrd ...

jakou mate tu konfiguraci ???

Ja som to skusal len v Debiane a Gentoo - tam som len nainstaloval, nekonfiguroval som vobec nic. V Slacku som neskusal...

Citace:

---

Původně odeslal Rainbow

Ja som to skusal len v Debiane a Gentoo - tam som len nainstaloval, nekonfiguroval som vobec nic. V Slacku som neskusal...

---

Uz vim, kde je chyba, ukousel jsem treba couriergraph a ten maka, a ten mailgraph nemaka, protoze si sam nenadefunuje mailgraph.rrd - nevytvori zaznamy, atd ...

Doporucite nekdo lepsi MDA ? Mam obcasne problemy s ipopxd, imapd...

Kód:

---

"Command stream end of file while reading line user=xxx host=localhost [127.0.0.1]"

---

pouzivam mbox misto maildiru, zamky jsou:

Kód:

---

mailbox_delivery_lock = fcntl, dotlock

---

MDA, nebo MTA ??? :-)))

Postfix je velmi kvalitni a velmi jednoduchy, kdyz nezvladas toto, tak pak si radsi neco nejdrive nastuduj ...

BTW, imap server nema a MTA nic spolecneho ...

Citace:

---

Původně odeslal svaca

MDA, nebo MTA ??? :-)))

Postfix je velmi kvalitni a velmi jednoduchy, kdyz nezvladas toto, tak pak si radsi neco nejdrive nastuduj ...

BTW, imap server nema a MTA nic spolecneho ...

---

MTA ci MDA...nebo se skupina ipopd a imapd vubec nenazyvaji jinak nez protokoly (lepe receno, protokolove demony)? hmmmm tak to neni ani MDA, ani MTA. jen demoni.

A narazka na postfix ? problem s chybou se objevoval i na sendmailu. takze nevim, zda uz trochu neprehanis...

jak rikam, mam tam mboxy...je neco lepsiho nez ipopd, imapd ? nebo nezbyde nic jineho nez prejit na maildiry ? na par forech se objevila zminka o courieru misto ipopd...nejaky navrh misto zbytecneho offtopic ?

Citace:

---

Původně odeslal Airwolf

MTA ci MDA...nebo se skupina ipopd a imapd vubec nenazyvaji jinak nez protokoly (lepe receno, protokolove demony)? hmmmm tak to neni ani MDA, ani MTA. jen demoni.

A narazka na postfix ? problem s chybou se objevoval i na sendmailu. takze nevim, zda uz trochu neprehanis...

jak rikam, mam tam mboxy...je neco lepsiho nez ipopd, imapd ? nebo nezbyde nic jineho nez prejit na maildiry ? na par forech se objevila zminka o courieru misto ipopd...nejaky navrh misto zbytecneho offtopic ?

---

Podivej, aby ti nekdo pomohl, potreboval by vedet:

1. Jake je to distro ?
2. jaky je to imap server (cyrus, courier, dovecot, UW-IMAP, atd) ?
3. Jak mas nastavenou konfiguraci ... ?

Ja vzdy vseobecne pouzival UW-IMAP (standartne ve Slacku) a postfix, sice jsem mel taky mailboxy, ale s indexovanim a nebyl probelem s 5-10 G soubory ..

Nicmene kvuli zalohoani jsem presel na maildir - courier a taky zadny problem ...

Pouzivam postfix 2.2.10 a slackware 10.2 a posledni courier - nevim verzi ..

Citace:

---

Původně odeslal svaca

Podivej, aby ti nekdo pomohl, potreboval by vedet:

1. Jake je to distro ?
2. jaky je to imap server (cyrus, courier, dovecot, UW-IMAP, atd) ?
3. Jak mas nastavenou konfiguraci ... ?

Ja vzdy vseobecne pouzival UW-IMAP (standartne ve Slacku) a postfix, sice jsem mel taky mailboxy, ale s indexovanim a nebyl probelem s 5-10 G soubory ..

Nicmene kvuli zalohoani jsem presel na maildir - courier a taky zadny problem ...

Pouzivam postfix 2.2.10 a slackware 10.2 a posledni courier - nevim verzi ..

---

1) Debian 2.6.8 stable
2) uw-imap
3) konfigurace postfixu ?

Predne, proc pouzivas ten locking ????

Pokud mas ten locking na /var/mail nebude pravdepodobne fungovat,viz:

mailbox_delivery_lock (default: see "postconf -d" output)

How to lock a UNIX-style local(8) mailbox before attempting delivery. For a list of available file locking methods, use the "postconf -l" command.

This setting is ignored with maildir style delivery, because such deliveries are safe without explicit locks.

Note: The dotlock method requires that the recipient UID or GID has write access to the parent directory of the mailbox file.

Note: the default setting of this parameter is system dependent.

na uw-imap se nic nekonfiguruje, ja ho ale volam pomoci inetd a nemam ho spusteny primo jako daemon ... napis mi cely /etc/postfix/main.cf

uw-imap sa mi zda dost divny (uz ani neviem preco). Jeden mail server, ktory som dost davno robil na slacku, som spravil s maildirmi, postfix+courier-imap a mozno to doteraz chodi (uz tam nerobim).

protoze mam mbox a ne maildir. bez lockingu by to nemohlo fungovat. locking je navic nastaven defaultne dle postfixe. config ti poslu do SZ.

V Postfixe som tusim nikdy ziadny locking nenastavoval a chodi to :)

Citace:

---

Původně odeslal Rainbow

V Postfixe som tusim nikdy ziadny locking nenastavoval a chodi to :)

---

ja si ho taky nenastavoval, jen jsem hodil cast vypisu postconf -d ;)

je zajimave ze to delalo i se sendmailem (klienti jsou Utlouky)...takze to proste dela bordel pri cteni z souboru obsahujici celou schranku, otazka je, proc ty locky nefunguji tak jak maji...

Citace:

---

Původně odeslal Airwolf

protoze mam mbox a ne maildir. bez lockingu by to nemohlo fungovat. locking je navic nastaven defaultne dle postfixe. config ti poslu do SZ.

---

To je mi jasny, ze mas mbox, kdyz je to uw-imap ... :-)
a zadny locking nepotrebujes ... to je nesmysl ...

Vyhod to a napis ten main.cf .... bude tam jeste nekde nejaka chybka ...

A propo ! z uw-imap pouzivam VZDY jen imapd demon, ale na pop3 pouzivam popa3d .... nebo courier ...

Tak Postfix sa osvedcuje - ako som ocakaval, pomaly mnozstvo toho svinstva klesa.

To bude spíš náhodný pokles :)

A co greylisting, už jsi zkoušel?

Citace:

---

Původně odeslal Marty

To bude spíš náhodný pokles :)

A co greylisting, už jsi zkoušel?

---

Greylisting nebrat ...

pouzivam ho doma (zkousel jsem vsechny tri hlavni) ale proste na firme, ktera je zavisla na mailech - tedy potrebuji mail jeste drive, nez byl odeslany to neni ...

Jinak gut, ale nejvice se mi osvedcuje helo restrictions a snizovani levelu u spamassasinu ....

Citace:

---

Původně odeslal Rainbow

Tak Postfix sa osvedcuje - ako som ocakaval, pomaly mnozstvo toho svinstva klesa.

---

A co ty rejected zpravy ??? Ty je rovnou zahazujes, proto zadny spam ... :-)

Sakra. ....

REX = SVACA !

Prihlasil jsem se na kolegu ... :-)
Muze to nekdo opravit ?

Dik

Greylisting som neskusal a asi ani nebudem.
Myslel som pokles tych rejected. Spam je nula preto, ze tam nie je Spamassassin.
Zmenit ownera postu asi len tak nepojde...

neva.

Jaktoze nemas spamassassin ?
Jak resis spam ?

Citace:

---

Původně odeslal svaca

neva.

Jaktoze nemas spamassassin ?
Jak resis spam ?

---

s rejectovanim na zaklade blacklistu a par pravidel (reject_invalid_hostname, reject_non_fqdn_hostname, reject_unknown_sender_domain, ...). hned ubude spamu - mrkni na ten muj graf, mam tam spamu jednotky denne, to je to co proslo tim filtrem na zaklade blacklistu a pravidel.
takze spamassassin prakticky neni potreba.

Citace:

---

Původně odeslal Marty

s rejectovanim na zaklade blacklistu a par pravidel (reject_invalid_hostname, reject_non_fqdn_hostname, reject_unknown_sender_domain, ...). hned ubude spamu - mrkni na ten muj graf, mam tam spamu jednotky denne, to je to co proslo tim filtrem na zaklade blacklistu a pravidel.
takze spamassassin prakticky neni potreba.

---

jj to mam taky + helo restraction, ale takovy stesti nemam ..... :-(

Myslim tedy u zakazniku, ja jsem celkem v pohode ..

Pouze blacklist nepouzivam, da se nekde sehnat nejaka poradna databaze ???

Diky.

Citace:

---

Původně odeslal Marty

s rejectovanim na zaklade blacklistu a par pravidel (reject_invalid_hostname, reject_non_fqdn_hostname, reject_unknown_sender_domain, ...). hned ubude spamu - mrkni na ten muj graf, mam tam spamu jednotky denne, to je to co proslo tim filtrem na zaklade blacklistu a pravidel.
takze spamassassin prakticky neni potreba.

---

kolik cca lidskych postovnich uctu ten tvujserver obsluhuje ? ono taky zalezi, kde vsude jsou ty maily uvedene...

priklad muj primar...

posledni tyden cca 140k odmitnuto, cca 4-6k spamu...pouze nekolik desitek mail uctu...

usetreni prace userum - spamassassin bych nasadil vzdy...

ad blacklisty: testuji zrovna na sekundaru blackhole.mail-abuse.org, xbl.spamhaus.org, sbl.spamhaus.org

btw: kdyby nekdo uvazoval o sekundarnim MX s 4(!!) ucty (zbytek se preposila)...http://cacti.impuls.cz/mailgraph.cgi

Priamo na tom serveri ma schranku len par ludi, takze ti nejaky ten spam preziju :) Vacsina mailov su len aliasy a spam sa zistuje az na cielovom serveri.

Citace:

---

Původně odeslal Rainbow

Priamo na tom serveri ma schranku len par ludi, takze ti nejaky ten spam preziju :) Vacsina mailov su len aliasy a spam sa zistuje az na cielovom serveri.

---

ja mam cca 50-60 schranek, tam kde je to fakt maso ...
A to je nemocnice:

http://mail.pnsp.cz/cgi-bin/mailgraph.cgi

tady ten je pouze prichozi posta pro vydavatelstvi, asi tak 50 mailboxu. odchozi posta jde jinudy.

Citace:

---

Původně odeslal Rainbow

Greylisting som neskusal a asi ani nebudem.

---

Ja ho testim doma - postgrey, a aktualne to vypada zhruba tak, ze urcite 50-70%% spamu odstreli rovnou postfix (mam maximalne striktni nastaveni na RFC + check domeny a reverzu) a na greylistu zdechne dalsich 15 - 20%.

Do klienta mi dorazi semo tamo nakej kousek oznacenej nasledne za spam.

Z nejakyho me zatim utajenyho duvodu se mi nepovedlo rozchodit amavis (Gentoo) abych moh odfiltrovat ten zbytek.

BTW: celkem mi vyhovuje ze postfixem takhle odfitruju i cast spamu stahovanyho pomoci fetchmailu.

Doma to mozes spravit, lenze vo firmach pouzivaju ludia nielen shity typu Outlook ale aj vselijake prapodivne a zle nakonfigurovane SMTP servery...

Citace:

---

Původně odeslal Rainbow

Doma to mozes spravit, lenze vo firmach pouzivaju ludia nielen shity typu Outlook ale aj vselijake prapodivne a zle nakonfigurovane SMTP servery...

---

Tak tak, a pokud se server používá pro přímé odesílání pošty z lokálu jako SMTP, tak nemůžeš používat podmínku požadovat FQDN, protože to dost často v lokální síti ani nemáš.. Teda já nikdy kompům v lokálu neřešil reverzy a podobný věci. Vy jo?

To JEZEVEC:

1. a co zpozdeni + prave spatne nastaveny nastaveni SMTP ??? Taky jsem mel takovy restrikce, ale kdyz pak neprijdou dulezite mejly je to problem ...

A nemam pored cas ladit whitelisty a blacklisty ...

2. Amavis - muzu poradit ... napis SZ

Domenu sendera (cast za @ v adrese) mozes kontrolovat - ci je to FQDN a tiez ci existuje. Dalej sa mi celkom osvedcili dva rbl blacklisty - sbl-xbl.spamhaus.org a bl.spamcop.net.

Kód:

---

smtpd_recipient_restrictions =
        permit_mynetworks,
        permit_sasl_authenticated,
        reject_unauth_destination,
        reject_rbl_client sbl-xbl.spamhaus.org,
        reject_rbl_client bl.spamcop.net,
        reject_rbl_client relays.ordb.org,
        permit

smtpd_sender_restrictions =
        reject_non_fqdn_sender,
        reject_unknown_sender_domain,
        permit

---

Vyborna vec proti spamu je "reject_unknown_client_hostname", lenze hrozne vela normanych SMTP serverov je zle nakonfigurovanych a odmieta to potom od nich postu. Posfix 2.3 a novsi ma "reject_unknown_reverse_client_hostname" - to by sa asi dalo pouzit.
Normalne sa to pouziva takto:

Kód:

---

smtpd_client_restrictions =
      permit_mynetworks,
      reject_unknown_client,
      permit

---

permit_mynetworks zabezpeci, ze maily z lokalnej siete pojdu (inak by ludia neboli velmi nadseni ;D )

Citace:

---

Původně odeslal Marty

Tak tak, a pokud se server používá pro přímé odesílání pošty z lokálu jako SMTP, tak nemůžeš používat podmínku požadovat FQDN, protože to dost často v lokální síti ani nemáš.. Teda já nikdy kompům v lokálu neřešil reverzy a podobný věci. Vy jo?

---

No fuj ;), vsechny kompy v moji siti maj samo komplet naconfeny DNS vcetne reverzu a to jak na privatni IPv4(to je samo videt jen ve vnitrni siti, zvenku to videt neni) tak na produkcni IPv6. Nehlede na to, ze lokalni klienti tak jako tak padnou do permit_mynetworks.

BTW: emaily od tebe pozdrzel postgrey o 316s - coz je neco pres 5 minut. To zalezi ciste na nastaveni odesilajiciho SMTP jak rychle se pokusi o spojeni znovu. Pokud se nepokusi => asi neni az zajem email dorucit => asi neni o co stat.

2svaca: nespravne naconfeny MTA neresim, IMO to svedci o neschopnosti admina (99% MTA je defaultne OK pokud se v tom nikdo nerejpe + DNS(A/AAAA + reverz + MX) povazuju za samozrejmost) potazmo o neschopnosti firmy. A vzhledem k tomu s kym komunikuju mi to zaroven prijde jako dobrej filtr na to, od koho pripadne neco koupim.

Citace:

---

Původně odeslal Jezevec

No fuj ;), vsechny kompy v moji siti maj samo komplet naconfeny DNS vcetne reverzu a to jak na privatni IPv4(to je samo videt jen ve vnitrni siti, zvenku to videt neni) tak na produkcni IPv6. Nehlede na to, ze lokalni klienti tak jako tak padnou do permit_mynetworks.

BTW: emaily od tebe pozdrzel postgrey o 316s - coz je neco pres 5 minut. To zalezi ciste na nastaveni odesilajiciho SMTP jak rychle se pokusi o spojeni znovu. Pokud se nepokusi => asi neni az zajem email dorucit => asi neni o co stat.

2svaca: nespravne naconfeny MTA neresim, IMO to svedci o neschopnosti admina (99% MTA je defaultne OK pokud se v tom nikdo nerejpe + DNS(A/AAAA + reverz + MX) povazuju za samozrejmost) potazmo o neschopnosti firmy. A vzhledem k tomu s kym komunikuju mi to zaroven prijde jako dobrej filtr na to, od koho pripadne neco koupim.

---

ad permit_mynetworks - máš pravdu. s DNSkami lokulně nevím. asi se teda budu stydět

ad maily ode mě - ten server nemám ve správě, nevím ani co se na něm děje, ale asi je ok. jinak by ti to nedorazilo :)

ad greylisting obecně - u klientů je to většinou fakt blbý. jeden náš klient je vydavatelství, kde se redaktoři vztekaj když jim nedorazí maily třeba od čtenářů - tam pak nemůžeš čekat nějaký dobře konfený servery... takže používáme blacklisty a přidáváme na whitelisty servery freemailu atp.

o nejakem automatickem lokalnim blacklistu v zavislosti rekneme na poctu chybne odeslanych mailu nevite ? proti generovanym odesilatelum to je nepouzitelne, ale proti stejnym...to pouzitelne je...

btw Rainbow: neni lepsi mit ty blacklisty v smtpd_sender_restrictions ?
btw2 Rainbow: SASL ti bezi na jakem systemu ? momentalne se to snazim rozjet na debianu, TLS a SASL by tam bezet melo, ale ...jeste nejede.

Mno on ten greylist je hlavne o obecnym povedomi. Je to stejny jako s webem, nevalidni stranky se taky vetsinou "nejak" zobrazej => spousta lidi na validitu doslova sere (a casto i "profici").

Co me dovede vazne zvednou je kuprikladu email bez subj. To mam vzdycky chut dotycnymu odepsat neco ve smyslu, at se nauci nejdriv ten nesmirne slozity nastroj zvany mail pouzivat a do ty doby at me neotravuje(bohuzel ne vzdy si to muzu dovolit :( ). Nemluve o tom ze takovej mail z vysokou pravdepodobnosti skonci tak jako tak v /dev/null.

Co se DNS tejce, ripe a spol by IMO mel bejt daleko agresivnejsi a pokud je aktivnich vic nez N% z pridelenyho rozsahu IP a nemaj DNS/reverz, mel by rozsah dotycnymu proste odebrat.

Citace:

---

Původně odeslal Airwolf

o nejakem automatickem lokalnim blacklistu v zavislosti rekneme na poctu chybne odeslanych mailu nevite ? proti generovanym odesilatelum to je nepouzitelne, ale proti stejnym...to pouzitelne je...

---

Chapu to dobre ze chces aby se posilaly do /dev/null maily od pepazdepa@jzd.cz pokud ti od nej prijde trebas 5 mailu na neexistujici ucet ? Tohle urcite existuje, a slo by to vyuzit i proti serveru ze kteryho ti prijde vic mailu, ale na konkretni SW te neodkazu, zkus hledat, v nejhorsim to pujde napsat jako script (nejspis perl).

Takovy neohrabany reseni = cron + sledovani logu + uprava blacklistu

Citace:

---

Původně odeslal Airwolf

btw Rainbow: neni lepsi mit ty blacklisty v smtpd_sender_restrictions ?

---

Ked je to v recipient, tak vidim komu by ten mail dosiel. Niekedy sa to moze hodit. Nie je to moj napad, niekde som to cital :)

Citace:

---

btw2 Rainbow: SASL ti bezi na jakem systemu ? momentalne se to snazim rozjet na debianu, TLS a SASL by tam bezet melo, ale ...jeste nejede.

---

To SASL je z Gentoo - tam to islo celkom lahko, samozrejme s TLS. V Debiane je stary Postfix, ktory nema este integrovanu podporu SASL a potom nejaky patchovany, ktory som radsej neskusal.

Ja jsem dnes stastne rozjel autorizaci na postfixu 2.1.5-9 pod debianem sarge (kernel 2.4.29-bf2.4 SMP pro uplnost ;D) s postfix-tls 2.1.5-9 se sasl2 2.1.19-1.5sarge. Sice zatim jen na sasldb2 bez TLS a na plain hesla only, ale taky dobry.

nemate nekdo nejaky pekny howto nebo tipy ke konfiguraci postfixu aby autorizoval rovnou z /etc/passwd ?

V tom gentoo som nastavil:
/etc/conf.d/saslauthd:

Kód:

---

SASLAUTHD_OPTS="${SASLAUTH_MECH} -a pam"

---

/etc/sasl2/smtpd.conf:

Kód:

---

pwcheck_method: saslauthd
mech_list: plain login

---

Ked budes mat TLS, tak nastav v Postfixe, aby sa login nedal robit bez TLS:

Kód:

---

smtpd_tls_auth_only = yes

---

Citace:

---

Původně odeslal Marty

Ja jsem dnes stastne rozjel autorizaci na postfixu 2.1.5-9 pod debianem sarge (kernel 2.4.29-bf2.4 SMP pro uplnost ;D) s postfix-tls 2.1.5-9 se sasl2 2.1.19-1.5sarge. Sice zatim jen na sasldb2 bez TLS a na plain hesla only, ale taky dobry.

nemate nekdo nejaky pekny howto nebo tipy ke konfiguraci postfixu aby autorizoval rovnou z /etc/passwd ?

---

to by me zajimalo, s autorizaci mam problem. SASL2 mam nainstalovane, nastavene, demona spustim, ale nikde nic. Postfix je na to nastaven, TLS umi, ale bez funkcni autorizace si muzu hvizdat kulky. konkretne by mne zajimalo, co vse je potreba pro nastaveni samotneho SASL2, sasldb2 jsem mel. HOWTO na to jsem nasel dost, ale proste ...ps aux ani -d sasl nikde v provozu nenaslo...

btw Marty (Cyrus SASL):

Kód:

---

pam: this tells SASL to integrate with your system's PAM libraries and to authenticate against the database specified by pam. This can be used with plaintext protocols such as PLAIN and LOGIN, and should allow you to authenticate against other services such as LDAP and RADIUS. On most systems, pam will be configured to authenticate logins against the system passwd file. Unfortunately, the only way I could make pam authentication work was if the /etc/shadow file was mode 644, which is definately not a good idea. This is only useful if you have pam authenticate against something like LDAP. If you want to authenticate local users, you should use pwcheck or shadow.

shadow: this tells SASL to look for the username and password using the system /etc/shadow file. Again, /etc/shadow must be mode 644 in order for this authentication mechanism to work.

sasldb: this tells SASL to use the /var/lib/sasl/sasl.db database to check passwords and secrets. This method must be used to allow DIGEST-MD5 or CRAM-MD5 authentication. Users must be added to this database using the saslpasswd utility. You must add at least one user to the database for it to be properly initialized. This file must also be readable by the postfix user; Mandrakelinux installs the file with 0644 permissions. However, this seems to be ok as regular users cannot read information from the sasldb using the sasldblistusers program.

pwcheck: this is similar to the shadow method except you do not need to give the postfix user read access to the file (a very good idea). This method interfaces with the pwcheck daemon, which runs as root to read the /etc/shadow file instead of permitting postfix to do it. Using pwcheck is very simple, and if you want to authenticate against local users without using sasldb, you should use pwcheck. It uses the /usr/sbin/pwcheck daemon, which runs as root, to check against your /etc/shadow file. This means you don't have to change the permissions of /etc/shadow to something insecure like mode 644. pwcheck is a daemon that must be started as root and immediately launches itself into the background. Since there is no initscript for pwcheck, you can simple add to the end of your /etc/rc.d/rc.local file the following:

---

Rainbow: ja myslim ze v logu je, pro koho ten mail je urceny, i kdyz je odmitnut v sender. ale jistotu ted nemam, mam oci tak na spanek, mrknu zitra - potvrzuju, mam to v logu.
Co se tyce TLS, tam bych s "only" byl opatrny, zatim jsem na dost mistech zahledl upozorneni, ze treba Outlooky na to nejsou vsechny stavene. Ale overit to muzu az budu mit funkcni SASL2.

Jezevec: spravne, akorat netusim pod jakym jmenem to asi budu hledat...ja jen do budoucna ;)

Citace:

---

Původně odeslal Airwolf

to by me zajimalo, s autorizaci mam problem. SASL2 mam nainstalovane, nastavene, demona spustim, ale nikde nic. Postfix je na to nastaven, TLS umi, ale bez funkcni autorizace si muzu hvizdat kulky. konkretne by mne zajimalo, co vse je potreba pro nastaveni samotneho SASL2, sasldb2 jsem mel. HOWTO na to jsem nasel dost, ale proste ...ps aux ani -d sasl nikde v provozu nenaslo...

---

Tiez som s tym mal nejake problemy - ze to nic rozumne nevypisalo. Skus spustit "saslauthd -d".

Citace:

---

Co se tyce TLS, tam bych s "only" byl opatrny, zatim jsem na dost mistech zahledl upozorneni, ze treba Outlooky na to nejsou vsechny stavene. Ale overit to muzu az budu mit funkcni SASL2.

---

Vraj to aj s Outlookom chodi, len nesmie byt nejaky prehistoricky. Plain-text autentifikacia bez TLS je horsia ako ziadna - hlavne ked na tom istom stroji mas ssh pristup, vtedy je to rovno diera ako hrom.

Rainbow:
já mám ten správný konf asi /etc/default/saslauthd - řádek:
MECHANISMS="pam shadow sasldb"
... takže podle toho by to mělo být oka, ale nebere to. Nějaké další tipy? :)


Airwolf:
/etc/default/saslauthd
START=yes
máš nastaveno?
:)

Citace:

---

Původně odeslal Marty

Rainbow:
já mám ten správný konf asi /etc/default/saslauthd - řádek:
MECHANISMS="pam shadow sasldb"
... takže podle toho by to mělo být oka, ale nebere to. Nějaké další tipy? :)


Airwolf:
/etc/default/saslauthd
START=yes
máš nastaveno?
:)

---

heh to START jsem nasel po prohledani initscriptu, uzuz jsem ho tam chtel napsat rucne, kdyz jsem si vzpomel na default :D takze SASL/TLS mi bezi :cool: akorat ted badam nad shadowem. mit tam cyrus, tak uz je to funkcni. ani chmod 644 na /etc/shadow nestaci...takzhe hledam hledam googluju...

Citace:

---

Původně odeslal Airwolf

heh to START jsem nasel po prohledani initscriptu, uzuz jsem ho tam chtel napsat rucne, kdyz jsem si vzpomel na default :D takze SASL/TLS mi bezi :cool: akorat ted badam nad shadowem. mit tam cyrus, tak uz je to funkcni. ani chmod 644 na /etc/shadow nestaci...takzhe hledam hledam googluju...

---

No ale nejak moc konstruktivnich rad nepadlo :) Az neco najdes, ozvi se.
A predtim jeste zkus chmod 777 /etc/shadow :mweheh:

Citace:

---

Původně odeslal Marty

nemate nekdo nejaky pekny howto nebo tipy ke konfiguraci postfixu aby autorizoval rovnou z /etc/passwd ?

---

Tohle neni dobrej napad :D, musel by ti ten postfix bezet jako root.

Citace:

---

Původně odeslal Marty

No ale nejak moc konstruktivnich rad nepadlo :) Az neco najdes, ozvi se.
A predtim jeste zkus chmod 777 /etc/shadow :mweheh:

---

heh 777 jsem fakt nezkousel :D

no konstruktivni tu byl ;) pwcheck daemon, ale zda funguje i mimo cyrus-sasl jeste nevim.

takze se dostavam k dalsimu problemu...Postfix umi EHLO, ale Thunderbird hlasi ze ne...jestli to blokuje SGS od Nortonu tak si muzu jit polibit zadek...primo ze serveru si telnetem EHLO overit muzu...

edit: tak ESMTP na SGS povolene, ale...Thun hlasi ze v EHLO neni STARTTLS...za*rany SGS
abych upresnil: pokud na Thunu nastavim natvrdo spojeni pomoci TLS, tak oznami viz radek vyse. Pokud nastavim spojeni "Pokud je dostupne TLS", tak vidim v logu, ze TLS bylo aktivovano a SASL autorizace PLAIN (ale nevim zda ok ci false), kazdopadne mail projde. :/ to je bordel...

Citace:

---

Původně odeslal Jezevec

Tohle neni dobrej napad :D, musel by ti ten postfix bezet jako root.

---

No dobre, tak z jineho fajlu, ale aby se sprava uctu pro mailserver nemusela delat oddelene. Proste kdo bude mit ucet v systemu, bude mit pristup na SMTP.
Resit kopii passwd s pravy pro postfix a ten synchronizovat?

Vsak saslauthd to riesi, nie? Nastav mu len pam, to by mohlo fungovat. Da sa to vyskusat programom testsaslauthd.

Citace:

---

Původně odeslal Rainbow

Vsak saslauthd to riesi, nie? Nastav mu len pam, to by mohlo fungovat. Da sa to vyskusat programom testsaslauthd.

---

No fakt, a funguje to. Tak to mi nejak uniklo. Ten vypis konfigu vyse to resi. Super - jeste rozchodit TLS a budu spokojeno. :) ...pak uz jsou to vsecko jen drobnosti.

k tomu TLS, dela se to takto:

1. pomoci sasldb:

a) potrebujes saslauthd daemon,konfigurace je nasledujici:
/etc/postfix/main.cf

# sasl config
broken_sasl_auth_clients = yes
smtpd_sasl_auth_enable = yes
smtpd_sasl2_auth_enable = yes
smtpd_sasl_security_options = noanonymous
smtpd_sasl_local_domain = $myhostname

# tls config
smtp_use_tls = yes
smtpd_use_tls = yes
smtp_tls_note_starttls_offer = yes
smtpd_tls_auth_only = yes
smtpd_tls_key_file = /etc/postfix/ssl/smtpd.pem
smtpd_tls_cert_file = /etc/postfix/ssl/smtpd.pem
smtpd_tls_CAfile = /etc/postfix/ssl/smtpd.pem
smtpd_tls_loglevel = 1
smtpd_tls_received_header = yes
smtpd_tls_session_cache_timeout = 3600s
tls_random_source = dev:/dev/urandom

musis si vytvorit smtpd.pem, treba takto:

openssl req -new -x509 -nodes -out smtpd.pem -keyout smtpd.pem -days 3650

dale, potrebujes /etc/smtpd.conf:

log_level: 3
pwcheck_method: saslauthd
mech_list: plain login


dale potrebujes /etc/sasldb2 - TO JE TO CO NEMAS FUNKCNI:

je to databaze, co se vytvori takto:

saslpasswd2 -c -u tvoje.domena.cz -a smtpauth email-uzivatel

a pak:

chown postfix /etc/sasldb2

a to je vse, pak to frci, dalsiho uzivatele pridas zse pomoci:

saslpasswd2 -c -u tvoje.domena.cz -a smtpauth email-uzivatel

pokud NECHCES pouzivat /etc/sasldb2, pridas do /etc/postfix/main.cf toto:

smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
smtp_sasl_type = cyrus

no a soubor /etc/postfix/sasl_passwd vypada takto:

domena.cz username:password
domena.cz jinyuser:jineheslo

hesla jsou vzdy hesla z /etc/passwd daneho uzivatele ....

Tot vse, make to OK ... :-)

Citace:

---

Původně odeslal Airwolf

heh 777 jsem fakt nezkousel :D

---

Uff, to snad nemyslite ani jako vtip .... .-(

Citace:

---

Původně odeslal Airwolf

no konstruktivni tu byl ;) pwcheck daemon, ale zda funguje i mimo cyrus-sasl jeste nevim.

takze se dostavam k dalsimu problemu...Postfix umi EHLO, ale Thunderbird hlasi ze ne...jestli to blokuje SGS od Nortonu tak si muzu jit polibit zadek...primo ze serveru si telnetem EHLO overit muzu...

edit: tak ESMTP na SGS povolene, ale...Thun hlasi ze v EHLO neni STARTTLS...za*rany SGS
abych upresnil: pokud na Thunu nastavim natvrdo spojeni pomoci TLS, tak oznami viz radek vyse. Pokud nastavim spojeni "Pokud je dostupne TLS", tak vidim v logu, ze TLS bylo aktivovano a SASL autorizace PLAIN (ale nevim zda ok ci false), kazdopadne mail projde. :/ to je bordel...

---

Odesilani mailu projde i mimo povolene relay ????
Protoze jestli to posilas pres povolene relay (local) - tak je uplne jedno, zda mas TLS dobre nebo ne ...

Sakra ZAPOMENTE na chmod /etc/passwd nebo /etc/shadow !!!!

to je sileny ....

Citace:

---

Původně odeslal Jezevec

Tohle neni dobrej napad :D, musel by ti ten postfix bezet jako root.

---

Nemusel, on samozrejme Autorizuje lokalni Unixove ucty, i kdyz bezi pod uzivatelem postfix - s TLS autorizaci to vsak primo nesouvisi - viz. vyse.

Citace:

---

Původně odeslal svaca

Sakra ZAPOMENTE na chmod /etc/passwd nebo /etc/shadow !!!!

to je sileny ....

---

To byl vtip, omlouvam se, ze jsme te tim tak vydesili :)

Citace:

---

Původně odeslal svaca

Airwolf: Odesilani mailu projde i mimo povolene relay ????
Protoze jestli to posilas pres povolene relay (local) - tak je uplne jedno, zda mas TLS dobre nebo ne ...

---

relay musi byt povolene tak jako tak, jinak by uzivatele (i bez TLS) nemohli odeslat maily z lokalu ven...

ale co, tohle resit nemusime, funguje to, protoze Marty sem hodil popis toho, co mi bezi uz 2 tydny nejmin :cool:

spis jina otazka...zkousel jsem nahradit procmail maildropem. Jde nastavit maildrop, aby se neprepinal do domovskeho adresare uzivatele ? pokud adresar neexistuje, zustane zprava viset, coz v pripade ze ma vice prijemcu, pri opetovnem odeslani zpusobi opetovne odeslani zpravy vsem prijemcum.

Dale, mailovi klienti se hlasi jako "unknown[ipv4/6]". Da se jim priradit nejake jmeno (v klientu, DNS) ? Povolovat nezname klienty...se mi moc nechce :( Zahledl jsem v logu jak nekdo z jine firmy (dle mailu) poslal mail k nam, byl samozrejme jako "unknown" odmitnut, ale IP adresa vubec te firme nepatri, takze zrejme to bylo posilane z nejakeho klienta (buhvi odkud)...IP adresa nema zaznam:

Kód:

---

; <<>> DiG 9.2.4 <<>> 81.30.227.145
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 43120
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;81.30.227.145.                IN      A

;; AUTHORITY SECTION:
.                      10800  IN      SOA    a.root-servers.net. nstld.verisign-grs.com. 2006081901 1800 900 604800 86400

;; Query time: 48 msec
;; SERVER: 195.39.44.210#53(195.39.44.210)
;; WHEN: Sun Aug 20 12:49:46 2006
;; MSG SIZE  rcvd: 106

---

Citace:

---

Původně odeslal Rainbow

Podla vsetkeho, co som cital (a vyskusal), qmail pri prijimani mailov nekontroluje, ci taka adresa existuje. Prijme vsetko na nastavene domeny a potom, ked to nevie dorucit, posiela bounce maily ako debil :mad: Vraj je to feature :evil:

---

A co tě na tom překvapuje? Kdysi v dobách, kdy byl oblíbený program Ænima (by Phobos) existoval návod "Psycho bombing tips", ve kterém bylo jasně napsáno, že pokud chceme někoho bombnout velkým počtem emailů tak, aby nevěděl, z jaké to přišlo IP adresy, stačí zahltit nějaký POP server požadavkem na neexistující adresu a on už se postará o zbytek.