Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » FAQ по Exim MTA

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

ShriEkeR (16-05-2011 18:50): FAQ по Exim MTA #2  Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102

   

ginger



Рыжик
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Текущая версия Exim 4.72

   Home page Автор Philip Hazel, University of Cambridge.
Exim - чертовски быстр, отличный выбор для загруженных систем. Свободно распространяемый Mail Transport Agent (MTA, лицензия GPL), обладающий возможностью очень гибкой и тонкой настройки, включая поиск конфигурационной информации в базах данных - mySQL, PostgresQL, Oracle, SQLite.., а также LDAP.  В Exim встроена поддержка Maildir (quota), SMTP-аутентификация, TLS/SSL, SpamAssassin, сканирование на лету антивирусом(ами), ACL, системные фильтры... Сомневающимся.
На многие вопросы помогут найти ответы рассылки: На русском + На английском
Документация на русском по Exim + много полезной инфы на www.lissyara.su

Установка почтового сервера на базе Exim с поддержкой виртуальный аккаунтов (MySQL).
Подробное руководство состоит из двух связанных частей:
   1. Установка и настройка Exim 4.20.
   2. Установка  и настройка Tpop3d с поддержкой виртуальных аккаунтов.
Внимательно читаем здесь © ginger
-=-=-=-
Улучшенный вариант части 1: Exim-4.50 + MySQL © ginger
-=-=-=-
Так как Tpop3d не совместим с MS Outlook Express 6, а также не поддерживает IMAP, автор рекомендует его заменить на Dovecot. Изменения, которые нужно сделать cмотрим здесь © ginger
-=-=-=-
Еще один вариант установки © Wombat
-=-=-=-
Exim+Courier-Imap+MySQL+ClamAV+DSPAM+SquirrelMail © Павел Семенец Искать по ctrl+F=Павел Семенец
-=-=-=-
Опции для сборки exim из портов (FreeBSD) © tankistua
 
Уважаемые коллеги!
 
Нам очень дороги ваши конфиги и логи на несколько страниц, но, поверьте, их гораздо приятнее читать когда они заключены в тэг more.

Всего записей: 852 | Зарегистр. 03-09-2001 | Отправлено: 10:58 29-08-2003 | Исправлено: hoochie, 22:55 16-12-2010
GaDiNa



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
снова вынужденно обращаюсь к знатокам екзима.
мне нужно сделать так, чтобы вся входящая и исходящая почта между моим доменом и доменом заказчика шифровалась. Для этого екзим был пересобран для подддержки TLS.
 
теперь нужно его правильно отконфигурировать.
насколько я понимаю, сейчас, стандартные опции применяются, если екзим работает как сервер, то есть при приеме почты:
 
# grep tls /usr/local/exim/configure
 tls_advertise_hosts = *
 tls_certificate = /usr/local/exim/certs/exim.crt
 tls_privatekey = /usr/local/exim/certs/exim.key
 
и даже в таком случае почту от домена заказчика можно отправить в незашифрованом виде. мне же нужно запретить такой режим. приниматься должно только в защищенном режиме.
а еще остается нерешенным вопрос отправки почты на домен заказчика. в этом случае мой екзим будет работать в режиме клиента (?) и тоже надо както настроить, чтобы почта передавалась в зашифрованном виде.
затрудняюсь даже что искать в гугле. пока читаю доки на сайте лисяры.  
подскажите куда копать..
 
 

Всего записей: 1538 | Зарегистр. 17-06-2003 | Отправлено: 18:00 02-11-2010
GaDiNa



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
нагуглил следующее
 
в роутерах:
 
tls_domains:
   driver = dnslookup
   domains = securedomain.tld
   transport = tls_smtp
 
 
в транспортах:
 
tls_smtp:
   driver = smtp
   hosts_require_tls = *
 
 
вроде работает..  
но это только от меня.. а от securedomain.tld наверняка смогут прислать незашифрованное письмо. надо бы еще както это запретить..

Всего записей: 1538 | Зарегистр. 17-06-2003 | Отправлено: 20:05 02-11-2010 | Исправлено: GaDiNa, 20:07 02-11-2010
Alukardd



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Я в очередных попытках до латать дыры в своем MTA.
 
Надо запретить доступ не аутентифицированным юзерам. Прописал в acl_check_rcpt:
require
    message = need to be auth
    authenticated = *
соответственно применяется ко всей почте и входящей в том числе(как следствие она reject'ится), как этого избежать, у меня уже мозг плавится читать конфиг и документацию.
 
Так же не удалось запретить отправлять со своего smtp от чужого имени себе. Именно в такой форме, остальные варианты рубятся. Т.е. конекчусь telnet'ом к себе на smtp и пиши mail from:abracadabra@(любой существующий домен) rcpt toлюбой существующий у меня ящик) и он прекрасно доставляет. Как порезать это? Мб аутентификация отрежит эти варианты? Она ведь дает отослать только от имени авторизованного пользователя???
 
Ну ладно валить в кучу так все.
Использую Debian Lenny - в репах exim собран без поддержки SPF, что печально. Нарыл вот эту статью. Вроде даже работает - хз как проверить. Одно могу сказать точно. На условия вида
deny
    message = "$sender_host_address is not allowed to send mail from $sender_address_domain"
    !authenticated = *
    spf = fail
орёт, что не знает ACL в строке "spf = fail".
Факт того что Exim вообще подцепил SPF вроде есть, я когда забыл стартануть spfd он ругнулся что не может подключится к нему, а когда запустил, то дальше только ругань на синтаксис команд.

----------
Microsoft gives you windows, linuх gives you the whole house...
I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it.

Всего записей: 6390 | Зарегистр. 28-08-2008 | Отправлено: 21:41 02-11-2010
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Alukardd  Ну что же, попытаемся разгрести кучу или хотя бы рассортировать по мелким кучкам

Цитата:
Надо запретить доступ не аутентифицированным юзерам
Запрещать не надо, надо закрыть релей в acl_check_rcpt:
 accept
         authenticated = *
 require message = relay not permitted
          domains = +local_domains : +relay_to_domains

Цитата:
Так же не удалось запретить отправлять со своего smtp от чужого имени себе.

 Здесь не совсем понятно. Откуда телнет? Из своей сети или чужой?

Цитата:
орёт, что не знает ACL в строке "spf = fail"

Правильно орет. Она ведь собрана без spf и понятия не имеет об fail,  softfail ...
Надо ставить libmail-spf-query-perl, тогда появится прога /usr/bin/spfquery,
с помощью которой проверяется spf  результат заносится в переменную.
Пример использования есть здесь
 
           
 


----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

Всего записей: 17002 | Зарегистр. 13-06-2007 | Отправлено: 23:44 02-11-2010
Alukardd



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Запрещать не надо, надо закрыть релей в acl_check_rcpt:
 accept
         authenticated = *
 require message = relay not permitted
          domains = +local_domains : +relay_to_domains  

это и так есть. В том-то и дело, что это спасет меня от попадания в спам базы разве что. От меня спамить нельзя только внешний мир, а самого себя пожалуйста. Он видимо считает это входящим сообщением.
Цитата:
Здесь не совсем понятно. Откуда телнет? Из своей сети или чужой?  
из любой.
кстати последняя строчка acl_check_rcpt: это пустой accept - именно этого я и не хочу, не хочу пропускать все что осталось, хочу только аутентифицированных.
 

Цитата:
 libmail-spf-query-perl
поставил естесно, я же ссылку дал не просто так.

Цитата:
Пример использования есть здесь
это у меня и так работает и работало и без этого пакета. меня интересует условие конкретно то, что я написал - или в такой форме для меня писать не допустимо?

----------
Microsoft gives you windows, linuх gives you the whole house...
I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it.

Всего записей: 6390 | Зарегистр. 28-08-2008 | Отправлено: 11:40 03-11-2010 | Исправлено: Alukardd, 11:51 03-11-2010
Alukardd



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

тема обновись! сим-салавим!
извентиляюсь, но просто при отправке дпредыдущего поста на форуме возникла ошибка и тема не обновилась, что не есть гуд.

----------
Microsoft gives you windows, linuх gives you the whole house...
I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it.

Всего записей: 6390 | Зарегистр. 28-08-2008 | Отправлено: 13:48 03-11-2010 | Исправлено: Alukardd, 13:49 03-11-2010
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Alukardd
Цитата:
не хочу пропускать все что осталось, хочу только аутентифицированных.  
Что значит  только аутентифицированных?  Аутентификация нужна только для того, чтобы имеющий эккаунт юзер мог из чужой сетки отправить через этот сервер письмо по любому внешнему адресу. Любые же попытки отправить письмо из любой сетки с любым обратным адресом на адрес домена, который обслуживает данный сервер, являются легитимными. Другое дело, что они могут быть нежелательны, но это уже тема борьбы со спамом.  

Цитата:
или в такой форме для меня писать не допустимо?
Эта форма только для эксима, собранного с поддержкой spf.
 
 


----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

Всего записей: 17002 | Зарегистр. 13-06-2007 | Отправлено: 15:29 03-11-2010
Alukardd



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
vlary
эм...
возьмём за пример mail.ru.
если подключаться и пытаться послать почту им же от левого домена, то выходти вот что:
550 not local sender over smtp (вылезает сразу после rcpt to)
 
если с их же домена им же, то
503 Administrative prohibition -- authorization required.  Users in your domain are not allowed to send email without authorization. (вылезает при попытке data)
 
вот такая реакция мне нужна. а у меня же щас прокатывает и так и так и с чужого домена, друг с другого прова чекал. хотя лучше это сделать и для своего домена тоже.

----------
Microsoft gives you windows, linuх gives you the whole house...
I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it.

Всего записей: 6390 | Зарегистр. 28-08-2008 | Отправлено: 16:10 03-11-2010 | Исправлено: Alukardd, 16:14 03-11-2010
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Alukardd
Цитата:
возьмём за пример mail.ru.  
А стоит ли? Не надо путать разные вещи. У мэйл.ру десятки серверов, каждый выполняет свои специфические функции. Одни (smtp.mail.ru) обслуживают исключительно своих клиентов, другие (mxs.mail.ru) принимают почту из внешнего мира.  

Цитата:
Пытаемся отправить почту через smtp.mail.ru:
bash-3.2$ telnet smtp.mail.ru 25
Trying 94.100.177.1...
Connected to smtp.mail.ru.
Escape character is '^]'.
220 mail.ru ESMTP Wed, 03 Nov 2010 17:45:12 +0300
HELO gate
250 smtp13.mail.ru Hello gate [217.21.209.135]
MAIL FROM:<user@company.ru>
250 OK
RCPT TO:<user@mail.ru>
550 not local sender over smtp
QUIT
221 smtp13.mail.ru closing connection
Connection closed by foreign host.

Нас успешно бортанули, ибо сунулись мы не туда.
Теперь пробуем через mxs.mail.ru

Цитата:
bash-3.2$ telnet mxs.mail.ru 25
Trying 94.100.176.20...
Connected to mxs.mail.ru.
Escape character is '^]'.
220 Mail.Ru ESMTP
HELO gate
250 mx87.mail.ru ready to serve
MAIL FROM:<user@company.ru>
250 OK
RCPT TO:<user@mail.ru>
250 OK
DATA
354 Go ahead
From: <user@company.ru>
To: <user@mail.ru>
Subject: Test
 
This is test
.
250 OK id=1PDefj-0007eR-00
QUIT
221 mx87.mail.ru closing connection
Connection closed by foreign host.

Здесь нас встретили намного приветливее и почту приняли (и она даже дошла)
Так что надо определиться, какой почтовый сервер нужен. Только для своих, или обычный. И отсюда плясать


----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

Всего записей: 17002 | Зарегистр. 13-06-2007 | Отправлено: 18:10 03-11-2010
Alukardd



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
vlary
аха, вот оно что) вы прям мне глаза открыли...
 
тогда попробуем развить мысль дальше. как защитится в таком случае от спама такого рода (отправка писем с легальными данными в огромном числе).
 
И эти разговоры привели меня к мысли, что нельзя отличить принимаемое письмо от отправляемого? Или я опять где-то облажался?
 
)))
у меня SPF отрабатывает норм, просто письмо потом в спам не помещается, надо маршрут указать видимо.

----------
Microsoft gives you windows, linuх gives you the whole house...
I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it.

Всего записей: 6390 | Зарегистр. 28-08-2008 | Отправлено: 19:37 03-11-2010 | Исправлено: Alukardd, 20:48 03-11-2010
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Alukardd
Цитата:
нельзя отличить принимаемое письмо от отправляемого?
 Можно, если принять за критерий, что отправляемыми письмами считаем те, которые идут из своей сети или от аутентифицированых пользователей, а принимаемые - от всех остальных для пользователей обслуживаемых доменов.

Цитата:
у меня SPF отрабатывает норм, просто письмо потом в спам не помещается

.А зачем его в спам помещать? На основе SPF проверки его нужно либо принять, либо бортануть, либо дописать ему хидер, по которому потом фильтр контента (если таковой используется) сможет ему начислить дополнительные штрафные очки.
 


----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

Всего записей: 17002 | Зарегистр. 13-06-2007 | Отправлено: 22:08 03-11-2010
Alukardd



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
По скольку на SA отдельной темки нема, то спрошу здесь, как ни как вместе работают...
 
Поясните пожалуйста синтаксис файла 50_scores.cf, как например читать эту строку score SPF_NEUTRAL 0 0.652 0 0.779 # n=0 n=2. В письме например было 0.7 SPF_NEUTRAL. Как это получается?
 
И правильно ли я понял, что эти файлы при обновлениях ставятся из пакета, так что лучше строки соответствующие любому файлу в /usr/share/spamassassin(у меня Debian) писать в /etc/spamassassin/local.cf?

----------
Microsoft gives you windows, linuх gives you the whole house...
I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it.

Всего записей: 6390 | Зарегистр. 28-08-2008 | Отправлено: 00:14 04-11-2010
Alukardd



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Я уже опускаю руки и заявляю, что дурак и гуглом пользоваться не умею.
Ну не могу я заставить положить его спам в папку "спам".
Небось просто упустил какой-то параметр и все, но сам разобраться уже не могу.
 
использую Debian+exim4+SA+sa-exim+dovecot.
Очки в заголовки дописываются, но письмо в папку спам не идет, хотя норма превышена.
Пытался через router userforward выполнить команду, но что-то толку нема...(использовал data, т.к. с файлом вообще что-то странное, я не понял какие ему надо дать права и владельца что бы он норм читался, в мане вроде сказано что ему нужны права exim. Я давал Debian-exim:mail - безрезультатно)
 
Видел на просторах инета вариант с прописыванием транспорта через pipe на dovecot/deliver, но его поюзать у меня тоже не вышло, он меня доканал ошибкой 75. И заставить его двигать почту мне не удалось.
 
Согласен уже на любой способ переместить почту.

----------
Microsoft gives you windows, linuх gives you the whole house...
I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it.

Всего записей: 6390 | Зарегистр. 28-08-2008 | Отправлено: 02:39 05-11-2010 | Исправлено: Alukardd, 02:40 05-11-2010
attaattaatta



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Alukardd
Если папка spam одна на всех, то можно через system filter, если на каждого юзера своя, то нужно мучаться с cmu_sieve плагином.

Всего записей: 1114 | Зарегистр. 25-09-2007 | Отправлено: 07:58 05-11-2010
yarnik



Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Здраствуйте, подскажите что можно сделать от спамеров.
есть какой то чел, который заказывает дешовый тариф, оплачивает пай чеком, загружает свой скрипт и рассылает письма с угрозами и вымагательством.
делает он это ночью и к утру получаеться около 5000 писем...
спасите советом =)

Всего записей: 275 | Зарегистр. 09-06-2004 | Отправлено: 14:07 05-11-2010
Alukardd



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
attaattaatta
папка спам у каждого личная - ибо вдруг фильтр ошибся, письмо должно приходить пользователю!
используется формат maildir и путь к ящику такой /home/vmail/domain.com/username/Maildir
когда-то давно уже пытался экспериментировать с этим, вот что там имеется: /home/vmail/domain.com/alukardd/.dovecot.sievтолько вот он не фурычит. Файл имеет uid владельца ящика и gid = mail - в общем как и все файлы и папки в пользовательском ящике. Я поставил incron следить за обращением к этому файлу но увы, ни поползновения в его сторону. И вся засада с этим sieve в dovecot.conf. Вот его кусок, я как только я раскоменчиваю строку sieve он ругается что не знает такого.

----------
Microsoft gives you windows, linuх gives you the whole house...
I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it.

Всего записей: 6390 | Зарегистр. 28-08-2008 | Отправлено: 14:55 05-11-2010
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
yarnik "Цветные" списки могут помочь. И статистика входных соединений по айпи, адресу отправителя. Смотрите в сторону использования базы данных SQLite. При каждой почтовой транзакции заносите в базу айпи и обратный адрес, и проверяйте число попыток с данного айпи. Наберется, скажем, десяток за минуту - смело можно автоматически банить этот адрес, и 5000 писем уже не прокатит.


----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

Всего записей: 17002 | Зарегистр. 13-06-2007 | Отправлено: 15:02 05-11-2010
PhoenixUA

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Как вариант, использовать ratelimit:
http://www.exim.org/exim-html-current/doc/html/spec_html/ch40.html#SECTratelimiting

Всего записей: 2180 | Зарегистр. 17-11-2005 | Отправлено: 15:09 05-11-2010
yarnik



Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
PhoenixUA
это то поможет, но будет распостраняться на всех, а надо некоторых крупных пользователей не фильтровать.
такое возможно?

Всего записей: 275 | Зарегистр. 09-06-2004 | Отправлено: 15:17 05-11-2010
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
yarnik
Цитата:
такое возможно?
Возможно. При превышении лимита оставить принятие решения до RCPT, и если получатель не  "крупный пользователь", то - deny.
 


----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

Всего записей: 17002 | Зарегистр. 13-06-2007 | Отправлено: 15:33 05-11-2010
   

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » FAQ по Exim MTA
ShriEkeR (16-05-2011 18:50): FAQ по Exim MTA #2


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.Board
© Ru.Board 2000-2020

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru