migracia qmail->postfix (bolo: qmail a bordel od spammerov)

[svaca]

protoze mam mbox a ne maildir. bez lockingu by to nemohlo fungovat. locking je navic nastaven defaultne dle postfixe. config ti poslu do SZ.

To je mi jasny, ze mas mbox, kdyz je to uw-imap ...
a zadny locking nepotrebujes ... to je nesmysl ...

Vyhod to a napis ten main.cf .... bude tam jeste nekde nejaka chybka ...

A propo ! z uw-imap pouzivam VZDY jen imapd demon, ale na pop3 pouzivam popa3d .... nebo courier ...

[Rainbow]

Tak Postfix sa osvedcuje - ako som ocakaval, pomaly mnozstvo toho svinstva klesa.

[Marty]

To bude spíš náhodný pokles

A co greylisting, už jsi zkoušel?

[rex]

To bude spíš náhodný pokles

A co greylisting, už jsi zkoušel?

Greylisting nebrat ...

pouzivam ho doma (zkousel jsem vsechny tri hlavni) ale proste na firme, ktera je zavisla na mailech - tedy potrebuji mail jeste drive, nez byl odeslany to neni ...

Jinak gut, ale nejvice se mi osvedcuje helo restrictions a snizovani levelu u spamassasinu ....

[rex]

Tak Postfix sa osvedcuje - ako som ocakaval, pomaly mnozstvo toho svinstva klesa.

A co ty rejected zpravy Ty je rovnou zahazujes, proto zadny spam ...

[rex]

Sakra. ....

REX = SVACA !

Prihlasil jsem se na kolegu ...
Muze to nekdo opravit ?

Dik

[Rainbow]

Greylisting som neskusal a asi ani nebudem.
Myslel som pokles tych rejected. Spam je nula preto, ze tam nie je Spamassassin.
Zmenit ownera postu asi len tak nepojde...

[svaca]

neva.

Jaktoze nemas spamassassin ?
Jak resis spam ?

[Marty]

neva.

Jaktoze nemas spamassassin ?
Jak resis spam ?

s rejectovanim na zaklade blacklistu a par pravidel (reject_invalid_hostname, reject_non_fqdn_hostname, reject_unknown_sender_domain, ...). hned ubude spamu - mrkni na ten muj graf, mam tam spamu jednotky denne, to je to co proslo tim filtrem na zaklade blacklistu a pravidel.
takze spamassassin prakticky neni potreba.

[svaca]

s rejectovanim na zaklade blacklistu a par pravidel (reject_invalid_hostname, reject_non_fqdn_hostname, reject_unknown_sender_domain, ...). hned ubude spamu - mrkni na ten muj graf, mam tam spamu jednotky denne, to je to co proslo tim filtrem na zaklade blacklistu a pravidel.
takze spamassassin prakticky neni potreba.

jj to mam taky + helo restraction, ale takovy stesti nemam .....

Myslim tedy u zakazniku, ja jsem celkem v pohode ..

Pouze blacklist nepouzivam, da se nekde sehnat nejaka poradna databaze

Diky.

[Airwolf]

s rejectovanim na zaklade blacklistu a par pravidel (reject_invalid_hostname, reject_non_fqdn_hostname, reject_unknown_sender_domain, ...). hned ubude spamu - mrkni na ten muj graf, mam tam spamu jednotky denne, to je to co proslo tim filtrem na zaklade blacklistu a pravidel.
takze spamassassin prakticky neni potreba.

kolik cca lidskych postovnich uctu ten tvujserver obsluhuje ? ono taky zalezi, kde vsude jsou ty maily uvedene...

priklad muj primar...

posledni tyden cca 140k odmitnuto, cca 4-6k spamu...pouze nekolik desitek mail uctu...

usetreni prace userum - spamassassin bych nasadil vzdy...

ad blacklisty: testuji zrovna na sekundaru blackhole.mail-abuse.org, xbl.spamhaus.org, sbl.spamhaus.org

btw: kdyby nekdo uvazoval o sekundarnim MX s 4(!!) ucty (zbytek se preposila)...http://cacti.impuls.cz/mailgraph.cgi

[Rainbow]

Priamo na tom serveri ma schranku len par ludi, takze ti nejaky ten spam preziju Vacsina mailov su len aliasy a spam sa zistuje az na cielovom serveri.

[svaca]

Priamo na tom serveri ma schranku len par ludi, takze ti nejaky ten spam preziju Vacsina mailov su len aliasy a spam sa zistuje az na cielovom serveri.

ja mam cca 50-60 schranek, tam kde je to fakt maso ...
A to je nemocnice:

http://mail.pnsp.cz/cgi-bin/mailgraph.cgi

[Marty]

tady ten je pouze prichozi posta pro vydavatelstvi, asi tak 50 mailboxu. odchozi posta jde jinudy.

[Jezevec]

Greylisting som neskusal a asi ani nebudem.

Ja ho testim doma - postgrey, a aktualne to vypada zhruba tak, ze urcite 50-70%% spamu odstreli rovnou postfix (mam maximalne striktni nastaveni na RFC + check domeny a reverzu) a na greylistu zdechne dalsich 15 - 20%.

Do klienta mi dorazi semo tamo nakej kousek oznacenej nasledne za spam.

Z nejakyho me zatim utajenyho duvodu se mi nepovedlo rozchodit amavis (Gentoo) abych moh odfiltrovat ten zbytek.

BTW: celkem mi vyhovuje ze postfixem takhle odfitruju i cast spamu stahovanyho pomoci fetchmailu.

[Rainbow]

Doma to mozes spravit, lenze vo firmach pouzivaju ludia nielen shity typu Outlook ale aj vselijake prapodivne a zle nakonfigurovane SMTP servery...

[Marty]

Doma to mozes spravit, lenze vo firmach pouzivaju ludia nielen shity typu Outlook ale aj vselijake prapodivne a zle nakonfigurovane SMTP servery...

Tak tak, a pokud se server používá pro přímé odesílání pošty z lokálu jako SMTP, tak nemůžeš používat podmínku požadovat FQDN, protože to dost často v lokální síti ani nemáš.. Teda já nikdy kompům v lokálu neřešil reverzy a podobný věci. Vy jo?

[svaca]

To JEZEVEC:

1. a co zpozdeni + prave spatne nastaveny nastaveni SMTP Taky jsem mel takovy restrikce, ale kdyz pak neprijdou dulezite mejly je to problem ...

A nemam pored cas ladit whitelisty a blacklisty ...

2. Amavis - muzu poradit ... napis SZ

[Rainbow]

Domenu sendera (cast za @ v adrese) mozes kontrolovat - ci je to FQDN a tiez ci existuje. Dalej sa mi celkom osvedcili dva rbl blacklisty - sbl-xbl.spamhaus.org a bl.spamcop.net.

Kód:

smtpd_recipient_restrictions =
        permit_mynetworks,
        permit_sasl_authenticated,
        reject_unauth_destination,
        reject_rbl_client sbl-xbl.spamhaus.org,
        reject_rbl_client bl.spamcop.net,
        reject_rbl_client relays.ordb.org,
        permit

smtpd_sender_restrictions =
        reject_non_fqdn_sender,
        reject_unknown_sender_domain,
        permit

Vyborna vec proti spamu je "reject_unknown_client_hostname", lenze hrozne vela normanych SMTP serverov je zle nakonfigurovanych a odmieta to potom od nich postu. Posfix 2.3 a novsi ma "reject_unknown_reverse_client_hostname" - to by sa asi dalo pouzit.
Normalne sa to pouziva takto:

Kód:

smtpd_client_restrictions =
       permit_mynetworks,
       reject_unknown_client,
       permit

permit_mynetworks zabezpeci, ze maily z lokalnej siete pojdu (inak by ludia neboli velmi nadseni )

[Jezevec]

Tak tak, a pokud se server používá pro přímé odesílání pošty z lokálu jako SMTP, tak nemůžeš používat podmínku požadovat FQDN, protože to dost často v lokální síti ani nemáš.. Teda já nikdy kompům v lokálu neřešil reverzy a podobný věci. Vy jo?

No fuj , vsechny kompy v moji siti maj samo komplet naconfeny DNS vcetne reverzu a to jak na privatni IPv4(to je samo videt jen ve vnitrni siti, zvenku to videt neni) tak na produkcni IPv6. Nehlede na to, ze lokalni klienti tak jako tak padnou do permit_mynetworks.

BTW: emaily od tebe pozdrzel postgrey o 316s - coz je neco pres 5 minut. To zalezi ciste na nastaveni odesilajiciho SMTP jak rychle se pokusi o spojeni znovu. Pokud se nepokusi => asi neni az zajem email dorucit => asi neni o co stat.

2svaca: nespravne naconfeny MTA neresim, IMO to svedci o neschopnosti admina (99% MTA je defaultne OK pokud se v tom nikdo nerejpe + DNS(A/AAAA + reverz + MX) povazuju za samozrejmost) potazmo o neschopnosti firmy. A vzhledem k tomu s kym komunikuju mi to zaroven prijde jako dobrej filtr na to, od koho pripadne neco koupim.

[Marty]

No fuj , vsechny kompy v moji siti maj samo komplet naconfeny DNS vcetne reverzu a to jak na privatni IPv4(to je samo videt jen ve vnitrni siti, zvenku to videt neni) tak na produkcni IPv6. Nehlede na to, ze lokalni klienti tak jako tak padnou do permit_mynetworks.

BTW: emaily od tebe pozdrzel postgrey o 316s - coz je neco pres 5 minut. To zalezi ciste na nastaveni odesilajiciho SMTP jak rychle se pokusi o spojeni znovu. Pokud se nepokusi => asi neni az zajem email dorucit => asi neni o co stat.

2svaca: nespravne naconfeny MTA neresim, IMO to svedci o neschopnosti admina (99% MTA je defaultne OK pokud se v tom nikdo nerejpe + DNS(A/AAAA + reverz + MX) povazuju za samozrejmost) potazmo o neschopnosti firmy. A vzhledem k tomu s kym komunikuju mi to zaroven prijde jako dobrej filtr na to, od koho pripadne neco koupim.

ad permit_mynetworks - máš pravdu. s DNSkami lokulně nevím. asi se teda budu stydět

ad maily ode mě - ten server nemám ve správě, nevím ani co se na něm děje, ale asi je ok. jinak by ti to nedorazilo

ad greylisting obecně - u klientů je to většinou fakt blbý. jeden náš klient je vydavatelství, kde se redaktoři vztekaj když jim nedorazí maily třeba od čtenářů - tam pak nemůžeš čekat nějaký dobře konfený servery... takže používáme blacklisty a přidáváme na whitelisty servery freemailu atp.

[Airwolf]

o nejakem automatickem lokalnim blacklistu v zavislosti rekneme na poctu chybne odeslanych mailu nevite ? proti generovanym odesilatelum to je nepouzitelne, ale proti stejnym...to pouzitelne je...

btw Rainbow: neni lepsi mit ty blacklisty v smtpd_sender_restrictions ?
btw2 Rainbow: SASL ti bezi na jakem systemu ? momentalne se to snazim rozjet na debianu, TLS a SASL by tam bezet melo, ale ...jeste nejede.

[Jezevec]

Mno on ten greylist je hlavne o obecnym povedomi. Je to stejny jako s webem, nevalidni stranky se taky vetsinou "nejak" zobrazej => spousta lidi na validitu doslova sere (a casto i "profici").

Co me dovede vazne zvednou je kuprikladu email bez subj. To mam vzdycky chut dotycnymu odepsat neco ve smyslu, at se nauci nejdriv ten nesmirne slozity nastroj zvany mail pouzivat a do ty doby at me neotravuje(bohuzel ne vzdy si to muzu dovolit ). Nemluve o tom ze takovej mail z vysokou pravdepodobnosti skonci tak jako tak v /dev/null.

Co se DNS tejce, ripe a spol by IMO mel bejt daleko agresivnejsi a pokud je aktivnich vic nez N% z pridelenyho rozsahu IP a nemaj DNS/reverz, mel by rozsah dotycnymu proste odebrat.

o nejakem automatickem lokalnim blacklistu v zavislosti rekneme na poctu chybne odeslanych mailu nevite ? proti generovanym odesilatelum to je nepouzitelne, ale proti stejnym...to pouzitelne je...

Chapu to dobre ze chces aby se posilaly do /dev/null maily od pepazdepa@jzd.cz pokud ti od nej prijde trebas 5 mailu na neexistujici ucet ? Tohle urcite existuje, a slo by to vyuzit i proti serveru ze kteryho ti prijde vic mailu, ale na konkretni SW te neodkazu, zkus hledat, v nejhorsim to pujde napsat jako script (nejspis perl).

Takovy neohrabany reseni = cron + sledovani logu + uprava blacklistu

[Rainbow]

btw Rainbow: neni lepsi mit ty blacklisty v smtpd_sender_restrictions ?

Ked je to v recipient, tak vidim komu by ten mail dosiel. Niekedy sa to moze hodit. Nie je to moj napad, niekde som to cital

btw2 Rainbow: SASL ti bezi na jakem systemu ? momentalne se to snazim rozjet na debianu, TLS a SASL by tam bezet melo, ale ...jeste nejede.

To SASL je z Gentoo - tam to islo celkom lahko, samozrejme s TLS. V Debiane je stary Postfix, ktory nema este integrovanu podporu SASL a potom nejaky patchovany, ktory som radsej neskusal.

[Marty]

Ja jsem dnes stastne rozjel autorizaci na postfixu 2.1.5-9 pod debianem sarge (kernel 2.4.29-bf2.4 SMP pro uplnost ) s postfix-tls 2.1.5-9 se sasl2 2.1.19-1.5sarge. Sice zatim jen na sasldb2 bez TLS a na plain hesla only, ale taky dobry.

nemate nekdo nejaky pekny howto nebo tipy ke konfiguraci postfixu aby autorizoval rovnou z /etc/passwd ?