Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » FAQ по Exim MTA

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

ShriEkeR (16-05-2011 18:50): FAQ по Exim MTA #2  Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102

   

ginger



Рыжик
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Текущая версия Exim 4.72

   Home page Автор Philip Hazel, University of Cambridge.
Exim - чертовски быстр, отличный выбор для загруженных систем. Свободно распространяемый Mail Transport Agent (MTA, лицензия GPL), обладающий возможностью очень гибкой и тонкой настройки, включая поиск конфигурационной информации в базах данных - mySQL, PostgresQL, Oracle, SQLite.., а также LDAP.  В Exim встроена поддержка Maildir (quota), SMTP-аутентификация, TLS/SSL, SpamAssassin, сканирование на лету антивирусом(ами), ACL, системные фильтры... Сомневающимся.
На многие вопросы помогут найти ответы рассылки: На русском + На английском
Документация на русском по Exim + много полезной инфы на www.lissyara.su

Установка почтового сервера на базе Exim с поддержкой виртуальный аккаунтов (MySQL).
Подробное руководство состоит из двух связанных частей:
   1. Установка и настройка Exim 4.20.
   2. Установка  и настройка Tpop3d с поддержкой виртуальных аккаунтов.
Внимательно читаем здесь © ginger
-=-=-=-
Улучшенный вариант части 1: Exim-4.50 + MySQL © ginger
-=-=-=-
Так как Tpop3d не совместим с MS Outlook Express 6, а также не поддерживает IMAP, автор рекомендует его заменить на Dovecot. Изменения, которые нужно сделать cмотрим здесь © ginger
-=-=-=-
Еще один вариант установки © Wombat
-=-=-=-
Exim+Courier-Imap+MySQL+ClamAV+DSPAM+SquirrelMail © Павел Семенец Искать по ctrl+F=Павел Семенец
-=-=-=-
Опции для сборки exim из портов (FreeBSD) © tankistua
 
Уважаемые коллеги!
 
Нам очень дороги ваши конфиги и логи на несколько страниц, но, поверьте, их гораздо приятнее читать когда они заключены в тэг more.

Всего записей: 852 | Зарегистр. 03-09-2001 | Отправлено: 10:58 29-08-2003 | Исправлено: hoochie, 22:55 16-12-2010
fzfxru

BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
хм... вопрос такой:
1. это ответ на сообщение, созданное и посланное моим MTA?
2. это ответ на сообщение, пересланное моим MTA от другого MTA?  
3. это может быть как 1 так и 2?
если вариант 1, значит это видимо bounce, что для меня приемлимо. если варианты 2 и 3, значит это приём и доставка спама моим MTA, что неприемлимо.

Всего записей: 8 | Зарегистр. 15-08-2008 | Отправлено: 19:36 16-08-2008
fzfxru

BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
обнаружилась следующая проблема.
напомню конфиг - debain lenny + exim 4.69.
есть пользователь почты, пользуется на своём ноуте с вистой почтовым клиентом Почта Windows aka Windows Mail. На все сообщения отправляемые внешним адресатам получает ошибку Windows Mail. В mainlog exim'а при этом валится relay not permitted. Поставил для теста ему The Bat -  
отправляет нормально. В mainloge обнаружилось - для попыток отправок из Windows Mail отсутствуют данные о прохождении авторизации, тогда как у The Bat'а есть такие сведения:
 
--- mainlog (Windows Mail) ---
2008-08-18 14:28:56 [28592] SMTP connection from [77.241.45.14]:53143 I=[192.168.1.99]:25 (TCP/IP connection count = 1)
2008-08-18 14:29:01 [28851] no host name found for IP address 77.241.45.14
2008-08-18 14:29:01 [28851] H=(LocalHost) [77.241.45.14]:53143 I=[192.168.1.99]:25 F=<ksa@nwlt.ru> rejected RCPT <f20140@gmail.com>: relay not permitted: nether local recipient nor domain allowed for relaying over our domain
 
--- cut ---
--- mainlog (The Bat) ---
2008-08-18 14:33:19 [28592] SMTP connection from [77.241.45.14]:53149 I=[192.168.1.99]:25 (TCP/IP connection count = 1)
2008-08-18 14:33:24 [28891] no host name found for IP address 77.241.45.14
2008-08-18 14:33:25 [28891] 1KV23A-0007Vz-TM <= ksa@nwlt.ru H=([127.0.0.1]) [77.241.45.14]:53149 I=[192.168.1.99]:25 P=esmtpa A=plain_server:ksa S=905 id=572237408.20080818143320@nwlt.ru from <ksa@nwlt.ru> for f20140@gmail.com
2008-08-18 14:33:25 [28891] SMTP connection from ([127.0.0.1]) [77.241.45.14]:53149 I=[192.168.1.99]:25 closed by QUIT
2008-08-18 14:33:27 [28894] 1KV23A-0007Vz-TM => f20140@gmail.com F=<ksa@nwlt.ru> P=<ksa@nwlt.ru> R=dnslookup T=remote_smtp S=935 H=gmail-smtp-in.l.google.com [64.233.179.27]:25 C="250 2.0.0 OK 1219055607 17si6432823hsq.19" QT=3s DT=2s
2008-08-18 14:33:27 [28894] 1KV23A-0007Vz-TM Completed QT=3s
--- cut ---
 
Поставил на ноут сниффер - результат:
--- wiresharek (Windows Mail) ---
469    8.849279    84.52.116.106    10.206.55.91    SMTP    Response: 220 melchior.nwlt.ru ESMTP Exim 4.69 Mon, 18 Aug 2008 15:06:17 +0400
470    8.849696    10.206.55.91    84.52.116.106    SMTP    Command: EHLO LocalHost
471    8.858500    84.52.116.106    10.206.55.91    TCP    smtp > 53733 [ACK] Seq=71 Ack=17 Win=5888 Len=0
472    8.858555    84.52.116.106    10.206.55.91    SMTP    Response: 250-melchior.nwlt.ru Hello LocalHost [77.241.45.14]
473    8.866762    10.206.55.91    84.52.116.106    SMTP    Command: MAIL FROM: <ksa@nwlt.ru>
474    8.876134    84.52.116.106    10.206.55.91    SMTP    Response: 250 OK
475    8.876571    10.206.55.91    84.52.116.106    SMTP    Command: RCPT TO: <f20140@gmail.com>
477    8.885758    84.52.116.106    10.206.55.91    SMTP    Response: 550-relay not permitted: nether local recipient nor domain allowed for relaying
... и далее разрыв связи
--- cut ---
--- wireshark (The Bat) ---
404    7.938561    84.52.116.106    10.206.55.91    SMTP    Response: 220 melchior.nwlt.ru ESMTP Exim 4.69 Mon, 18 Aug 2008 15:34:45 +0400
408    8.005064    10.206.55.91    84.52.116.106    SMTP    Command: EHLO [10.206.55.91]
409    8.013823    84.52.116.106    10.206.55.91    TCP    smtp > 53850 [ACK] Seq=71 Ack=22 Win=5888 Len=0
410    8.013863    84.52.116.106    10.206.55.91    SMTP    Response: 250-melchior.nwlt.ru Hello [10.206.55.91] [77.241.45.14]
411    8.014131    10.206.55.91    84.52.116.106    SMTP    Command: AUTH PLAIN
412    8.022852    84.52.116.106    10.206.55.91    SMTP    Response: 334  
413    8.023089    10.206.55.91    84.52.116.106    SMTP    Command: <здесь_команда_последовательность_авторизации>
414    8.032813    84.52.116.106    10.206.55.91    SMTP    Response: 235 Authentication succeeded
415    8.034893    10.206.55.91    84.52.116.106    SMTP    Command: MAIL FROM:<ksa@nwlt.ru> SIZE=715
417    8.044595    84.52.116.106    10.206.55.91    SMTP    Response: 250 OK
... и далее отправка сообщений
--- cut ---
 
Т. е. корнем проблемы я вижу то, что Windows Mail не высылает команду AUTH PLAIN серверу, либо же в том, что сервер не даёт запрос клиенту на авторизацию...
 
Вот что используется для авторизации в конфиге сервера:
--- exim4.conf.template ---
 plain_server:
   driver = plaintext
   public_name = PLAIN
   server_condition = "${if crypteq{$auth3}{${extract{1}{:}{${lookup{$auth2}lsearch{CONFDIR/passwd}{$value}{*:*}}}}}{1}{0}}"
   server_set_id = $auth2
   server_prompts = :
 
--- cut ---
Внимание, вопрос: как увязать windows mail и exim? Какая опция в конфиге exim'а может "попросить" windows mail начать авторизацию?

Всего записей: 8 | Зарегистр. 15-08-2008 | Отправлено: 15:41 18-08-2008
but4er



Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
> Внимание, вопрос: как увязать windows mail и exim? Какая опция в конфиге exim'а может "попросить" windows mail начать авторизацию?
 
надо настроить в exim - auth login, именно так авторизуется windows outlook. насчет более серьезной аутентификации, я не знаю, вернее не использовал.

Всего записей: 7 | Зарегистр. 22-09-2005 | Отправлено: 19:55 18-08-2008
jenkamf



Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Помогите решить проблему, с exim'ом дружу плохо, почтовый сервер остался по наследству.
ситуация следующая: есть корпоративный почтовый сервер. стоит Cpanel, Exim и SpamAssassin.
На Cpanel в Mail Queue Manager висят письма-отлупы, которые приходят от спамеров на наш почтовый сервер на несуществующие ящики (например asjdbnhjbas@moidomen.ru), отлупы никуда не могут уйти, т.к. адрес отправителя тоже не существует, как сделать, чтобы эти письма вообще не доходили до нашего сервера и резались прямо при получении?

Всего записей: 27 | Зарегистр. 15-07-2008 | Отправлено: 04:33 19-08-2008
macumazan



Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
А кто-нибудь встречал  пользовательский веб интерфейс для сабжа? Поделитесь ссылочкой плз.

Всего записей: 29 | Зарегистр. 19-08-2008 | Отправлено: 17:46 19-08-2008
but4er



Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
squirrellmail ? сам недавно ставил для доступа к imap серверу. только он не для сабжа, а в принципе, для imap сервера ну и может использовать smtp сабж, как опцию.

Всего записей: 7 | Зарегистр. 22-09-2005 | Отправлено: 22:44 19-08-2008
Sun Ray

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
поделитесь инклудом вот для такой структуры таблички

Код:
 
CREATE TABLE `admin` (
  `username` varchar(255) NOT NULL default '',
  `password` varchar(255) NOT NULL default '',
  `created` datetime NOT NULL default '0000-00-00 00:00:00',
  `modified` datetime NOT NULL default '0000-00-00 00:00:00',
  `active` tinyint(1) NOT NULL default '1',
  PRIMARY KEY  (`username`),
  KEY `username` (`username`)
) TYPE=MyISAM COMMENT='Exim and dovecot Admin - Virtual Admins';
 


Всего записей: 461 | Зарегистр. 17-03-2006 | Отправлено: 18:09 22-08-2008 | Исправлено: Sun Ray, 18:10 22-08-2008
fzfxru

BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
продолжаю в конфиге встречать такие сообщения, причём во всех фигурирует неизвестный мне hinet.net:
 
---
2008-08-28 07:45:38 [23838] 1KS2da-0004qy-0h => twsunris@ms48.hinet.net F=<yijuan@yahoo.com.tw> P=<yijuan@yahoo.com.tw> R=dnslookup T=remote_smtp S=3099 H=ms48a.hinet.net [168.95.5.48]:25 C="250 LAA28911 Message accepted for delivery" QT=2w3d23h11m DT=1m2s
2008-08-28 07:45:38 [24071] 1KS2da-0004qy-0h titan.seed.net [216.234.246.150]:25 Connection refused
2008-08-28 07:45:38 [23838] 1KS2da-0004qy-0h == tsuei123@titan.seed.net R=dnslookup T=remote_smtp defer (111): Connection refused
2008-08-28 07:45:38 [24073] 1KYYS2-0006GH-LE <= <> R=1KSKb1-0003gC-Vg U=Debian-exim P=local S=1154 from <> for monicavivian@msn.com
2008-08-28 07:45:39 [24074] 1KYYS2-0006GH-LE ** monicavivian@msn.com F=<> P=<> R=dnslookup T=remote_smtp: SMTP error from remote mail server after RCPT TO:<monicavivian@msn.com>: host mx3.hotmail.com [65.54.245.72]: 550 Requested action not taken: mailbox unavailable
2008-08-28 07:45:39 [24074] 1KYYS2-0006GH-LE Frozen (delivery error message)
2008-08-28 07:45:58 [24043] 1KYYRj-0006FP-6I => deanarthur@cm1.hinet.net F=<> P=<> R=dnslookup T=remote_smtp S=1237 H=cm1a.hinet.net [168.95.5.44]:25 C="250 LAA06064 Message accepted for delivery" QT=39s DT=39s
---
 
и следующие:
---
2008-08-28 07:49:27 [24227] 1KYYVh-0006Ij-QY SMTP error from remote mail server after initial connection: host mx2.mail.tw.yahoo.com [203.188.197.10]: 453 Mail from 84.52.116.106 not allowed - [90]
2008-08-28 07:49:27 [24226] 1KYYVh-0006Ij-QY == henry.www@yahoo.com.tw R=dnslookup T=remote_smtp defer (0): SMTP error from remote mail server after initial connection: host mx2.mail.tw.yahoo.com [203.188.197.10]: 453 Mail from 84.52.116.106 not allowed - [90]
---
 
вопрос: я правильно понимаю, что через мой exim4 таки ходит спам от узлов hinet.net?

Всего записей: 8 | Зарегистр. 15-08-2008 | Отправлено: 12:28 28-08-2008
hoochie



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
fzfxru
 

Код:
~> telnet 84.52.116.106 25
Trying 84.52.116.106...
Connected to 106.116.dsl.westcall.net.
Escape character is '^]'.
220 melchior.nwlt.ru ESMTP Exim 4.69 Thu, 28 Aug 2008 14:17:01 +0400
helo hinet.net
250 melchior.nwlt.ru Hello xxx [xxx]
mail from: hi@hinet.net
250 OK
rcpt to: wsunris@ms48.hinet.net
550-relay not permitted: nether local recipient nor domain allowed for relaying
550 over our domain

 
Не
Цитата:
от узлов hinet.net
, а на. Relay у тебя закрыт, но если у тебя нет активной переписки с доменом hinet.net, то кто-то пользуется твоим сервером еще.

Всего записей: 434 | Зарегистр. 30-03-2003 | Отправлено: 14:28 28-08-2008
tankistua

Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
fzfxru
кусок лога отрезал - там где написано, откуда попало это письмо на твой сервер. Это самое главное, а не кому это письмо должно быть отправлено.

Всего записей: 9572 | Зарегистр. 15-01-2002 | Отправлено: 22:53 28-08-2008
hoochie



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
tankistua
Знаешь, тоже хотел ему про это написать, но потом передумал. Но даже от приложенной инфы становится нехорошо.

----------
Раньше у нас было время
Теперь у нас есть дела...

Всего записей: 434 | Зарегистр. 30-03-2003 | Отправлено: 23:26 28-08-2008 | Исправлено: hoochie, 23:27 28-08-2008
tankistua

Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ну спамерам тоже ведь надо как-то жить :)
 
З.Ы. дефолтный экзимовский конфиг не выступает открытым релаем, откуда такое получается - я не понимаю.

Всего записей: 9572 | Зарегистр. 15-01-2002 | Отправлено: 23:37 28-08-2008
fzfxru

BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
tankistua, скажи плз, по каким критериям можно найти то, откуда пришло мыло? я пытался делать поиск назад по конструкциям вида "1KWUA0-0006Xj-7z" и иже с ними - ничего указывающего на ip в момент появления таких конструкция в логе не нашёл. пытался искать e-mail-адреса, которые фигурируют в строках с конструкциями "C="250 EAA27370 Message accepted for delivery" - не нашёл... подскажи плз, ничего другого на ум не приходит, может я очевидную вещь упускаю из-за отсутствия опыта... (
 
сделал "/etc/init.d/exim4 force-stop", убедился что в gnome-system-monitor не висит ни одного exim4, "/etc/init.d/exim4 start". сорри за большой размер, но иначе боюсь, что уберу что-нить нужное.
---
Подробнее...
---
 
кстати, в логах частенько попадаются сообщения вида:
"2008-08-28 20:05:26 [2484] 1KS0fw-00021u-6A Spool file is locked (another process is handling this message)"
это меня почему-то настораживает...
полазил в менеджере пакетов и в секции email удалил какой-то "bsd" user agent, только потом допёрло, что он тут ни при чём... )
мож я словил руткит?..
 
приведу опять же часть конфига:
Подробнее...
 
тут в MAIN_RELAY_NETS значение 84.52.116.106 - это собственно nwlt.ru, мой домен; добавил при попытке решить какую-то мелочь с нехождением почты, вроде помогло, сейчас думаю, мож убрать стоит?
строка вида:
---
MAIN_RELAY_NETS=127.0.0.1 : 192.168.1.0/24 : 84.52.116.106 : 127.0.0.1 : ::::1
---
не может являться причиной приёма почты от левых хостов?
так же есть конструкция:
---
local_from_check = false
local_sender_retain = true
untrusted_set_sender = *
---
возможно тоже небезопасная?.. описания параметров почитал, ничего подозрительного не нашёл.
крепнет ощущение, что я со своим почтовым сервером замахнулся на слишком многое сразу... так впадлу сносить exim и ставить заново......

Всего записей: 8 | Зарегистр. 15-08-2008 | Отправлено: 00:51 29-08-2008 | Исправлено: fzfxru, 01:05 29-08-2008
tankistua

Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
#cd /usr/ports && make search key=rootkit
 
 
ты б хоть айпишник сервера своего сказал - а то спам уже все через тебя шлют - а все равно адрес сервера - секрет.
 
честно - влом разбираться. Проверь свой айпишник на rbls.org - там будет видно.
 
 
http://www.protocols.ru/files/RFC/RFC-2821.pdf
http://www.mailinfo.ru/story02/06/17/5381043
http://sendmail.by.ru/documents/SMTP.htm
 
литература для прочтения.
 
Добавлено:
telnet 84.52.116.106 25

Код:
Trying 84.52.116.106...
Connected to 84.52.116.106.
Escape character is '^]'.
220 melchior.nwlt.ru ESMTP Exim 4.69 Fri, 29 Aug 2008 01:12:57 +0400
ehlo remote.server
250-melchior.nwlt.ru Hello ip.82.144.200.87.stat.volia.net [82.144.200.87]
250-SIZE 52428800
250-PIPELINING
250-AUTH PLAIN LOGIN CRAM-MD5
250 HELP
rset
250 Reset OK
ehlo ip.82.144.200.87.stat.volia.net
250-melchior.nwlt.ru Hello ip.82.144.200.87.stat.volia.net [82.144.200.87]
250-SIZE 52428800
250-PIPELINING
250-AUTH PLAIN LOGIN CRAM-MD5
250 HELP
mail from:<tankistua@vpm.net.ua>
250 OK
rcpt to:<tankistua@vpm.net.ua>
550-relay not permitted: nether local recipient nor domain allowed for relaying
550 over our domain

 
ну типа закрыто.
 

Цитата:
MAIN_RELAY_NETS=127.0.0.1 : 192.168.1.0/24 : 84.52.116.106 : 127.0.0.1 : ::::1

вообще-то к тебе на сервер не должна попадать почта с себя же на внешний интерфейс - ей там оказаться не с чего.
 
А на машине я так понимаю нат, а за ней офисная сетка с кучей компов ?
 
 
З.Ы. добавь в конфиг все логи  
log_selector = +all
log_file_path = /var/log/exim/%s-%D.log
 
а то как-то не хватает данных.

Всего записей: 9572 | Зарегистр. 15-01-2002 | Отправлено: 01:12 29-08-2008
fzfxru

BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
> ты б хоть айпишник сервера своего сказал
 
дык он и есть - 84.52.116.106 aka nwlt.ru.
 
> честно - влом разбираться.
 
охотно верю. ) мне было всё что я напостил выше влом делать, потому что прекрасно понимал, что читать это сильного желания вряд-ли у кого есть, но попытка не пытка - и спасибо за ответы. ) параллельно пытаюсь сам разобраться... вот поставил пару дней назад в вирт. машину тот же дебиан с тем же exim4, настроил (на другой домен) практически по дефолту и с минимумом изменений опций, разкомментировал только авторизацию plain и login - пару дней работает. сейчас конфиг на своём несчастном почтовом сервере привёл в соответствие с конфигом в вирт. машине, убрав в последнем все свои изменения, которых нет в вирт. машине... оставил только tls и сертификаты ssl. проверил хождение почты между этими двумя серверами - работает... думаю может это поможет.
 
> Проверь свой айпишник на rbls.org
 
сенькс, посмотрю и возьму сайт на заметку.
 
> А на машине я так понимаю нат, а за ней офисная сетка с кучей компов ?
 
не совсем. машина с одним локальным интерфейсом 192.168.1.99, ip статичный (у рабстанций в сети также по одному интерфейсу с ip через dhcp в эту же сеть 192.168.1.0/24), с которого и почтовый сервер и рабстанции сосут инет.
 
Добавлено:
> #cd /usr/ports && make search key=rootkit
 
эх, не найдена папка. видимо потому что не freebsd. )
 
"log_selector = +all" добавил.
Подробнее...
откат конфигов на дефолтные получается не помог. в новых более полных логах понять откуда идут письма также не получается.
а где у нас находится письма на отправку exim'ом? /var/spool/exim4 - не то?
 
Добавлено:
остановил /etc/init.d/exim4.
после чего в /var/spool/exim4/input у меня находилось около 100000 файлов... я их на данный момент все кильнул.
 
Добавлено:
в механике exim'а, повторюсь, разбираюсь плохо, но предположение такое: exim уже не принимал сообщения без авторизации от левых хостов (не работал как relay для всех), однако "по инерции" всё что накопилось в /var/spool/exim4/input пока он был открыт для спамеров он продолжал отдавать...
так может быть?

Всего записей: 8 | Зарегистр. 15-08-2008 | Отправлено: 01:45 29-08-2008 | Исправлено: fzfxru, 02:15 29-08-2008
tankistua

Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
> #cd /usr/ports && make search key=rootkit  
 
эх, не найдена папка. видимо потому что не freebsd. )

торможу - ночь на дворе была и попутно пост ваял в ветке по фре. Вот и попутался.
 
fzfxru
так сервер твой не опен-релай. Я ж тебе написал как проверять
 
Меня вот идея посетила - ты сколько времени сервер настраивал ? может тебя поймали в момент настройки, насовали спама и твой почтовик уже будучи настроенным честно пытается все это отправить ?
 

Код:
 
telnet 84.52.116.106 25
ehlo ip.82.144.200.87.stat.volia.net  
mail from:<tankistua@vpm.net.ua>  
rcpt to:<tankistua@vpm.net.ua>
 

 
Это вот и была проверка на открытый релай.
 
Добавлено:
Port:    chkrootkit-0.48
WWW:    http://www.chkrootkit.org/
 
Port:    rkhunter-1.3.2_1
WWW:    http://rkhunter.sourceforge.net/
 
Наверняка есть в дебиане
 
Добавлено:
fzfxru

Цитата:
скажи плз, по каким критериям можно найти то, откуда пришло мыло? я пытался делать поиск назад по конструкциям вида "1KWUA0-0006Xj-7z" и иже с ними - ничего указывающего на ip в момент появления таких конструкция в логе не нашёл. пытался искать e-mail-адреса, которые фигурируют в строках с конструкциями "C="250 EAA27370 Message accepted for delivery" - не нашёл... подскажи плз, ничего другого на ум не приходит, может я очевидную вещь упускаю из-за отсутствия опыта... (

 
я вот тоже не понял откуда они взялись. Я поэтому и написал, что ты пропустил кусок лога.

Всего записей: 9572 | Зарегистр. 15-01-2002 | Отправлено: 09:26 29-08-2008
fzfxru

BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
> так сервер твой не опен-релай. Я ж тебе написал как проверять
 
не open - это да. твой телнетовский лог был более чем нагляден. но спам-то с меня продолжал идти, а я по скудоумию истиной причины не видел и до последнего момента был уверен, что часть спама пользуется-таки какой-то брешью то ли в настройках exim'а, то ли самой операционки...
 
> Меня вот идея посетила - ты сколько времени сервер настраивал ? может тебя поймали в момент настройки, насовали спама и твой почтовик уже будучи настроенным честно пытается все это отправить ?
 
так и было. с 8-го по 13-е работал как опен релей, потому что я не загасил недонастроенный exim. логи были по 250 метров в сутки.
глаза открылись только сегодня в 3 ночи, когда задумался над строками лога, что сообщения в очереди лежат по несколько дней (там и 6 дней блыло), нашёл папочку /var/spool/exim4/input и увидел её содержимое.
 
а так - похоже что проблема закрыта. на данный момент по логам поведение нормальное: никаких отправок писем ниоткуда нет, очередь доставки пуста. ближе к 9 вечера появилась активность офиса... ) похоже на победу. tankistua, tnx за потраченное время и помощь. ))

Всего записей: 8 | Зарегистр. 15-08-2008 | Отправлено: 11:18 29-08-2008
tankistua

Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
интересно разбираться только с непонятными вопросами - помогаешь кому-то, учишься сам :)
Почитай на досуге ссылки, те ссылки, что я дал.

Всего записей: 9572 | Зарегистр. 15-01-2002 | Отправлено: 11:49 29-08-2008
hoochie



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
fzfxru
Убери из конфига MAIN_RELAY_NETS:
- как минимум, внешний адрес 84.52.116.106
- как максимум, там должен быть только адрес петли 127.0.0.1. Но тогда нужно настроить аутенификацию для локальной сетки.
 
В обратной записи твоего сервера есть dsl. Многие почтовые серверы настроены на непринятие почты с таких хостов.
 
А, ну и хорошо, что VNC уже закрыл. Наружу такое добро не нужно выставлять, рули через ssh

----------
Раньше у нас было время
Теперь у нас есть дела...

Всего записей: 434 | Зарегистр. 30-03-2003 | Отправлено: 14:22 29-08-2008 | Исправлено: hoochie, 14:23 29-08-2008
fzfxru

BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
hoochie, про vnc. он у меня до сих пор открыт. в том смысле, что должен просить ввод пароля при входе. однако я сегодня ночью, когда активно им пользовался, пару раз заметил что подконнекчивался без ввода пароля (ни в интерфейсе клиента vnc ввод пароля не просил, ни в самом терминальном окне пароль на разблокирование); я это списал на эффект кеширования ip-адреса клиента, но как бы там ни было эта фича (что могу зайти без повторного ввода пароля при условии входя с того же ip в течение некоторого времени) мне не нужна, и я таки отключу встроенное в debian средство vnc и поставлю и настрою туда отдельный пакет, tightvnc наверное.
вопрос:
 
> А, ну и хорошо, что VNC уже закрыл.
 
что имеется ввиду? ) у тебя нет доступа на vnc-порт по ip-шнику nwlt.ru, или просит пароль? ... вернее, насколько у меня был открыт vnc, когда ты проверял: просто зашёл в интерфейс терминала, или плох сам факт того, что vnc доступен из инета, несмотря на то, что он запрашивает пасс?
 
> рули через ssh
 
обязательно к этому перейду, но пока что gedit для меня незаменим ввиду того, что с vim-ом не до конца освоился (постоянно попадаю на каие-нить горячие клавиши; хотя вроде пару дней как алгоритм нажатий, при котором получается изменить и сохранить документ надлежащим образом наконец нашёл). не подскажет кто редактор, схожий в работе с ms-dos'овским edit'ом - интересует отсутствие различных режимов работы (как то INSERT и REPLACE), макросов и прочих хоткеев по максимуму, что называется "чиста текст вбивать и сохранять"?

Всего записей: 8 | Зарегистр. 15-08-2008 | Отправлено: 18:12 29-08-2008
   

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » FAQ по Exim MTA
ShriEkeR (16-05-2011 18:50): FAQ по Exim MTA #2


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.Board
© Ru.Board 2000-2020

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru