Lemat, strona prywatna

Komentarze i odpowiedzi, posortowane dla odmiany chronologicznie do strony:

Konfiguracja postfixa
Jarek Kaczmarczyk
2005-06-14 22:51:01
podziekowanie
Dziekuje za informacje dotyczace konfiguracji postfixa. Na nich oparłem swoje serwery. Pozdrawiam Jarek kaczmarczyk
Kaes13
2005-10-11 12:37:05
Bezpieczny postfix
Dzięki wielkie twój tekst jest super wywalisty szukałem 2 tygodnie czegoś takiego i to jest to Jeszcze raz wielki dzięks
admin exc pl
2006-01-07 20:44:21
Bezpieczny postfix
Wielkie dzięki - jest to spory kawał dobrej wiedzy.
slv
2006-01-16 07:00:45
dzieki
kawal dobrej roboty. sa jeszcze ludzie, ktorym sie chce i ktorzy maja wiedze. gratuluje i dziekuje raz jeszcze
mariaczi
2006-02-15 08:48:54
Podziekowanie i maleńka kosmetyka :)
Właśnie skonfigurowałem pocztę wg powyższego opisu - wiele konkretów w jednym miejscu :) Kawał dobrej roboty :) Znalazlem (tak mi sie wydaje maleńkie błędy): 1. zamiast HELO wkradła się literówka EHLO 2. w "podtemacie" Spamerzy mają soft, który nie przestrzega reguł jest smtp_*_restrictions a zdaje mi się że powinno być smtpd_*_restrictions Od razu wyjaśniam iż nie sa to słowa krytyki, lecz kosmetyka. Z poważaniem mariaczi
Odpowiedź Lemata:
1. nie, sprawdź różnicę - spróbuj się zatelnetować i zapodać HELO oraz EHLO. 2. dzięki, poprawiam
majkey_lamer
2006-03-19 10:35:03
Podziekowania
Witam. Dzieki za pomoc w konfigu postfixa. Troche to pasożytnictwo korzystac z czyichs gotowych roziwazan, ale skoro sa dobre to winno sie to nasladowac. Takiej strony szukalem, czesto na naia zagladam i czekam na jej dalszy rozwoj. jesli masz baner sponsora to moge w niego klikac codziennie :)
DrOOcik
2006-05-31 04:20:20
Dobra robota
Swojego postfisia właśnie poustawiałem chyba jak należy. Zmusiłem się do przestudiowania paru manuali (wreszcie!) i zrozumienia konfiguracji. Co do RBLi to mam mieszane uczucia (właśnie musiałem wyrzucić rbl.kropka.net - ma na liście tlenowców). Na razie potestuje, ale spamassasin radzi sobie znakomicie, nawet już wie, że ICIC'a spuszczamy do klozetu (score 6.3 to przyzwoity wynik)
Odpowiedź Lemata:
tego typu RBLe nie daje się w reject_rbl_client tylko wrzuca się je w konfiguracji spamassasina aby punktować. Jak klient jest w jednym RBLu to nic się nie stanie, jak juz jest w pięciu - to punkty przekraczają próg spamu.
DrOOcik
2006-06-01 22:45:38
SA vs amavis
@lemat ] tego typu RBLe nie daje się w reject_rbl_client tylko wrzuca się je w konfiguracji spamassasina aby punktować... No tak, ale ja mam SA poprzez amavisa. A tutaj nic nie ma do konfiguracji, chyba, że się mylę. Do końca nie wiem czy amavis czyta domyślną konfigurację SA w /etc/spamasasin - chyba czyta. Mam tutaj skip_rbl_cheks na 0 Tylko gdzie mam wstawić te RBLe do punktowania dla SA?
Odpowiedź Lemata:
ściągnij sobie zipa z moim konfigiem i zajrzyj do /etc/mail/cośtam
DrOOcik
2006-06-06 21:49:05
Open bounce
]ściągnij sobie zipa z moim konfigiem i zajrzyj do /etc/mail/cośtam Już mam, dzięki :-) Pytanko: jak w temacie: sfałszowany nadawca i odbiorca. Postfix głupieje, mam w logach i potem w mailu: X-Reject: 504 [numerek]: Helo command rejected: need fully qualified hostname X-Reject: 450 [numerek]: Helo command rejected: Host not found Lub: 450 i 550 X-Reject: 550 [adres]: Sender address rejected: undeliverable itd...
Odpowiedź Lemata:
Na przyszłość napisz proszę na pl.comp.mail.mta, podając aktualny konfig postfixa i dokładne komunikaty błędów. te opcje są odpowiedzialne: reject_unknown_hostname, reject_non_fqdn_hostname,
pawelur
2006-08-01 15:02:29
postfix helo command
Wszystko super, Jednak ja musze przyjmowac poczte od tych gov.pl i takich co maja: Helo command rejected Jak moge dorzucic sobie na zasadzie whitelist.helo wspomnianych wyzej?
Odpowiedź Lemata:
najpierw musisz znaleźć te hosty, które maja nieprawidłowe helo - reject_warn + grep + czekać cierpliwie, potem wrzucić je na biała listę.
DrOOcik
2006-08-06 17:22:05
Statystyki
Po 2 miesiącach działania Postfixa z uwzględnieniem bardzo dobrej konfiguracji Lemat'a + RBL'e (bl.spamcop.net, sbl-xbl.spamhaus.org, dul.dnsbl.sorbs.net, list.dsbl.org) muszę stwierdzić, że ilość "złych" maili drastycznie spadła o jakieś 82% O tyle % SA nie musiał analizować śmieci. Konfiguracja jeśli nie wzorcowa to na pewno bardzo dobra. Wiekie dzięki!
aceJacek
2006-10-30 18:32:03
reject_unlisted_recipient
Postfix domyślnie odrzuca pocztę na nieistniejące konta. Robi to jednak PO przejściu wszystkich reguł po RCPT TO. Wczoraj "odkryłem", że jeżeli na początku smtpd_recipient_restrictions wstawię reject_unlisted_recipient to poczta na nieistniejące konta zostanie odrzucona natychmiast, zanim Postfix przejdzie przez kolejne czasochłonne restrykcje (odpyta RBL'e, sprawdzi SPF, zrobi graylisting...). Polecam takie ustawienie.
Artur
2006-12-13 11:20:56
sasl i zaszyfrowane hasła
Jak wnioskuje z konfigów sasl i courier czytają tylko hasła które nie są "zaszyfrowane". Ja to rozwiązałem zmuszając sasl do używania PAM. Wtedy w smtpd.conf wpisujemy tylko pwcheck_method: saslauthd Oczywiście saslauthd musi być uruchomiony z opcią zmuszającą go do uzywania PAM saslauthd -a pam root@mail:~$cat /etc/pam.d/smtp auth required pam_nologin.so auth required pam_mysql.so host=localhost db=baza user=uzytkownik passwd=haselko table=mailbox usercolumn=name passwdcolumn=password crypt=1 auth required pam_env.so account sufficient pam_mysql.so host=localhost db=baza user=uzytkownik passwd=haselko table=mailbox usercolumn=name passwdcolumn=password crypt=1 account required pam_unix.so Konfiguracja taką testowałem na mandrake i debianie działa bez problemów. dla couriera authmysqlrc zamieniamy MYSQL_CLEAR_PWFIELD na MYSQL_CRYPT_PWFIELD i np w postfixadmin konfigurujemy tak aby userowa nadawał hasła zaszyfrowane Chyba że ktoś woli mieć oko na hasła userów ;) pozdrawaim
Artur
2006-12-15 22:28:46
RBL
Zastanawia mnie jedno dlaczego juz na samym początku nie sprawdzać rbli i greylist?? np tak smtpd_client_restrictions = check_client_access cidr:/etc/postfix/client_checks, reject_rbl_client dul.dnsbl.sorbs.net, reject_rbl_client list.dsbl.org, reject_rbl_client sbl-xbl.spamhaus.org, reject_rbl_client blacklist.spambag.org, reject_rbl_client bl.spamcop.net, check_policy_service inet:127.0.0.1:60000, permit pozdrawiam
Odpowiedź Lemata:
mam klientów na neostradzie (dul.sorbs), którzy by byli bardzo zawiedzeni nie mogąc wysłać poczty.
Artur
2006-12-15 23:39:47
RBL
Z greylistą to się zapędziłem, chyba lepiej jak będzie w smtpd_recipient_restrictions. Co do RBL pozostane przy smtpd_client_restrictions.
Odpowiedź Lemata:
w trakcie przetwarzania smtpd_client_restrictions nie znamy nadawcy ani odbiorcy => greylisting nie będzie działał.
Positiv
2007-01-31 23:55:32
smtpd_sender_restrictions - przepuszczal spam
Chciałbym zauważyć, iż jeśli użyjemy configu przedstawionego na stronie to serwer stoi otwarty do rozsyłania spamu dla ludzie z wewnatrz sieci (przynajmniej u mnie tak było), po podaniu poprawanego adresu e-mail, lecz nie nalezacego do domeny na ktorej postawiony jest postix, kazdy z sieci mogl sie zalogowac i wyslac poczte podając adres np gosciu@onet.pl. proponuje w przypadku autoryzacji zmienienie końcówki smtpd_sender_restrictions na permit_sasl_authenticated, reject Przez to ze kliku userow mojej sieci zalapalo wirusy i wyslalo spam poprzez moj serwer wyladowalem kilka razy na RBLu :( Pozdarwiam
Odpowiedź Lemata:
to ja może zauważę, że smtpd_sender_restrictions domyślnie kończy się na permit a powyższa reguła zacznie odrzucać wszystkie emaile przychodzące z zewnątrz do użytkownika naszego serwera. osobiście uważam, że to brak iptables -I FORWARD --dport 25 -p tcp -j DROP był przyczyną listowania w RBLach (o czym zresztą trąbię w innym miejscu na tej stronie) przemyśl proszę swoje stanowisko, a już na pewno swoją konfigurację.
medelin
2007-03-15 18:52:39
postfix
Pochwalić chciałbym przemyślaną konfigurację - przydała mi się bardzo, dzięki. Szczególnie pomysł odcięcia Chin i Korei okazał się w moim wypadku rozwiązaniem rewelacyjnym.
Adams
2007-03-29 20:41:51
smtpd_client_restrictions
Witam, dobra robota... Zajmuję sie filtrowaniem spamu, tylko chwilkę, ale mam pytanie (może głupie.. ) Dlaczego filtrujesz za pomoca RBL'i w "recipient_restictions" , ja zrobiłem... # smtpd_client_restrictions = reject_maps_rbl # maps_rbl_domains = zen.spamhaus.org dnsbl.sorbs.net bl.spamcop.net spam.dnsrbl.net # i działa.. przyznam że nie za bardzo czuję różnicę.. można prosić o oświecenie ?
Odpowiedź Lemata:
użytkownicy serwera mogą przypadkowo trafić do RBLa, zatem umieszczenie sprawdzania RBLi w *client* jest zbyt wczesne (nie można ich uratować przez permit_sasl_authenticated, bo to jeszcze nie ten etap).
kordi
2007-04-01 11:59:55
postfix
Bardzo elegancko zrobiony opis do konfiguracji postfix'a ;-) Pozdrawiam i oby tak dalej!
bartm
2007-04-24 13:29:18
smtpd_client_restrictions raz jeszcze
Odgrzewając temat, konfiguracja jest dobra, tylko zastanawiam się nad taką modyfikacją - chcąc żeby postfix wywalał pocztę z IP będących na rbl'ach albo pasujących do którejś z map check_client_access zaraz po podłączeniu się klienta, tak żeby nie obciążać niepotrzebnie serwera. I żeby klienci autoryzowani przez SASL'a nie zostali odrzuceni, to może coś takiego by się nadało: smtpd_client_restrictions = permit_sasl_authenticated, check_client_access cidr:/etc/mail/client_checks, check_client_access hash:/etc/mail/client_checks_revdns, check_client_access pcre:/etc/mail/client_checks.pcre, reject_rbl_client dynamic.rbl.tld, reject_rbl_client dnsbl.sorbs.net, reject_rbl_client list.dsbl.org, (ew. inne RBL'e) permit Co sądzicie na takie rozwiązanie? Są jakieś ujemne jego skutki? Aha, i spamhaus.org uruchomił nową liste RBL - zen.spamhaus.org, która zawiera zbiorczo wszystkie inne RBL'e tego serwera (SBL+ XBL + PBL). Pozdrawiam
Odpowiedź Lemata:
postfix to nie wróżka, on nie wie, czy ten klient, który się właśnie połączył a jakiś RBL go uwala z jakiegoś powodu to przypadkiem zamierza się uwierzytelnić czy też nie. On to będzie wiedział dopiero jak zaistnieje jakiś dialog pomiędzy nimi czyli dopiero na etapie smtpd_sender_restrictions. Zatem jeżeli jakis twój user ma szanse trafienia do RBLa to uwalanie po RBLach możesz zrobić dopiero jak już postfix będzie wiedział czy było uwierzytelnienie czyli co najmniej w smtpd_sender_restrictions.
bartm
2007-04-24 14:05:17
Re: :)
Aha, no to już jasna sprawa. To samo zatem jeśli chodzi o sprawdzanie tej zaj.. neostrady :(( A czy istnieje jakaś różnica, czy dane ograniczenia zostaną użyte w sender czy w recipient_restrictions? Bo szczerze mówiąc czytając dokumentacje Postfixa nie do końca da się to stwierdzić. Niektóre mądre How To ze strony postfixa piszą, że najlepiej jest wszystko dać do smtpd_recipient_restrictions, i sam już nie wiem... Jest jakaś różnica - czy np. wspomniane RBL'e będą sprawdzane przez wyzwalacz sender czy recipient?
Odpowiedź Lemata:
ta polityka aby dawać RBLe w smtpd_recipient_restristions wzięła się stąd, że trzeba whitelistować adresy abuse@ i postmaster@, a postfix wie kto jest odbiorcą dopiero w smtpd_recipient_restrictions.
Piecia
2007-04-26 14:04:45
smtpd_sender_login_maps
Umieściłem u siebie wpisy do pliku wskazanym przez smtpd_sender_login_maps w postaci user@domena user@domena i tak dla wszystkich użytkowników. Jednak z np. mutt'a mogę wysłać pocztą z poziomu zwykłego użytkownika jako dowolny użytkownik. Co może być nie tak? Głównie o to mi chodzi, że z jednej z witryn na serwerze poczta wychodzi jako admin@domena - a tego bym nie chciał.
Odpowiedź Lemata:
mutt pewnie nie przeprowadza sesji smtp tylko pcha mejla przez polecenie sendmail
Gero
2007-04-28 02:02:49
Insiders_only
Człowiek całe życie się uczy a i tak spam go pokona ;-) W ramach dopieszczenia posfixa dzięki Twojemu opisowi, wprowadziłem protected_destinations Tylko jest mały brak ponieważ jeżeli chcemy tego używać to potrzebne jest w main .cf smtpd_restriction_classes = insiders_only insiders_only = check_sender_access hash:/etc/postfix/insiders, reject oraz plik /etc/postfix/insiders z wpisami moja.domena OK moja inna.domena OK Inaczej niby działa tylko pojawiają sie w logach wpisy warning: unknown smtpd restriction: "insiders_only"
emm
2007-05-22 16:35:36
reject_rbl_client dynamic.dnsbl.rangers.eu.org,
Ten serwerek od dluzszego czasu nie dziala
zynzel
2007-09-09 10:52:19
helo restrictions
smtpd_helo_restrictions = [...] reject_invalid_hostname, [...] To chyba nie najlepszy pomysl? Po 1 klienci 'windowsowi' w helo wysylaja straszne bzdury a to ich wytnie, po 2 dalej puszczasz wszystko do abuse/admin(?) ale jesli bedzie sprawdzanie helo to ich wytniesz. Mozna by to umiescic w smtpd_reciptien_restriction, gdzies pod koniec. PS. Nie jestem pewien czy dobrze rozumuje, bo nie mialem czasu tego sprawdzic. Wiec jesli palnalem jakas bzdure mozesz tego nie umieszczac ;)
Odpowiedź Lemata:
reject_invalid_hostname Reject hostnames with bad syntax. windowsy mogą wysyłać bzdury, ale raczej to nie podpada pod "bad syntax"
pablo
2007-10-17 17:45:57
lierówka?
smtpd_sender_restrictions = .. check_sender_access pcre:/etc/postfix/sender_checks.pcre .. nie brakuje czasem na końcu przecinka?
Odpowiedź Lemata:
nie, to jest w osobnej linii, jakby było to napisane w jednej linii to rzeczywiście by brakowało przecinka.
darek
2007-10-23 17:49:54
autoryzacja
jak ominac autoryzacje tz. chcialbym aby pewne adresy email nie musialy sie autoryzowac aby wyslac maila bo mam np pewne poprogramowanie gdzie sie nie da jej wlaczyc i jest klops bo mi go odrzuca
Odpowiedź Lemata:
dać whitelistę z adresami IP przed reject_unauth_destination albo dać te adresy IP do mynetworks (bo permit mynetworks też jest przed RUD)
Casha
2008-03-03 13:48:30
spf / greylist
A ja nie mam pojecia co dac pierwsze, spf czy grey? Zakladajac ,ze grey bedzie pierwsze i bedzie odrzucalo spam (ten ktory nie jest w RBLach), to nie bedzie juz sprawdzane spf(nie potrzebne zapytania DNS?) smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination, reject_unknown_recipient_domain, reject_rbl_client bl.spamcop.net, reject_rbl_client sbl-xbl.spamhaus.org, reject_rbl_client dnsbl.njabl.org, check_policy_service unix:private/policy, check_policy_service inet:127.0.0.1:60000, permit
Odpowiedź Lemata:
teoretycznie nie ma znaczenia - ja jednak mam SPF przed greylistngiem aby niepotrzebnie nie zapychać bazy danych greylistingu.
kuzik
2008-03-20 21:17:04
sender_checks via mysql
Jak umiejściłeś zawartość sender_checks w bazie danych, np. mysql
Odpowiedź Lemata:
np. phpMyAdminem
Casha
2008-06-17 13:35:09
postfix spf
Nie wiem gdzie ominąć coś takiego: Mam problem z otrzymaniem poczty przy ehlo smtp2-10.fr.grpleg.net (nie ma wpisu IN A) I teraz: ehlo smtp2-10.fr.grpleg.net 250-razor.asd.pl 250-PIPELINING ... mail from:[test@test.pl] 250 OK rcpt to:[asd@asd.pl] 450 4.7.1 [asd@asd.pl]: Recipient address rejected: SPF-Result=smtp2-10.fr.grpleg.net: 'SERVFAIL' error on DNS 'SPF' lookup of 'smtp2-10.fr.grpleg.net' A w przypadku gdy w ehlo podam domene nie istniejącą wogóle, to przejdzie bez problemu. Nie wiem w czym problem i gdzie pominąć tego SPF'a przy ehlo.
Odpowiedź Lemata:
smtp2-10.fr.grpleg.net powinien mieć rekord A. Najlepiej wskazujący na adres/y IP z którego serwer smtp nawiązuje połączenia. Dodatkowo w pliku strefy można wstawić rekord SPF dla tej nazwy: smtp2-10.fr.grpleg.net IN TXT "v=spf1....." PS. pytanie kwalifikuje się na pl.comp.mail.mta a nie tutaj
krykiet
2008-10-22 09:42:48
za dużo cyfr ?
Czy przypadkiem wpis "79.190.106.114 REJECT You are not 79.190.106.114" w pliku helo_checks jest niepotrzebny? przecież w pliku helo_checks.pcre blokujesz możliwość numerycznego helo'wania się.
Odpowiedź Lemata:
tak, ale dla mnie lepiej jest w logach widzieć, że ktoś się podszywa - wtedy jest to spamer - w odróżnieniu od przypadków złej konfiguracji serwera.
majsterq
2009-02-04 00:09:28
zaleznosc miedzy hello a mail from
Witam Czy jest jakaś możliwość aby sprawdzać czy to co klient podał w HELO/EHLO np host.domena.pl miało pokrycie w tym co podaje w mail from, tak żeby adres podany w tym polu np ktos@innadomena.pl nie pasujący do domeny podanej w HELO/EHLO był odrzucany?? Pozdrawiam
Odpowiedź Lemata:
jest, szukaj hasła "policyd". Ale w tym momencie wytniesz wszystkie serwery z więcej niż jedną domeną na pokładzie czyli na przykład wszystkie hostingi. To już lepiej zainteresuj się sprawdzaniem SPFa dla nazwy podanej w EHLO
chybcia
2009-04-22 20:46:25
anty spam sprzętowy
Witam, jestem lekkim lamerem w temacie, i proszę was o pomoc. Wrzuciłem między ruter a serwer pocztowy anty spama sprzętowego. Sprawa wygląda tak że jak przychodzi poczta to ruter kieruje ją na anty spama a dopiero z anty spama idzie dalej wiadomość do serwera pocztowego. Mój problem polega na tym że cały czas wiadomości z anty spama do serwera pocztowego są odrzucane. Co powinienem ustawic w postfix żeby nie były te wiadomości odrzucane?
logi z anty spamera:

2009-04-19 12:00:17 sophos postfix/backend/smtp[93730]: BF2C71B2794C_9EAF630B: to=[cybcia@xxxxxxxxxx.com], relay=poczta.lanster.com[192.168.50.2]:25, delay=0.83, delays=0.34/0.4/0.01/0.08, dsn=5.7.1, status=bounced (host poczta.xxxxxxxxx.com[192.168.50.2] said: 554 5.7.1 [sophos.xxxxxxxxx.com]: Helo command rejected: You are not xxxxxxxx.com (in reply to RCPT TO command))
Odpowiedź Lemata:
grupy dyskusyjne-> pl.comp.mail.mta

chodzi o to, że musisz adres IP tego sprzętowego antyspama whitelistować, np. dodać go do $mynetworks.
jerzy
2009-05-30 00:26:54
Dlaczego ?
Hej,
masz wiele ciekawych, bardzo przydatnych informacji jak zainstalowac i skonfigurowac postfix. Dlaczego nie ma Cie jeszcze na tej stronie:
http://postfix.sgh.waw.pl/non-english.html
myśle ze w pełni na to zasłużyłeś a i flaga Polski była by też na tej stronie pewną nobilitacją.
adas
2009-07-21 17:19:44
smtpd_sender_restrictions
reject_unknown_address
Tego już chyba nie ma w postfiksie (?), a może jest coś w zamian?
Odpowiedź Lemata:
Fakt, opcja wygląda na przeznaczoną do likwidacji. Zapoznaj się z:
reject_unknown_sender_domain,
reject_non_fqdn_sender,
guayasil
2009-09-29 13:51:41
reject_*_helo_hostname
W sekcji "Jak wspomniałem sprawdzanie RBLi trwa"
Może głupio spytam ale z dokumentacji to nie wynika, z Twoich wyjaśnień też nie bardzo:
dlaczego dodane są do smtpd_recipient_restrictions zamiast smtpd_helo_restrictions? Formalnie OK, zapewne zrobiłes to nie bez powodu. Jakiego...?
Odpowiedź Lemata:
bo w smtpd_helo_restrictions odrzuciłoby połączenie od userów - rzadko który czytnik wysyła poprawne EHLO. Nawet gdybyś miał tak, że dany serwer nie obsługuje użytkowników a tylko i wyłącznie inne serwery to nie jest to słuszne posunięcie - bo nie pozwoli się skontaktować z twoim adresem postmaster@.
edd
2010-05-10 17:34:51
uzupełnienie
Dodał bym jeszcze info o : smtpd_client_restrictions = permit_mynetworks, reject_unknown_client

Z góry sory jeśli gdzieś jest i jestem po prostu ślepy. Dobry materiał, jak się wszyscy weźmiemy to może jakoś ten spam opanujemy. powodzenia
Odpowiedź Lemata:
odradzam. Odsieje zbyt dużo serwerów SMTP bez skonfigurowanego revDNSa lub z błędnie skonfigurowanym revDNSem. Ponadto odsieje własnych użytkowników, którzy będą się łączyli z jakiejś sieci, która też nie ma poprawnych revDNSów.
zajonc
2010-05-11 08:23:13
próba 01
witam - mam problem z podszywaniem się
skorzystałem z Twoich podpowiedzi
niestety
May 11 08:03:57 serwerpoczty postfix/smtpd[22139]: fatal: open database /etc/postfix/sender_login_maps.db: No such file or directory

ok - zmieniłem nazwę

May 11 08:04:45 serwerpoczty postfix/smtpd[22273]: fatal: open database /etc/postfix/sender_login_maps.db: Invalid argument

plik jest wg. wskazań

user1@mojadomena.pl user1@mojadomena.pl
user2@mojadomena.pl user2@mojadomena.pl

o co kaman??
Odpowiedź Lemata:
pliki *.db powinny być tworzone komendą postmap
zajonc
2010-05-12 08:59:19
ręce opadają z tym spamem
witam ponownie
dziękuję za wskazówki pomogły

natomiast dalej mam podszywanie się ale, w polu od jest tak jakby pusto:

[przeedytowane] from=

nie jestem aż tak doświadczony i mam problem z załataniem tego
czytam Twoje porady, zastosowałem wiele z nich, ale ciągle to przychodzi
w programach pocztowych w polu OD jest odbiorca
czy mógłbym prosić o jakieś wskazówki?
Odpowiedź Lemata:
puste pole from oznacza wiadomość od postmastera o losach wiadomości (najczęściej, że nie dotarła) i jest to normalne. Jedyne co może być nienormalne, to powód dlaczego nie dotarła.
taki tam adminek :-)
2010-05-20 06:50:21
podziekowanie
Bardzo mi się ta storna podoba, dzięki opisanej konfiguracji postfixa odpada mi dziennie baaardzo dużo spamu od poczty !!! tak trzymać !!!
Zangetssu
2010-06-07 17:31:48
Podszywanie się
Witam,

Dostaję trochę spamu z headerem From: pokazującym na adres odbiorcy To:.
Np:

From:x@x.com
Subject: Costam
To: x@x.com

Chodzi o nagłówki a nie envelope. Jakiś pomysł jak to odfiltrować?

Pozdrawiam,

Zangessu
Odpowiedź Lemata:
moim zdaniem nie powinieneś tego robić, dla przykładu ktoś może pisać do siebie aby zostawić sobie jakieś przypomnienie. Już lepiej by było sprawdzać czy Return-path jest takie same jak From: (ale tak samo śliskie)
Odpowiadając na pytanie: http://www.postfix.org/header_checks.5.html i składnia if-a + zmienne $1
Zangetssu
2010-09-10 16:19:48
Autoresponder i ogonki ążźćłó
Drogi Lemacie,


Mam ustawiony na serwerku postfix + squirrelmail + autorespond plugin + program vacation. Problem polega na tym, że vacation wysyła wiadomości jako plaintext i nie dodaje informacji o kodowaniu. Efektem takiego zachowania są krzaki w niektórych klientach pocztowych. Czy istnieje jakieś rozwiązanie tego problemu lub alternatywna droga?


Pozdrawiam,

PG

Odpowiedź Lemata:
inny vacation?
Piecia
2010-10-06 14:35:28
Odrzucanie poczty od lamersko skonfigurowanych serwerów
Witam
A ja mam pytanie odnośnie tego wpisu: check_helo_mx_access cidr:/etc/postfix/mx_access.cidr
Dlaczego akurat w smtpd_recipients_restrictions a nie w smtpd_helo_restrictions?
Fakt że jeśli będzie w smtpd_helo_restrictions to przyblokuje połączenia z np. sieci prywatnych 192.168. dla normalnych klientów.
Akurat to sprawdziłem. Thunderbird w HELO/EHLO przesłał takie coś: [192.168.1.4]
Odpowiedź Lemata:
są 2 skrajności:
1) nawalić wszystko w smtpd_recipient_restrictions, pozostałe łańcuchy zostawiając puste
2) ustawić smtpd_deley_reject na "no" i odrzucać połączenie na jak najwcześniejszym etapie. Niektórzy wstawiają np CBLa w smtpd_client_restrictions.

sposób 1) pozwala na przyjęcie emaila do postmaster@ - w przypadku jakby ktoś na drugim końcu druta chciał się dowiedzieć za co jest blokowany.

sposób 2) oszczędza zasoby. Ale wymusza też zastosowanie permit_sasl_authenticated wszędzie tam, gdzie coś mogłoby uwalić lokalnego usera.

Ja stosuję coś pośrodku, czyli źle skonfigurowane serwer staram się uwalać w smtpd_recipient_restrctions a windowsy z wirusami - jak najwcześniej się da.

check_helo_mx_access jest po to, aby w przypadku spamruna z ustawioną domeną nadawcy np. lemat.priv.pl właściciel mógł zmienić rekordy DNS na 127.0.0.1 i chwilowo wyłączyć ją, zapobiegając backscatterowi.
piciu
2010-12-09 14:05:43
AD Autoresponder i krzaki
Kolego szanowny, uzyj z SQWebmail, plugin postfixadmina a jeżeli nie będziesz miał polskich krzaków to zwróć uwagę na kodowanie tabeli (latin, utf8, iso). Z tego co pamietam to było przyczyną.
pma_
2011-04-28 12:00:23
HELO vs EHLO
Dzięki za informacje, skonfigurowałem postfixa na podstawie artykułu ale nadal przyjmuje HELO domena, w jaki sposób przestawić go na akceptowanie wyłącznie EHLO?

Odpowiedź Lemata:
powiem brutalnie: chcesz zjebać swój system poczty. Przywilej kombinowania z RFC zostaw teoretykom.
pma_
2011-05-25 12:57:06
backup mx
tak kombinuję jak zrobić postfix'a jako backupowy mx i nie zrobić go open relay. Jakiś hint?
Odpowiedź Lemata:
zapasowy musi mieć komplet danych z primary: listę domen, listę userów, listę aliasów. Taką kopię wszystkiego można zrobić albo rsyncem, albo *sqlem master-slave, albo ldap.
wik999
2011-07-16 11:12:25
RBL się nie odzywa
Witam
W przykładowej ściągniętej konfiguracji jest odwołanie do nieistniejącego? RBL-a, komunikat z logu:: warning: 5.101.77.212.chikor.rbl.tld: RBL lookup error: Host or domain name not found. Name service error for name=5.101.77.212.chikor.rbl.tld type=A: Host not found, try again.
Czy jest jaikiś inny, który go zastępuje?.
Pozdrawiam, wik999.
Odpowiedź Lemata:
o ja pierdolę, przeczytaj z łaski swojej dokładnie to, co mam na stronie i kliknij jeden jedyny link opisujący co to jest *.rbl.tld
Krzysiek
2011-09-25 14:06:02
Witam
A czy reject_unknown_address i reject_unknown_sender_domain to nie jest to samo.
IHMO lepiej chyba najpierw reject_non_fqdn_sender a potem reject_unknown_sender_domain. Bo jak pierwsze nie zachodzi to drugie nie moze
Odpowiedź Lemata:
1) tak to jest to samo, musiało mi umknąć przy zmianie konfiguracji przy postfixie 2.3
2) szczerze mówiąc nie wiem dokładnie czym te 2 opcje się różnią - dlatego daję je obie w przypadku jakby jedna zawierała coś, czego druga nie ma.
krzysiek
2011-10-09 13:30:16
Fake MX i sleep
1. Co myslisz o technice fake mx(mowie o backupowym serverze mx)
2.Jak sie zapatrujesz na opoznienie (sleep w postfixie). Uzywales? Wydaje sie sleep 5 sensownym rozwiazaniem
Odpowiedź Lemata:
1) jak masz fakeMX to nie możesz robić greylistingu, a ja uważam greylisting za bardziej skuteczną metodę filtrowania spamu.
2) nie znam statystyk pokazujących czy ta metoda jest skuteczna -
dawwoz
2011-10-20 12:50:18
check_helo_access odrzuca lokalną pocztę
Witam serdecznie!!
Może ktoś pomoże, gdyż nie mam pojęcia czemu się tak dzieje. Komenda smtpd_helo_restriction = check_helo_access hash:/etc/postfix/helo_chcecks, permit
odrzuca mi pocztę lokalną np. wygenerowaną statystykę i przesłaną ją do użytkownika root poleceniem mail, ale także każdą inna pomiędzy użytkownikami.
Wyciąg z loga:
Oct 19 01:00:02 linux postfix/smtpd[31635]: NOQUEUE: reject: RCPT from localhost.localdomain[127.0.0.1]: 554 5.7.1 : Helo command rejected: You are not linux.mojadomenaukryta.pl; from= to= proto=ESMTP helo=
Odpowiedź Lemata:
smtpd_helo_restriction = permit_mynetworks, check_helo_access hash:/etc/postfix/helo_chcecks, permit
Tomek
2011-11-08 21:49:17
data wysłanego maila
Witam serdecznie,
Chciałbym zapytać, czy jest możliwość nadpisywania daty maili wysyłanych przez smtp niezależnie od tego co klient wyśle (np. na date systemową serwera)
Będę wdzięczny za podpowiedź,
Pozdrawiam
Odpowiedź Lemata:
musiałbyś napisać własny content filter...
lovelas
2012-01-09 16:41:29
smtpd_client_restrictions
Dzięki za te przepisy na dobrego Postfixa.
Trochę przydałoby się aktualizować bo soft wychodzi nowy i pewne rzeczy się zmieniają. Tak że prośba żebyś nie był zbyt leniwy :-)

Wg przepisu smtpd_client_restrictions = (pusto?)
Odpowiedź Lemata:
przepis na konfigurację jest aktualny
Tomek
2012-02-21 13:05:19
Spam "od siebie"
Mam konfig wg "Kilka słów o podszywaniu się" który się sprawdzał bo kilka miesięcy temu otrzymywałem już spam "od siebie" i po zastosowaniu blokowania samego siebie to pomogło ale znowu od kilku dni otrzymuję spam z adresami z własnej domeny.
Odpowiedź Lemata:
zapraszam na pl.comp.mail.mta, gdzie podasz swój konfig i/lub przykład listu, który przechodzi przez filtry.
postfixer
2012-03-13 16:08:58
ANVIL - IP whitelist
czy da rade skonfigurować tak żeby nie brał paru IP pod uwagę w regułkach zastosowanych w "Anvil - konfiguracja dla bardzo małych serwerów" ???

Chciałbym zeby regułki omijały IP z biura.. cos w podobie jak permit my networks ale permit my Whitelist IP :P
Odpowiedź Lemata:
smtpd_client_event_limit_exceptions
Michał
2012-03-17 13:19:13
Blue Connect (T-Mobile - Reject )
Witam,
Miałem naprawde dobry sposób na spamerów odcinając ich od razu w smtpd_client_restrictions regułkami reject_unknown_client_hostname i rblami...
Problem zaczął się gdy dziewczyna zechciała wysłać maila z Blue COnencta który niedość ze był odzucany przez RBLa "Client host [46.205.83.87] blocked using dnsbl.sorbs.net;
Dynamic IP Addresses See: http://www.sorbs.net/lookup.shtml?46.205.83.87;" to na dodatek po wywaleniu RBLa z restrykcji był odrzucany z powodu reject_unknown_client_hostname... (450 4.7.1 Client host rejected: cannot find your hostname, [37.30.106.186];) musialem obie regulki cofnąć zeby mogła wysyłać maile z T-Mobile... Nie wiem co było/jest nie tak w moim konfigu:

smtpd_client_restrictions =
permit_mynetworks
permit_sasl_authenticated
check_client_access hash:/etc/postfix/access
reject_unknown_client_hostname
reject_rbl_client cbl.abuseat.org
reject_rbl_client sbl-xbl.spamhaus.org
reject_rbl_client dnsbl.sorbs.net
reject_unauth_pipelining
permit

Niby jak nakazuje kolejność powinno przepuścić mi usera z loginem i hasłem (permit_sasl_authenticated) jednak sprawdza nadal regułki... (zaznaczę że nie mam dovecota ani cyrrusa bo szef nie zgadza sie na jedno dodatkowe klikniecie przy konfigu w outlooku - Serwer wymaga uwierzytelnienia -.-)

# w access (robie ofc postmap) mam
kontoblueconect@domena.pl OK
więc czemu do jasnej ciasnej postfix nie przepuszcza tego usera tylko trafia do reject_unknown_client_hostname gdzie zostaje odrzucone ? :(

PS: przecinki między regułami mają znaczenie ? (postfix nie zwraca bledow z i bez)
Odpowiedź Lemata:
smtpd_client_restrictions jest sprawdzane jak tylko klient się podłączy i nawet jeszcze nie zdąży przesłać jednego bajta a tym bardziej loginu i hasła. Dlatego permit_sasl_authenticated w smtpd_client_restrictions nie ma sensu. permit_sasl_authenticated ma sens dopiero w smtpd_sender_restrictions i wszystko to, co jest zależne od tego czy user jest zautoryzowany czy nie (np. RBLe) trzeba przenieść za permit_sasl_authenticated. Chyba, że jest to RBL o wysokiej wiarygodności a ty usiłujesz dać userowi do zrozumienia, że ma wirusa i fora ze dwora. WP.pl kiedyś tak zrobiło z CBLem.

podobnie twój plik access (chociaż patrz dalej) - wymaga przesłania adresu nadawcy i jego sprawdzenia w pliku a to jest robione/sprawdzane w smtpd_sender_restrictions

muszą być albo przecinki albo znaki nowej linii - jakiś rozdzielacz musi być aby postfix się nie pogubił w regułach dwuczłonowych.

sbl-xbl.spamhaus.org zawiera w sobie cbl.abuseat.org, niepotrzebnie robisz 2 zapytania i obciążasz i swój system i te RBLe

"bo szef nie zgadza sie" - podaj adres swojego serwera to zrobię twojemu szefowi jesień średniowiecza ze skrzynki... powiedz mu, że sprzątaczka może wysłać emaila w jego imieniu do księgowości nakazującego wypłatę jej premii za 10 lat w przód... i możesz moją wypowiedź mu pokazać po fakcie...
pewnym workaroundem jest zrobienie popbeforesmtp. A to, że jeden szef nie chce kliknąć nie oznacza, że nie możesz mieć zainstalowanego sasla - no przecież to działa niezależnie.

skoro nie masz sasla to permit_sasl_authenticated w ogóle jest bez sensu - no bo przecież nie masz sasla

twój /etc/postfix/access powinien zawierać adresy IP lub revDNSy bo check_client_access oznacza klienta czyli adres IP lub revDNS.
jeżeli miałby zawierać adresy email to musiałby to być check_sender_access, ale w tym momencie to tworzysz open-relaja i w tym momencie to nie tylko twój szef będzie miał przesrane, ale ty osobiście też. Mieszkasz niedaleko, bo tylko w Łodzi...

następnym problemem jest to 450tka w komunikacie, zajrzyj do artykułu błędy w konfiguracji postfixa ->Właściwe 55X na właściwym miejscu

widzisz, przyszedłeś tu z jednym problemem a wyszedłeś z pięcioma, opłacało się? ;)
Samuraj
2012-03-17 19:13:52
O podszywaniu się
Witam dodałem
smtpd_sender_login_maps = hash:/etc/postfix/sender_login_map
ale okazuje się że użytkownicy w konfigach Outlooków używają swoich aliasów i mam błędy typu Sender address rejected: not logged in; from=

jak w takim razie powinna wyglądać składnia dla konta z apliasami jak poniżej
wlodzimierz.nowak: wlodek
w.nowak: wlodek

W sender_login_map powinno być
wlodek@domena.pl wlodek@domena.pl
w.nowak@domena.pl w.nowak@domena.pl
wlodzimierz.nowak@domena.pl wlodzimierz.nowak@domena.pl

czy moze
wlodek@domena.pl wlodek@domena.pl
wlodek@domena.pl w.nowak@domena.pl
wlodek@domena.pl wlodzimierz.nowak@domena.pl

narazie użyłem znaku" #" w configu żeby nie robić czegoś 2 razy :/
Odpowiedź Lemata:
po pierwsze "not logged in" oznacza że user nie jest zalogowany. Czyli albo nie zaznaczył w outlooku "ten serwer wymaga uwierzytelnienia" albo twój serwer nie ma sasla. I zanim zaczniesz grzebać przy smtpd_sender_login_maps musisz rozwiązać ten problem.

jakby to było "not owned" to byłby problem właśnie z tabelą smtpd_sender_login_maps

w smtpd_sender_login_maps w lewej kolumnie masz adresy email, w prawej kolumnie masz wszystkie loginy, które mogą używać tego adresu email rozdzielone przecinkami i/lub spacjami

i teraz nie wiem, co u ciebie jest loginem, domyślam się, że masz konta systemowe - wobec tego loginem nie jest adres email tylko samo username np. "wlodek", czyli tabela wygląda tak:

wlodek@domena.pl wlodek
w.nowak@domena.pl wlodek
wlodzimierz.nowak@domena.pl wlodek

jak zrobisz grep "not owned" mail.info to masz na tacy podane jaki email i jaki login są sparowane, zazwyczaj jest tak, że userzy mają tylko jedną linię w pliku - tylko jeden adres email jest używany do poczty wychodzącej. Outlook chyba nie pozwala na więcej - trzeba by tworzyć osobne konto/tożsamość.
Guayasil
2012-03-20 19:13:24
sprawdzanie zgodności korperty i nagłówka
`check_sender_access' pozwala wyeliminować maile, które na kopercie mają `j.nowak@moj.host' ale...
... moi użytkownicy nie patrzą na dane na kopercie (Return-Path:) tylko na `from:' w nagłówku (to co pokazuje piorunoptak, wyglądacz etc).

Jak elegancko wyeliminować maile, które w polu `from:' nagłówka mają `cośtam@mój.host' ale na kopercie mają coś spoza domeny? Postfix nie ingeruje w nagłówek, a Amavis AFAIK nie bardzo ma takie możliwości. Można prosić o jakąś wskazówkę?
Odpowiedź Lemata:
na pl.comp.mail.mta była o tym dyskusja...
samym postfixem nie da się, można to spróbować zrobić w spamassassinie:

Received: from quad.localnet (quad.lemat.priv.pl [192.168.0.11])
(using TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits))
(No client certificate requested)
(Authenticated sender: ja@mojadomena.tld)
by poczta.lemat.priv.pl (Postfix) with ESMTPSA id 6242441CDC
for < ja@mojadomena.tld >; Tue, 20 Mar 2012 19:33:00 +0100 (CET)
From: Lemat < ja@mojadomena.tld >

najpierw należy wykryć takie From, które zawiera twoją domenę lokalną

header __LOCAL_FROM From =~ /\@mojadomena.tld/

następnie takie Received, które zawiera twoją nazwę serwera i "Authenticated sender" (trzeba włączyć smtpd_sasl_authenticated_header = yes)

header __LOCAL_AUTH Received =~ /Authenticated sender: [^@]+\@mojadomena.tld\) by poczta.lemat.priv.pl/

i stworzyć metę:

meta LOCAL_FROM_UNAUTH __LOCAL_FROM && ! __LOCAL_AUTH

coś w ten deseń (nie testowałem, nie wiem czy działa, możesz zostać królikiem)
można spróbować z użyciem X-Spam-Relays-Trusted, tam jest ustandaryzowane
Guayasil
2012-03-21 18:55:58
jeszcz o `check_sender_access'
Mam idiotyczną sytuację:

1. Pewien skrypt rozsyła powiadomienia od `skrypt@u.nas' wszystkim użytkownikom zarejestrowanym w bazie.

2. Jeden z użytkowników w bazie podał swój adres korespondencyjny: `ktośtam@gdzie.indziej'.

3. Skrypt wysyła maila z kopertą `skrypt@u.nas' -> `ktośtam@gdzie.indziej'.

4. Użytkownik wspomniany w (2) na serwerze `gdzie.indziej' ustawił sobie forwarda do `ktośtam@u.nas'. Dość osobliwie, ale...

5. W konsekwencji dostajemy od serwera `gdzie.indziej' maila, który na kopercie ma: `skrypt@u.nas' -> `ktośtam@gdzie.indziej' i go blokujemy ;-)

Da się to jakoś inteligentnie ominąć?
Odpowiedź Lemata:
tak, przed check_sender_access trzeba wstawić check_client_access z adresem IP tego serwera LUB (niepolecane) w check_sender_access dodać linijkę:
user@domena DUNNO
Guayasil
2012-03-21 20:22:28
check_sender_access -- cd
Tu nie chodzi o akceptacje tego jednego konkretnego serwera -- to można na wiele sposobów. Jak wyeliminować taką sytuację dla jakiegokolwiek serwera (wykrycie, że dostajemy forward maila, którego naprawdę wysłaliśmy)?
Odpowiedź Lemata:
trzeba przeanalizować treść całego emaila i wszystkie nagłówki received - czy występuje w nich nasz serwer. Problem jest w tym, że takie nagłówki można fałszować/dodawać. I spamerzy już to robią.
Guayasil
2012-03-21 20:35:05
check_sender_access -- cd
...albo trzymać rekord wysyłanych maili przez kilkadziesiąt sekund. Taki autoforward na ogół następuje szybko...
Odpowiedź Lemata:
Sender Rewrite Scheme
wojtom
2012-04-11 12:43:52
Problem z EHLO
Witaj!
Zabrałem się do konfiguracji filtrowania przychodzącej poczty po EHLO. Jak już zadziałało to pojawił się taki problem.
Jeden z klientów naszego serwera pocztowego ma program fakturujący, dowolny - nie ważne jaki. Ten program jak wiele innych programów tego typu, ma możliwość wysyłania wystawionego dokumentu w postaci .pdf mailem.
Konfiguracja tego mechanizmu pozwala na wysłanie tego maila z autoryzacją SMTP. Stworzyliśmy specjalne konto pocztowe tylko do tego celu, dane autoryzacyjne wpisaliśmy do programu i wszystko działało przez dwa lata.
Po włączeniu filtracji po EHLO serwer odrzuca taki mail, bo on jest generowany bezpośrednio przez host księgowej.
Jest wiele przypadków w których urządzenia sieciowe (faksy, skanery, routerki, itp..) wysyłają dokumenty lub komunikaty mailem z autoryzacją, ale prostota tych mechanizmów powoduje, że w nagłówkach wpisane są różne nazwy lub nic i wtedy wychodzi to z nazwą hosta jako Senderem i EHLO to blokuje.
Co z tym fantem zrobić?
Pozdrawiam
Wojtek
Odpowiedź Lemata:
przed regułką sprawdzającą (odrzucającą po) EHLO dać wyjątek w postaci adresu IP.
Mirek
2012-04-14 16:06:02
Body Checks
Miałem duży spokój dzięki body_checks odrzucając maile które mają w tekście określony adres mailowy...

spamer to obszedł po jakimś czasie wysyłając całą treść w załączniku *.txt

jak odrzucać maile które w załączniku *.txt posiadają adres mailowy adres@domena.com ?

body_checks działa tylko przy "czystym tekście" a nie chciałbym odrzucać wszystkich załączników *.txt
Odpowiedź Lemata:
sprawdziłem, body_checks działa na całym emailu i działa też na załączniku txt
Mirek
2012-04-14 16:55:32
Body Check
po otwarciu spamowego listu w webmailu otwiera sie jego kod HTML







adres@domena.pl


Ten sam mail otwarty w Outlooku zawiera cały kod HTML i wyświetla jako załącznik txt... a sam mail nic nie ma w body..

który nie został zablokowany w body check zawierającego
/adres@domena.pl/ REJECT No way

natomiast jeżeli mail jest "napisany" czystym tekstem z adres@domena.pl zostaje odrzucany tak jak powienien..
Odpowiedź Lemata:
jeżeli załącznik zakodowany jest np. do base64 to body_checks nie działają, trzeba to robić przez spamassassina, który najpierw odkoduje do plain-tekstu a potem przeszuka
Mirek
2012-05-09 17:34:14
Body/Header Check
Jak najszybciej dodać do white listy nadawców których body/hader check ma omijać ?
Odpowiedź Lemata:
nie da się, od tego jest spamassassin i amavis
Paweł
2012-06-01 17:57:37
Podszywanie się
jak zablokować delikwenta który robi coś takiego

mail from: spam@spam.com
rcpt to: user@moja.domena.pl
data
from: user@moja.domena.pl
..
Odpowiedź Lemata:
jacek
2012-06-13 22:57:43
spam z oferta pracy
Jak blokujesz taki spam z oifertami pracy ? w postfix+sa+amavis
Odpowiedź Lemata:
Używając wszystkiego co widać na mojej stronie.
jan
2012-06-14 14:03:53
spam w sprawie pracy
Głownie mam twoja konfiguracje ale gdzies pisąłes o wpisach w spamassassinie donosnie polishjob itp i tego jakos niegdzi eni emoge znalesc w tym zipie z konfiguracja - wiec jak bys mogl napisac bylbym wdzieczny
Odpowiedź Lemata:
google: "lemat spamassassin"
ArKaDio
2012-06-30 11:23:58
Spam
Witam, dzięki świetne artykuły
Ostatni zauważyłem że wirtualni użytkownicy używają programów w php do wysyłania mailingu , soft taki w jednej chwili, działając na jednym serwerze z postfixem ( zależy od baz ) generuje tysiące maili , przez co IP naszego serwera zgłaszane jest na blacklist’y , jak sobie z tym radzić ?
Odpowiedź Lemata:
Ostatnio zrobiłem i sprzedałem i skonfigurowałem soft (skrypty) limitujący ilość emaili od danego user do powiedzmy 100/h.
A Wam przyda się po prostu Regulamin oraz admin, który nie boi się wypieprzać spamerów. W Regulaminie trzeba zawrzeć klauzulę wymuszającą na kliencie słoną opłatę za spowodowanie niestabilnego działania usługi.
pawelur
2012-08-03 09:37:20
5.1.0
Witam,
Oczywiscie swietny artykul ktory przydaje mi sie za kazdym razem (nawet po małym romansie z iredadmin i tak nawrzucałem mu Twoich konfiguracji)
Ale mam probelm z jednym (słownie jednym) do ktorego wysyłam mail'e: orange.fr

: host smtp-in.orange.fr[193.252.22.65] said: 501 5.1.0 Emetteur invalide. Invalid Sender. OFR004_405 [405] (in reply to MAIL FROM command)

Takich komuniaktów nie mam od zadnego serwera (równiez innych .fr poza domenami na orange.fr) przeleciałem wszystkiem mozliwe listy spamowe w celu odszukania czy moze gdzies sie nie znalazlem, sprawdziel wszystkir mozliwe dnscheck pod katem mojej domeny - wszystko gra poza orange.fr. Pisałem nawet do adminow orange.fr ale (co mozna było sie spodziewac) nawet nie odpisali.

Czy to jakis ewidentyny blad konfiguracji czy moze jak czytam na stronie: http://www.answersthatwork.com/Download_Area/ATW_Library/Networking/Network__3-SMTP_Server_Status_Codes_and_SMTP_Error_Codes.pdf
jakas kwestai standardów.
Dzieki za uwage
Odpowiedź Lemata:
zapytaj na pl.comp.mail.mta, bo ja się też z takim komunikatem nie spotkałem. Nie masz przypadkiem jakiegoś znaku specjalnego w emailu nadawcy? np. paweŁ.us@coŚtam.pl ?

Hmm, żaden z serwerów DNS dla twojej domeny a-n.pl nie odpowiada.
seba
2012-09-26 14:51:48
Re: podszywanie się
http://www.lemat.priv.pl/index.php?m=news&id=138

header_checks i /^From:.*twoja.domena.tld/ REJECT

To nie broni przed użytkownikami lokalnymi.
User lokalny się autoryzuje i wysyła maila do pani księgowej a w polu From:prezes@domena.pl

I co wtedy?
Odpowiedź Lemata:
wtedy zaglądamy do źródła emaila i oglądamy sobie nagłówek dodany przez smtpd_sasl_authenticated_header = yes (w połączeniu z reject_sender_login_mismatch)
sbady
2013-03-27 12:54:25
header_checks i mysql
z tego co widzę przy sprawdzaniu nagłówka maila ogólnie korzysta się z regexp lub pcre, jak pogodzić takie sprawdzanie nagłówka header_checks z mysql?
Odpowiedź Lemata:
query=SELECT cośtam FROM tabelka WHERE '%s' REGEXP kolumna
habibi
2013-07-24 13:43:57
Zwrot informacji o niedostarczonej poczcie do nadawcy
Mój problem jest chyba trywialny ale nie moge sobie z nim poradzić. Jak spowodować by informacje o niedostarczonej poczcie wracały do nadawcy a nie do administratora serwera wysyłającego. Nadawcy mają konta w innej domenie?
Odpowiedź Lemata:
eeee, jak na moje zwrot zawsze następuje do nadawcy (do adresu kopertowego). Czyżby twoi userzy wysyłali z webmaila i nadawcą był apacz? No to trzeba skonfigurować webmaila aby uzywał loginu i hasł użytkownika do autoryzacji.
habibi
2013-07-26 13:59:45
Zwrot informacji o niedostarczonej poczcie do nadawcy
To aplikacja na serwerze (na którym też jest serwer postfixa) wysyła maile.

Format ich jest taki:

From: noreply@nazwa.domeny
Reply-To: Jan Kowalski
To: a.nowak@jeszczeinna_domena

Adresem kopertowym jest noreply@nazwa.demeny więc wszystkie informacje o niedostarczonej poczcie wysyłane są na serwer czyli do mnie.
Myślałem o notify_classes jak (2)bounce_notice_recipient ale chyba nie tędy droga. Nie mam pomysłu niestety :-(
Odpowiedź Lemata:
sender_canonical ?
habibi
2013-08-04 14:05:12
Zwrot informacji o niedostarczonej poczcie do nadawcy
From: noreply@nazwa.domeny
Reply-To: Jan Kowalski@inna_domena
To: a.nowak@jeszczeinna_domena

Chyba przeoczyłem że wysyłający jest w innej domenie. Adres noreply@nazwa.domeny tylko wysyła te maile, więc Jan_Kowalski@inna_domena nie ma konta na tym serwerze tym samym nie mogę go zmapować.
Odpowiedź Lemata:
Jedyne co mogę zaproponować to to, abyś w jakiś sposób, może np. aliasem albo canonicalem skierował wszystko to, co idzie na noreply@nazwa.domeny do twórców tej aplikacji. Bo ewidentnie zjebali robotę. Postfix sam z siebie widzi tylko adresy kopertowe nadawcy i odbiorcy. Czyli nie widzi nagłówka "Reply-To". Zatem postfix sam z siebie nie dostarczy zwrotki do adresu wskazanego w "Reply-To"
Przemm
2013-08-27 16:58:03
Jak zablokować wybranym zalogowanym użytkownikom wysyłanie do innych serwerów?
Witam, świetna robota. Przesiadłem się z sendmaila na postfixa jedynie bazując na tym opisie jednak mam pewien problem do rozwiązania.

Muszę tak ustawić postfixa, żeby pozwalał wysyłać pocztę na zewnątrz tylko niektórym użytkownikom. I nie może o tym decydować pole FROM. Decyzja czy użytkownik może wysłać pocztę na zewnątrz musi byc na podstawie nazwy zalogowanego użytkownika lub jego adresu IP (np. dwóch użytkowników może korzystać z jednego adresu pocztowego/aliasa ale tylko jeden z nich może wysyłać pocztę na zewnątrz).
Jak zrobić aby wszyscy którzy przejdą uwierzytelnieni mogli wysyłać w ramach serwera, ale żeby wysyłanie na zewnątrz było możliwe tylko dla wybranych kont/adresów IP.

Czy jest to możliwe i jak to zrobić?
Odpowiedź Lemata:
już to kiedyś robiłem przez policyd.
jeżeli znasz się trochę na programowaniu to polecam przerobić policyd-lemat2
zgłoś się do mnie na priv
darek
2013-10-24 11:16:54
ponowna wysyłka
witam,
mam użytkownika któremu aliasowałem konto na konto zewnętrzne.
i tu moje pytanie jak ponownie dodać do kolejki maile już znajdujące się na jego koncie ?

pozdrawiam, darek.
Odpowiedź Lemata:
wysłać:
cd /var/mail/cośtam/cur
for i in *; do cat $i | sendmail jakieś opcje nowe@konto.example; done
faber
2013-11-17 11:33:48
Sasl z adresów
Chciałbym mieć możliwość aby autoryzacja (sasl) była możliwa tylko z określonych adresów (zakresów, domen). Zdarza się że spamerzy przejmują konto na serwerze i wtedy rozsyłają spam. Mogę wprowadzić aby z sasla mogły łączyć się tylko nasze sieci (polskie) bądź te które dopiszę. Jak to zrobić ?
Narazie mam tak:
smtpd_recipient_restrictions =
reject_unlisted_recipient,
reject_unknown_recipient_domain,
permit_mynetworks,
reject_unknown_client_hostname,
permit_sasl_authenticated,
reject_unauth_destination,
reject_rbl_client bl.spamcop.net,
reject_rbl_client dul.dnsbl.sorbs.net,
check_sender_access regexp:/etc/postfix/sender_access_rx,
reject_unknown_reverse_client_hostname,
reject_invalid_hostname,
reject_unauth_pipelining,
check_policy_service inet:127.0.0.1:6000,
permit
Odpowiedź Lemata:
musisz stworzyć konstrukcję:


smtpd_recipient_restrictions =
# zamiast permit_sasl_authenticated
check_client_access hash:/etc/postfix/dozwolone_do_logowania.hash

plik /etc/postfix/dozwolone_do_logowania.hash zawiera sieci, np.

.pl permit_sasl_authenticated
1.2.3.4 permit_sasl_authenticated
127.0.0.1 permit_sasl_authenticated

i tylko te sieci wymienione explicite w tym pliku będą mogły używać logowania
Oczywiście operację powtarzasz dla portu 465 i 587 (-o w master.cf)
Pamiętaj też o webmailu aby dać odpowiednie "Allow from" w apaczu
Mariusz_RZ
2013-12-04 15:47:59
Jak ustawić przekazywanie pełnego nagłówka z postfixa do exchange 2010.
Witam.

Chciałbym tak skonfigurować postfixa aby był przeźroczysty tzn. chciałbym na exchange mieć taki sam nagłówek jak na postfixie.
Odpowiedź Lemata:
na postfixie nie da się, bo exchange dodaje nagłówek od kogo otrzymał emaila. I wstawi tam twojego postfixa a nie serwer nadawcy. To na exchange musiałbyś usunąć pierwszy nagłówek received.
emerson626
2014-07-01 22:38:22
podszywanie a forwardy
Do akapitu o "podszywaniu":
umieszczenie blacklisty z własnych adresów w smtpd_recipient_restrictions ma niestety skutek uboczny. Wiele popularnych serwisów ( np. home.pl, post.pl ) daje mozliwość ustawienia forwardu z poczty przychodzącej. Ten forward wygląda tak, że zachowywany jest we From: oryginalny nadawca, a odbiorca w To: jest zamieniany. Potrafi to dać efekt, ktory sie u mnie trafiał, że ta regułka odrzuca pożądane listy. Najlepiej pokazać to na przykładzie:
Jeśli adam@post.pl ustawi sobie forward na adam@moja.domena, to list wysłany przez basia@moja.domena do adam@post.pl wróci na mój serwer jako:
From: basia@moja.domena
To: adam@moja.domena
a połączenie będzie z serwera post.pl czyli spoza $mynetworks.
Powyżej dyskutowana regułka odrzuci taki list z komunikatem o konieczności SMTP-AUTH. To nie są częste przypadki, ale sie zdarzają. Ja z tego powodu zrezygnowałem z używania tej reguły.
Odpowiedź Lemata:
a ja mam wcześniej whitelistę serwerów, które mi forwardują pocztę...
Miro
2014-07-08 13:16:23
reject_sender_login_mismatchr
Witam, mam pytanie:

Pomimo ustawienia w main.cf
smtpd_sender_login_maps = hash:/etc/postfix/sender_login_maps (z zawartością user@example.com user@example.com)
oraz w smtpd_sender_restrictions = reject_sender_login_mismatch (jako jedyna opcja w tym łańcuchu)
oraz logowaniu się do serwera smtp jako user@example.com i wysyłaniu maila do siebie na user@example.com dostaję ciągle błąd:

Jul 1 12:53:05 poczta postfix/smtpd[3927]: NOQUEUE: reject: RCPT from unknown[105.120.30.11]: 553 5.7.1 : Sender address rejected: not owned by user user@example.com; from= to=
proto=ESMTP helo=

(wszystkie maile w komunikacie błędu to user@example.com czyli są takie same).

Wszystko inne działa.

Z góry dzięki za sugestie.

Pozdrawiam
Odpowiedź Lemata:
albo masz gdzieś głupią literówkę albo brak postmapa albo twój klient poczty nie wysyła loginu i hasła.
Guayaseal
2014-09-09 21:00:00
Ad Twojej konfiguracji - kolejność
Patrzę na Twoją konfigurację. Zastanawia mnie, czemu np.
reject_rbl_client
reject_unknown_helo_hostname
reject_non_fqdn_helo_hostname
umieszczasz dopiero w smtpd_recipient_restrictions . Czemu te RBLe nie na początku w smtpd_client_restrictions - jak blacklistowany, to po co dalej rozmawiać. Podobnie z helo.

Przy okazji: czy reject_unauth_pipelining nie wystarczy w jednym miejscu? AFAIK to sprawdza znacznik - raz ustawiony.

Przy okazji: Czy widzisz sens reject_unknown_helo_hostname ? Właściwie, to jedno z tych sprawdzeń, z których wydaje się, że nie wynika nic...?
Odpowiedź Lemata:
1) sprawdzanie EHLO musi być za permit_sasl_authenticated gdyż/ponieważ klient pocztowy może wysłać różne ciekawe rzeczy na przykład windowsową nazwę kompa lub numer IP.

2) RBLe muszą być za permit_sasl_authenticated gdyż/ponieważ luser może odziedziczyć po kimś zblacklistowane IP neostrady.

3) w dokumentacji postfixa jest to cienko opisane co robią tak naprawdę obie funkcje - przydałyby się przykłady jakie EHLO jest poprawny w jednej a niepoprawny w drugiej. Stąd też ja wychodzę z założenia, że jeszcze jeden check nawet jak nie pomoże - to nie zaszkodzi.
misiek
2014-10-22 14:19:16
wysyłanie poczty na własne adresy
mam problem
testuje nowy serwer https://www.wormly.com/test_smtp_server

jeżeleli podam własny adres email i wysyłam na własny adres
odżuca jest ok
553 5.7.1 : Sender address rejected: not logged in

ale jak zmienię na adres na misiek@gmail.com i wysyłam na swoją skrzynke to przechodzi
w ten sposób zawsze będzie można wysłać spam na moje konto
nie mogę sobie poradzić mam debiana wheezy
Odpowiedź Lemata:
Gratulacje, właśnie odkryłeś Amerykę, że protokół SMTP umożliwia podszywanie się. Potrzebne ci SPF.
faber
2014-11-04 13:24:55
smtpd_sender_login_maps
Używam według twojego opisu
smtpd_sender_login_maps = hash:/etc/postfix/sender_login_maps

jednak, zabieram się za SRS ze względu na problem z forwardem.
Robię według opisu https://www.mind-it.info/forward-postfix-spf-srs/
Tak jest również używany smtpd_sender_login_maps.

Jak to pogodzić ? Da radę ?
Lukas
2015-01-16 21:09:08
nagłowki i bounce
Heja,

Pytanie za 100 punktów bo nie mogę sprawić by mi odrzucało maile w których coś jest w polu From:.
Tzn dostaję spam który wygląda tak jak poniżej. No i trik polega na tym, że wyglada na to że spamerzy używają adresu znajdującego się w polu Return-Path który jest zmienny ale już podczas przesyłania contentu używają nagłówków i jest zawsze ten sam @ który widoczny jest na poziomie klienta pocztowego: mailing@grupowe-okazje.net. Znajduje się on w zawarości przesyłanego e-maila co powoduje że serwer łyka ten badziew. Mimo ustwionych różnych ograniczneń na wysyłającego. smtpd_recepient_srestrictions. Dołożyłem nawet header i body checks zawierające prce:
/^From:.*grupowe-okazje.net/ REJECT You are the spammer. LEAVE!

i też łyka! Testowałem skrypt PRCE przez postmap -q - pcre:/etc/postfix/db_header_check.pcre
i wychwytuje pattern. Dlaczego może nie sprawdzać tego ciągu i nie odrzucać tylko przyjmuje wiadomość?
Odpowiedź Lemata:
header_checks i body_checks nie działają jeżeli masz włączony content-filter taki jak np. amavis
Jexx
2016-04-15 08:08:34
jak stworzyć konto/alias lokalny tak aby służył jedynie do komunikacji lokalnej (bez możliwości wysłania poczty na niego z zewnęcznego serwera)
postfix + avmail + postfix admin + clam win

problem:
jak zablokować ruch internet -> do kont/aliasów z listy:
logi@[domena]
all@[domena]
grupy@[domena]
tak aby działał ruch lokalny tj. jeżeli skrzynka znajduje się w moich domenach to mail będzie dostarczany
Odpowiedź Lemata:
policyd-lemat3

('*','*','all@[domena]','REJECT','nie masz uprawnien'),
('*','[domena]','all@[domena]','DUNNO',''),
CS_player
2016-05-23 14:27:00
reject_sender_login_mismatch
Korzystałem z tutoriala:
https://www.exratione.com/2014/05/a-mailserver-on-ubuntu-1404-postfix-dovecot-mysql/

Lecz autor nie dodał tam nic na temat klauzuli:
reject_sender_login_mismatch

Z tego co widze w konfigu powinienem dodać do main.cf
smtpd_sender_login_maps = /etc/postfix/mysql_smtpd_sender_login_maps.cf

Tylko nie wiem jaka ma być zawartość tego pliku cf ?
Odpowiedź Lemata:
jest u mnie w zipie z konfiguracją
CS_player
2016-05-25 09:34:00
reject_sender_login_mismatch
Z twoich źródeł uzyskałem wynik jaki oczekiwałem:
query=SELECT username FROM mailbox WHERE username='%s'

jednak działa to tylko 1 do 1 - wysyłka z konta musi zgadzać się z zalogowanym kontem.

Jak pozwolić wysyłkę z kont aliasów ?
Czyli mam np:

konto: konto@domena.pl
alias: allias_do_konto@domena.pl

Chce po uwierzytelnieniu na konto@domena.pl wysyłać zarówno z konto@domena.pl jaki i z allias_do_konto@domena.pl
Odpowiedź Lemata:
no to robisz dodatkową kolumnę w bazie danych i ją ma zwracać zapytanie. Możesz też złączyć kolumnę username i tą dodatkową, tak aby utworzyć listę adresów.
gal
2017-02-01 16:26:43
automatyczna odpowiedz
Chciałem zapytać czy jest jakaś możliwość ustawienia, konfiguracji w posfixie 2.5.5 + dovecot 1.0.15 autorespondera, jakiegoś mechanizmu odpowiadającego automatycznie na maile poszczególnych użytkowników ? Oczywiście mechanizm przydatny podczas nieobecności pracowników w pracy.
Odpowiedź Lemata:
dovecot wspiera sieve, nie pamiętam czy w archaicznej wersji 1 też.
Krzych
2018-08-01 12:10:26
Błąd albo to u mnie
Opis o podszywaniu się.

smtpd_recipient_restrictions =
(...)
check_sender_access hash:/etc/postfix/sender_checks_my

takie coś powoduje sprawdzenie adresu odbiorcy tj sprawdza czy odbiorca jest obsługiwany przez nasz serwer - a że jest to dostaje rejecta.

Powinno się to dodać do smtp_sender_restrictions, wówczas sprawdzamy nadawcę.
Odpowiedź Lemata:
mylisz się, check_sender_access sprawdza sendera a jest to reguła w łańcuchu smtpd_recipient_restrictions który jest uruchamiany jak w sesji dojdzie do "rcpt to".

Na pocieszenie powiem Ci, że jest to nagminny błąd rozumowania, także w wielu oficjalnych poradnikach.
Kordian
2018-09-25 15:57:30
SASL - AUTH PLAIN LOGIN - tylko i wyłacznie z okreslonego IP
Witam

Jeszcze wczoraj nie za bardzo rozumiałem czego dotyczy tekst na stronie ale im dalej w las tym łatwiej. Udało mi się uruchomić Posfixa z Dovecotem+TLS+SASL+LetsCrypt. Przede mną jeszcze geoIP oraz RBLy.

W tej chwili chciałbym zabezpieczyć serwer aby przyjmował autoryzację poprzez SASL-AUTH: PLAIN LOGIN (jak również w drugim przypadku poprzez TLS) ale tylko i wyłącznie z określonego adresu IP. Dla innych przypadków połączenie ma być zabronione/odrzucane (tzn ma nie być możliwości autoryzacji)

Chodzi mi o to aby poprzez serwer SMTP mogły być wysyłane wiadomości tylko z określonych serwerów www o określonym IP.

Bardzo dziękuję za poradnik.
Odpowiedź Lemata:
fragment konfiguracji dovecota:

password_query = SELECT username as user, password, CONCAT('::1,',allow_nets) as allow_nets FROM mailbox WHERE (username='%u' AND active = 1

gdzie kolumna allow_nets zawiera listę sieci dozwolonych.
A5tu5
2018-11-04 12:06:33
Open relay?
Witam,
od jakiegoś czasu walczę z konfiguracją postfix+dovecot+mysql/sqlite.
Aktualnie moja konfiguracja zbliżona jest do tej:
https://www.rosehosting.com/blog/setup-and-configure-a-mail-server-with-postfixadmin/

Wprawdzie nie jest to klasyczny open relay, bo problem, z jakim walczę, to możliwość wysyłania emaili z jednej skrzynki do drugiej w ramach tego samego serwera, ale z dowolnego zewnętrznego hosta bez konieczności autoryzacji.

Mimo prześledzenia wielu tutoriali, konfiguracji, dokumentacji, kompletnie nie wiem w czym tkwi problem. Obstawiałem problem z konfiguracją LMTP, ale w dokumentacji DOVECOTa niewiele jest napisane na temat autoryzacji.

Czy mogę prosić o sugestię, gdzie może znajdować się problem?
Odpowiedź Lemata:
Podana przez Ciebie strona przedstawia proces instalacji a nie konfiguracji antyspamowej. U mnie jest to cały dział o podszywaniu, który odpowiada na twój problem.
denis
2019-02-15 15:14:27
dla czego nie działa
Przez zewnętrzego linuxa robię tak:

echo "this is the body" | mail -s "this is the subject" -a "From: user@mojadomena.pl" "user@mojadomena.pl"

Serwer pocztowy przepuszcza tą wiadomość, w logach sender oryginalny, ale finalnie (w dostarczonej wiadomości) senderem jest user@mojadomena.pl

user@mojadomena.pl - istniejący user z tabeli userów

Mam:

smtpd_sender_restrictions =
reject_unknown_sender_domain,
reject_non_fqdn_sender,
reject_unknown_address,
reject_sender_login_mismatch,
reject_unauth_pipelining,
check_sender_access pcre:/etc/postfix/sender_checks.pcre,
reject_unauth_pipelining,
permit

smtpd_recipient_restrictions =
permit_mynetworks,
permit_sasl_authenticated,
reject_unauth_destination,
check_sender_access hash:/etc/postfix/sender_checks_my,
check_client_access hash:/etc/postfix/whitelist,
check_helo_access hash:/etc/postfix/helo_checks,
check_helo_access pcre:/etc/postfix/helo_checks.pcre,
reject_unknown_helo_hostname,
reject_non_fqdn_helo_hostname,
reject_unauth_pipelining,
check_recipient_access pcre:/etc/postfix/recipient_checks.pcre,
reject_unknown_sender_domain,
check_sender_access
mysql:/etc/postfix/mysqlconf/mysql_blacklist.cf,
reject_rbl_client zen.spamhaus.org,
reject_rbl_client sbl.spamhaus.org,
reject_rbl_client dnsbl-1.uceprotect.net,
reject_rbl_client dnsbl.sorbs.net,
reject_rbl_client ix.dnsbl.manitu.net,
reject_rbl_client bl.spamcop.net,
reject_rbl_client access.redhawk.org,
reject_rbl_client bl.deadbeef.com,
reject_rbl_client dul.ru,
reject_rbl_client korea.services.net
check_client_access hash:/etc/postfix/restrict

Będę bardzo wdzięczny za poradę!
Odpowiedź Lemata:
w logach masz sendera kopertowego
w programach pocztowych masz sendera nagłówkowego

to tak jak z listem papierowym: na kopercie możesz mieć innego nadawcę/odbiorcę niż na papierze listowym w środku.
wrzuć do header_checks

/^From:/ WARN
i zobacz co będziesz miał od tej pory w logach


Jeżeli chcesz się pozbyć problemów z phishingiem "your account has been hacked"

zainstaluj opendkim, opendmarc
umieść w DNSie info, że podpisujesz 100% listów

w opendmarc.conf albo zrób:

RejectFailures true

albo w spamassassnie podnieś punktację:
score FREEMAIL_FORGED_FROMDOMAIN
score HEADER_FROM_DIFFERENT_DOMAINS
score DKIM_ADSP_DISCARD

zobacz wszystkie rule w /usr/share/spamassassin/*

Gdy przyjdzie email zawierający twoją domenę w nagłówku From to opendkim stwierdzi, że wiadomość nie jest podpisana (a powinna) i będzie można ją odrzucić lub wypunktować.
become
2019-04-03 21:32:42
help
dlaczego
check_helo_access hash:/etc/postfix/helo_checks,

jest umieszczone w check_sender a nie w check_hello ?
Chyba że to tak na prawdę służy do weryfikacji nadawy a nie tego co jest w helo (na co by wskazywała nazwa)
Odpowiedź Lemata:
bo kolejność reguł ma znaczenie, sprawdzanie helo ma nastąpić po sprawdzeniu autoryzacji.
become
2019-04-04 09:13:11
lokalizacja reguł
Na oficjalnej stronie postfixa jest

smtpd_sender_restrictions =
check_sender_access hash:/etc/postfix/sender_access

a Ty piszesz że - cytuję: "check_sender_access sprawdza sendera a jest to reguła w łańcuchu smtpd_recipient_restrictions"

nie bardzo rozumiem? w oficjalnej dokumentacji jest błąd czy po prostu tą regułę można stosować w obu łańcuchach ?

I jeszcze raz druga rzecz:
Dlaczego check_helo_access używasz w smtpd_recipient_restrictions a nie w smtpd_hello_restrictions ?
Czy można gdzieś znaleźć rozpiskę jakie reguły w jakich łańcuchach można używać ?
Odpowiedź Lemata:
Teoretycznie każdą regułę można umieścić w każdym łańcuchu. Nie będzie to powodowało błędów składniowych.
ALE łańcuchy są uruchamiane gdy nastąpił odpowiedni etap w sesji SMTP. Czyli na przykład w smtpd_client_restrictions nie ma sensu sprawdzać niczego na podstawie odbiorcy, bo na tym etapie odbiorca nie jest jeszcze znany (chyba, że jest delay_reject).
Arkady
2019-08-09 09:19:40
Odesłanie informacji do nadawcy, że trafił do spamu
Dzień dobry

Po pierwsze, dziękuję za świetne materiały i ogromną pracę na tej stronie. Już wylądowała w ulubionych. :)

Mój problem dotyczy raczej braku wiedzy, bo ciężko jest zapytać o coś, czego się nie wie jak to nazwać. Pozwolę sobie na krótki opis "po ludzku".

Postfix/amavis/spamassasin w jednym stali domku. Działają, lubią się, spam spadł o jakieś 90%. Jest jednak problem, bo nie umiem nazwać funkcji która odeśle nadawcy, że jego list został uznany za spam i prosimy o kontakt inny, żebyśmy ewentualnie mogli dodać jego adres do whitelist. Czasami ktoś, kto np. przysyła zamówienie - nie jest spamerem, tylko po prostu, został uznany przez system za spam. Nikt po stronie odbiorcy nie wie, że taki email został odrzucony, nikt po stronie nadawcy również. Pomijam oczywiście kogoś, kto jest na blacklist, które uzupełniam często z ręki, ewidentnie jest to spam. Ale jeśli kogoś nie ma na blacklist, chciałbym go poinformować, że serwer go wyrzucił.

Lub z drugiej strony, może to będzie prostsze. Jeśli ktoś nie jest ewidentnie zablokowany przez blacklist, jak pozwolić przejść takiemu listowi z dodatkiem ***SPAM w temacie. Wtedy zadecydujemy, czy dać go do black czy whitelist.

Przepraszam, za być może banalne pytanie, ale tak jak wspominałem, nie wszystko jeszcze umiem zrobić, nie wszystko jest oczywiste, więc nie wiem jak szukać, jak nazwać taką funkcjonalność.

Wszystkiego dobrego
Arek
Odpowiedź Lemata:
Do tematu należy podchodzić niezwykle ostrożnie. Spamerzy fałszują adres nadawcy i gdybyś odbijał taki spam to trafisz do backscatterer.org.

Standardowo robi się to tak:

Amavisa ustawia się jako proxy-filter,
$final_spam_destiny = D_REJECT;

%smtp_reason_by_ccat = (
CC_VIRUS, 'id=%n, %x see http://www.lemat.priv.pl/spam/',
CC_BANNED, 'id=%n, %x see http://www.lemat.priv.pl/spam/',
CC_UNCHECKED, 'id=%n, %x see http://www.lemat.priv.pl/spam/',
CC_SPAM, 'id=%n, %x see http://www.lemat.priv.pl/spam/',
CC_SPAMMY, 'id=%n, %x see http://www.lemat.priv.pl/spam/',
CC_BADH.",2", 'id=%n, %x see http://www.lemat.priv.pl/spam/',
CC_BADH, 'id=%n, %x see http://www.lemat.priv.pl/spam/',
CC_OVERSIZED, 'id=%n, %x see http://www.lemat.priv.pl/spam/',
CC_CATCHALL, 'id=%n, %x see http://www.lemat.priv.pl/spam/',
);

I na tej stronie www podajesz już szerszą informację.

Amavis ma też opcję wysyłania wiadomości email:

$final_spam_destiny = D_BOUNCE;

I odpowiedni config do tego:

# cat /etc/amavis/conf.d/30-template_localization
use strict;

# l10n (localization) of the AMaViSd-new DSN templates
# Override or change as necessary

# Select notifications text encoding when Unicode-aware Perl is converting
# text from internal character representation to external encoding (charset
# in MIME terminology). Used as argument to Perl Encode::encode subroutine.
#
# to be used in RFC 2047-encoded header field bodies, e.g. in Subject:
#$hdr_encoding = 'iso-8859-1'; # (default: 'iso-8859-1')
#
# to be used in notification body text: its encoding and Content-type.charset
#$bdy_encoding = 'iso-8859-1'; # (default: 'iso-8859-1')

# Default template texts for notifications may be overruled by directly
# assigning new text to template variables, or by reading template text
# from files. A second argument may be specified in a call to read_text(),
# specifying character encoding layer to be used when reading from the
# external file, e.g. 'utf8', 'iso-8859-1', or often just $bdy_encoding.
# Text will be converted to internal character representation by Perl 5.8.0
# or later; second argument is ignored otherwise. See PerlIO::encoding,
# Encode::PerlIO and perluniintro man pages.
#
# $notify_sender_templ = read_text('/var/amavis/notify_sender.txt');
# $notify_virus_sender_templ= read_text('/var/amavis/notify_virus_sender.txt');
# $notify_virus_admin_templ = read_text('/var/amavis/notify_virus_admin.txt');
# $notify_virus_recips_templ= read_text('/var/amavis/notify_virus_recips.txt');
# $notify_spam_sender_templ = read_text('/var/amavis/notify_spam_sender.txt');
# $notify_spam_admin_templ = read_text('/var/amavis/notify_spam_admin.txt');

# If notification template files are collectively available in some directory,
# you can use read_l10n_templates which calls read_text for each known
# template. Name the files as above, and include a file named "charset" with
# the charset used in the files. This is how Debian ships l10n templates.
#
# syntax: read_l10n_templates(); OR
# read_l10n_templates(, );
#
read_l10n_templates('en_US', '/etc/amavis');


# ls /etc/amavis/en_US/
charset template-auto-response.txt template-dsn.txt template-problem-feedback.txt template-release-quarantine.txt template-spam-admin.txt template-spam-sender.txt template-virus-admin.txt template-virus-recipient.txt template-virus-sender.txt


ALE ja nie polecam tej drugiej opcji.
Macsurf
2020-06-28 22:49:00
reject_sender_login_mismatch nie działa
Witam

Postfix 3.4.10. Niestety reject_sender_login_mismatch nie działa. Przynajmniej dla tego z konfiguracji main.cf.
Na porcie 587 ( master.cf ) wszystko działa jak należy.
Natomiast na porcie 25 po wysłaniu maila na serwer docelowy otrzymuje z niego zwrotkę:

Sender address rejected: not logged in

Jakiekolwiek konfiguracje nie przechodzą. Testowane na dwóch serwerach. Wydawało mi się, że kiedyś to działało. Możliwe, że to jakiś bug. Niby prosta sprawa a jednak po wielu godzinach gimnastyki zrezygnowałem. Najważniejsze, że działa na submission, ale też chciałem, aby wszystko było jak w szawajcarskim zegarku. No cóż widocznie z tą wersją Postfixa nie da rady :(
Odpowiedź Lemata:
komunikat "Sender address rejected: not logged in" oznacza, że reject_sender_login_mismatch działa, bo to dokładnie jest ta opcja która jest powodem tego komunikatu. To tak będąc dokładnym.

Szklana kula mi mówi, że chcesz osiągnąć efekt przeciwny, to znaczy masz serwer A, który wysyła emaile do innego serwera B, z nadawcą będącym userem z serwera B.

No to na serwerze B przed reject_sender_login_mismatch musisz dodać np. check_client_access i na liście adres IP serwera A.

Albo jeszcze jedna możliwość - nie masz na porcie 25 włączonego SASLa
maks
2021-01-27 18:50:48
rbl_override
Witam serdecznie,
Mam u siebie postfixa 3.2.4, który działał ładnie. Zachciało mi się podłączyć mu RBLe z polspam.pl. Zaczęły działać świetnie - poziom spamu spadł do poziomu minimalnego. Jednak okazało się, że kilka (zdawać by się mogło szacownych) instytucji wpadło na ich listę.

Od kilku dni bezskutecznie próbuję je whitelistować - bez rezultatów.
W main.cf dodałem:
smtpd_recipient_restrictions =
reject_unauth_pipelining,
reject_non_fqdn_recipient,
reject_unknown_recipient_domain,
permit_sasl_authenticated,
permit_mynetworks,
reject_unauth_destination,
check_client_access hash:/etc/postfix/rbl_override,
i dalej (ostatnie linijki)
reject_rbl_client bl.rbl.polspam.pl,
reject_rbl_client bl6.rbl.polspam.pl,
permit

A w rbl_override
domenaktoramabycnawhitelist.pl OK

Oczywiście postmap /etc/postfix/rbl_override zrobiony, restart postfixa także.
A mimo to w logach radośnie:
NOQUEUE: reject: RCPT from domenaktoramabycnawhitelist.pl[adres.ip.tej.domeny]: 554 5.7.1 Service unavailable; Sender address [ktostam@domenaktoramabycnawhitelist.pl] blocked using rhsbl.rbl.polspam.pl; Domain domenaktoramabycnawhitelist.pl is blacklisted on rhsbl.rbl.polspam.pl.Before you send SPAM,read first:District Court Warsaw sig.IC3136/17:justification of the judgment:Even a single SPAM message causes violation of personal rights!; from= to= proto=ESMTP helo=

Co robię źle? Powoli kończą mi się pomysły. RBL polspamu dodany według ich instrukcji na stronie. Oczywiście mogę zgłosić się do admina domenaktoramabycnawhitelist.pl ale chcę całą sprawę załatwić przez whitelist.

Pozdrawiam,
Odpowiedź Lemata:
jedyne, co mi przychodzi do głowy to:

1) check_CLIENT_access wymaga pliku z adresami IP lub revDNSami a ty tam wstawiłes adresy email/domeny nadawcy, albo zmień dane w pliku albo użyj check_SENDER_access,
2) różnica w nazwach, które pojawiają się w logach i ta, które jest w pliku.
3) reverseDNS nie spełniający pętli zwrotnej - nazwa nie pasuje do IP z którego była wzięta, no ale jak na moje to w logach by było unknown[1.2.3.4], sprawdź check_reverse_client_hostname_access?
Protected by spf
[Nospam-PL.NET]
Seti@Home
www.php.net
© Lemat 2004 - ∞