Postfix + Dovecot

[Petr.Vileta]

Najde se tu nekdo, kdo by mi pomohl se spravnym nastavenim $SUBJ? Vim presne, co bych chtel docilit, ale nevim jak.

[jzvc]

A co presne chces docilit?

[Martin Broz]

Taky cekam na konkretni zadani. Tuhle kombinaci bezne nasazuju. Treba bych mohl poradit, ale Petr ma velmi zvlastni naroky, takze se do toho zase moc nehrnu.

[Petr.Vileta]

1) Strasne rad bych vyradil z provozu skenovani grafickeho obsahu mailu, ale to je vlastne Spamassassin.

SA warn: FuzzyOcr: Skipping gocr, invalid command '$gocr': 39 Time(s)

2) Chtel bych urcite konkretni IP adresy uplne zaplokovat pro prichozi maily. Nekde jsem nasel nejaky navod, ze kdyz vytvorim soubor napr. banned.cidr a do nastaveni postfixu dam tohle

Kód: Vybrat vše

smtpd_client_restrictions = cidr:/etc/postfix/banned.cidr,
                            ... (dalsi podminky)

tak ze to bude odmitat vsechny prichozi maily ze seznamu IP adres uvedenych v tom souboru (jedna IP na jedne radce). Jenze ono to mozna nefunguje a potreboval bych overit funkcnost. Uz se mi totiz stalo, ze v logu najdu neco jako

Kód: Vybrat vše

dovecot: auth(default): auth(?,222.186.91.68): Invalid username: abuse: 1 Time(s)
dovecot: auth(default): auth(?,222.186.91.68): Invalid username: adam: 1 Time(s)
dovecot: auth(default): auth(?,222.186.91.68): Invalid username: adm: 1 Time(s)

asi tak 500 radek, tak chci tu IP do seznamu pridat a hele, ona uz tam je.

Ten soubor banned.cidr vypada takto

Kód: Vybrat vše

14.104.99.40    REJECT
24.104.158.13   REJECT
38.108.80.66    REJECT

3) Pouzivam virtualni uzivatele a tedy v MySQL postfixu mam nekde nastvene, do jakeho fyzickeho adresare se to ma ukladat. Jenze bych potreboval pro jednu mailovou adresu to poslat do PIPE (na vstup skriptu) a nikam dal to nedorucovat. Nikde jsem nenasel navod, jak to udelat.

Takze pokud nekdo poradite alespon s necim, budu rad.

[jzvc]

ad 2) variant je vic, pokud mas moznost, pridej reject do firewallu => protistrana se vubec nedostane ke komunikaci, pokud by od ni sel nejaky vetsi traffic, tak je lepsi drop.

cidr: ... nevim nepouzivam, ale 100% funguje hash: ... na ten vyrobenej soubor pak pustis jeste postmap, kterej z toho vyrobi "binarku" a lze to samo menit i za chodu.
jop, navic bych rek, ze ti tam neco chybi.

Kód: Vybrat vše

smtpd_client_restrictions = permit_mynetworks,
                            check_client_access hash:/etc/postfix/accepted_servers,
                            reject_unknown_client

co takhle pred to napsat "check_client_access"

ad 3) napada me leda varianta s presmerovani "vseho" na ten script s tim, ze krom vybranyho mailu to vsechno hned vrati. Reseni podobne jako sou napojeny antiviraky, spam filtry ... lze k tomu pripojit filtr. S toho SQLka to neudelas, aspon pokud vim.

[Petr.Vileta]

No ja ale mam server, kde bezi par domen a nejsou moje, takze jaksi nemohu prijimat jen od vyjmenovanych klientu. V tom configu toho mam samozrejme vic, jen jsem to pro prehlednost vynechal. Doslova tam mam tohle

Kód: Vybrat vše

smtpd_client_restrictions = cidr:/etc/postfix/ipban.cidr,
                            permit_sasl_authenticated,
                            cidr:/etc/postfix/oksenders.cidr,
                            reject_rbl_client sbl.spamhaus.org,
                            #check_policy_service inet:127.0.0.1:60000,
                            permit

Ted me tak napada, jestli bych ten muj cidr nemel pridat jeste do smtpd_sender_restrictions

[jzvc]

Ten config (celej) co sem poslal dela to, ze kontroluje zda odesilatel ma odpovidajici reverz (=IP lze prelozit na jmeno a to jmeno zpet na stejnou IP), tohle zajistuje posledni volba, prvni pak automaticky akceptuje komunikaci z vlastni site, a ten prostredek dela presne to, co chces - soubor ve formatu IP CoSTim

---
Jen tak pro info, tohle pravidlo dokaze sejmout 90% spamu samo o sobe, samo ma dost "false positive", ale otazka zni, zda chces komunikovat s idioty, co si neumej nakonfigurovat DNS. Aplikuju u nekolika zakazniku a ve vyjimkach mam jednotky IPcek. Nikdo si nijak zvlast po predchozim spam stormu enstezuje (na jednoho zakaznika chodilo kolem 4-5k spamu denne, omezil sem to na desitky do spam filtru a jednotky co projdou az k lidem)
---

Pr:
#idiot co nema reverz
1.2.3.4 OK

Pokud bys tam misto OK napsal REJECT, tak to naopak s tim serverem komunikovat vubec nebude. Na ten textovej soubor (s nazvem accepted_servers) jen musis jeste pustit "postmap accepted_servers", coz vytvori soubor accepted_servers.db

----
=> jak sem ti psal, postfix umi pouzivat vic ruznych formatu pro filtrovani, nevim jak moc funguje zrovna cidr: neb ho nepouzivam, ale sem si temer jistej tim, ze to nemuzes pouzit tak jak to pouzivas, protoze on nevi, co od toho ocekavas - ty mu sice predhodis tabulku s pravidly, ale nereknes mu, co s ni ma udelat.

=> to tvoje pravidlo se smrskne na nasledujici

Kód: Vybrat vše

smtpd_client_restrictions = permit_sasl_authenticated,
                            reject_rbl_client sbl.spamhaus.org,
                            permit

Edit: Tuhle http://www.postfix.org/postconf.5.html mas vsechny pripadny parametry, tak jak to mas to proste v zadnym priapde nemuze fungovat.

Aby to delalo to co chces (pokud fungujou ty tabulky) by to muselo vypadat takhle

Kód: Vybrat vše

smtpd_client_restrictions = check_client_access cidr:/etc/postfix/ipban.cidr,
                            permit_sasl_authenticated,
                            check_client_access cidr:/etc/postfix/oksenders.cidr,
                            reject_rbl_client sbl.spamhaus.org,
                            #check_policy_service inet:127.0.0.1:60000,
                            permit

Edit: Jeste podotykam, ze tam mas soubor oksenders zbytecne, protoze na konci mas permit => akceptujes vsechno co nevyhodis predchozim pravidlem.

[Petr.Vileta]

Ten config (celej) co sem poslal dela to, ze kontroluje zda odesilatel ma odpovidajici reverz (=IP lze prelozit na jmeno a to jmeno zpet na stejnou IP)

To by ses divil, kolik idiotu je. Kdejaka obecni sit v hornidolni.cz to nema nastavene a vsichni jeji uzivatele musi pouzivat jejich smtp.hornidolni.cz, protoze je to jinam na port 25 nepusti.

... nevim jak moc funguje zrovna cidr: neb ho nepouzivam, ale sem si temer jistej tim, ze to nemuzes pouzit tak jak to pouzivas, protoze on nevi, co od toho ocekavas - ty mu sice predhodis tabulku s pravidly, ale nereknes mu, co s ni ma udelat.

V tom souboru je

Kód: Vybrat vše

1.2.3.4 REJECT

nebo

Kód: Vybrat vše

1.2.3.4 OK

Takze to vi, co to ma udelat. Delal jsem to podle navodu a prislo mi to lepsi jako plaintext soubor, nez pokazde spoustet postmap.

Kód: Vybrat vše

smtpd_client_restrictions = permit_sasl_authenticated,
                            reject_rbl_client sbl.spamhaus.org,
                            permit

No prave ze mam dost blbe zkusenosti se spamhausem. Obcas se tam nekdo dostane a za par dni je zase vymazan (treba i Seznam tam jednou 3 dny byl), ale protoze to je muj klient, musim nejak zajistit, aby se mu pristup povolil vzdycky.

Kód: Vybrat vše

smtpd_client_restrictions = check_client_access cidr:/etc/postfix/ipban.cidr,
                            permit_sasl_authenticated,
                            check_client_access cidr:/etc/postfix/oksenders.cidr,
                            reject_rbl_client sbl.spamhaus.org,
                            #check_policy_service inet:127.0.0.1:60000,
                            permit

Edit: Jeste podotykam, ze tam mas soubor oksenders zbytecne, protoze na konci mas permit => akceptujes vsechno co nevyhodis predchozim pravidlem.

Tady to mam opet kvuli debilnimu spamhausu. On dokaze opravdu hodne dobreho, ale jak rikam, obcas zakazuje i legalni servery (Seznam) a naopak tam nikdy nema Pekingskou Univerzitu, odkud spamy letaji po milionech.