[Comm] Postfix: антиспамовые меры

[Comm] Postfix: антиспамовые меры

[BoBep]

Здравствуйте,
посоветуйте, пожалуйста, как быть в такой ситуации:
в настройках постфикса есть следующая строка
smtpd_client_restrictions = 
check_client_access hash:/etc/postfix/access, reject_maps_rbl, reject_unknown_client, permit my_networks
^^^^^^^^^^^^^^^^^^^^^-вот эта штука, насколько я понимаю, откидывает письма с хостов, которые не резолвятся. Работает замечательно, режет 90% спама, но беда в том, что некоторые нужные письма подпадают под эту статью :) Дабы они нормально дошли, я нужные домены явно прописал в /etc/postfix/access как `<некий домен>  OK`, однако нужные письма все равно реджектятся.
Как указать постфиксу пропускать нужные письма, одновременно жестоко зарезав всякий спам?
Если не трудно, поделитесь _конкретными_ антиспамовыми настройками этой чудесной программы ;)

-- 

WBR, Glyadelov Vladimir

Xmms at work on: Juno Reactor - Master of the Universe [eternal basement remix]

Re: [Comm] Postfix: антиспамовые меры

[Andrei M. Laptev]

BoBep пишет:
>Работает замечательно, режет 90% спама, но беда в том, что некоторые нужные письма подпадают под эту статью :) 
>Дабы они нормально дошли, я нужные домены явно прописал в /etc/postfix/access как `<некий домен>  OK`, 
>однако нужные письма все равно реджектятся.
> Как указать постфиксу пропускать нужные письма, одновременно жестоко зарезав всякий спам?
> Если не трудно, поделитесь _конкретными_ антиспамовыми настройками этой чудесной программы ;)
А postmap на /etc/postfix/access сделал ?


-- 
С уважением,
Лаптев Андрей

Re: [Comm] Postfix: антиспамовые меры

[BoBep]

On Mon, 21 Jul 2003 17:50:14 +0500
"Andrei M. Laptev" <aml@softex.ru> wrote:


> А postmap на /etc/postfix/access сделал ?
разумеется
и postfix reload


-- 

WBR, Glyadelov Vladimir

Re: [Comm] Postfix: антиспамовые меры

[Mike Lykov]

В сообщении от Понедельник 21 Июль 2003 17:37 BoBep написал:

> check_client_access hash:/etc/postfix/access, reject_maps_rbl,
> reject_unknown_client, permit my_networks ^^^^^^^^^^^^^^^^^^^^^-вот эта
> штука, насколько я понимаю, откидывает письма с хостов, которые не
> резолвятся. Работает замечательно, режет 90% спама, но беда в том, что
> некоторые нужные письма подпадают под эту статью :)

Я тоже сначала поставил это дело, но потом убрал.
Проблема в том, что заранее не знаешь, откуда может прийти нужное письмо.

-- 
Mike
registered linux user #315334

Re: [Comm] Postfix: антиспамовые меры

[Igor Homyakov]

* BoBep <bobep@mail.ru> [030721 16:39]:
> Здравствуйте,
> посоветуйте, пожалуйста, как быть в такой ситуации:
> в настройках постфикса есть следующая строка
> smtpd_client_restrictions = 
> check_client_access hash:/etc/postfix/access, reject_maps_rbl, reject_unknown_client, permit my_networks
> ^^^^^^^^^^^^^^^^^^^^^-вот эта штука, насколько я понимаю, откидывает письма с хостов, которые не резолвятся. Работает замечательно, режет 90% спама, но беда в том, что некоторые нужные письма подпадают под эту статью :) Дабы они нормально дошли, я нужные домены явно прописал в /etc/postfix/access как `<некий домен>  OK`, однако нужные письма все равно реджектятся.
> Как указать постфиксу пропускать нужные письма, одновременно жестоко зарезав всякий спам?
> Если не трудно, поделитесь _конкретными_ антиспамовыми настройками этой чудесной программы ;)

вот эта штука 'check_client_access hash:/etc/postfix/access' проверяет по
таблице разрешено ли соединение с этого ip (или домена)

вот эта штука 'reject_unknown_client' - не принимает соединеня от клиентов
IP которых нет в обратной зоне

вот эта штука 'permit_my_networks' принимает всё из локальной сети и лучше
это правило писать первым т.к порядок важен 

итак должно быть написано вот так 
smtpd_client_restrictions = permit_mynetworks,
                        check_client_access hash:/etc/postfix/access,
			reject_unknown_client,			
                        reject_maps_rbl,
                        permit

Инструкции просматриваются последовательно до первого совпадения.
'check_client_access hash:/etc/postfix/access' играет роль черного списка
сюда заносяться IP соединеняя с которых надо блокировать (man 5 access)
Сюда же надо занести и IP "хороших" серверов, которые по каким либо причинам
не имеют записи в обратной зоне DNS, только в качестве дейсвия (action)
для этих серверов надо написать 'Ok'

Вобщем читайте документацию, там всё написано.

-- 
Igor Homyakov
<homyakov at altlinux dot ru>
http://counter.li.org/cgi-bin/runscript/display-person.cgi?user=190141

[Comm] Postfix: RFC про обратный резольвер

[Ilia Menchikh]

Здравствуйте!

А какие-нибудь RFC есть на проверку адреса? А то надо убедить оппонента,
что такая вещь не лишняя в хозяйстве.

-- 
Regards
Ilia Menchikh
JID ililina@jabber.vitamin-e.ru

Re: [Comm] Postfix: RFC про обратный резольвер

[Mike Lykov]

В сообщении от Вторник 22 Июль 2003 16:33 Ilia Menchikh написал:

> А какие-нибудь RFC есть на проверку адреса? А то надо убедить оппонента,
> что такая вещь не лишняя в хозяйстве.

Не совсем понятно, что имеется ввиду.

Один посылает письмо со своего адреса, другой, проверяя его при приеме, 
убеждается, что письмо от того, кого нужно. 

какие rfc? какая "вещь" ?

rfc на dns? или на smtp ?

-- 
Mike
registered linux user #315334

Re: [Comm] Postfix: RFC про обратный резольвер

[Ilia Menchikh]

On Tue, 22 Jul 2003 16:37:20 +0500
Mike Lykov <combr@vesna.ru> wrote:

> В сообщении от Вторник 22 Июль 2003 16:33 Ilia Menchikh написал:
> 
> > А какие-нибудь RFC есть на проверку адреса? А то надо убедить
> > оппонента, что такая вещь не лишняя в хозяйстве.
> 
> Не совсем понятно, что имеется ввиду.
> 
> Один посылает письмо со своего адреса, другой, проверяя его при
> приеме, убеждается, что письмо от того, кого нужно. 
> 
> какие rfc? какая "вещь" ?
> 
> rfc на dns? или на smtp ?

Скорее на dns. Есть ли rfc которое _обязывает_ MX иметь обратную зону?

-- 
Regards
Ilia Menchikh
JID ililina@jabber.vitamin-e.ru

Re: [Comm] Postfix: RFC про обратный резольвер

[Ilia Menchikh]

On Tue, 22 Jul 2003 16:26:01 +0400
Ilia Menchikh <ilia@vitamin-e.ru> wrote:

> On Tue, 22 Jul 2003 16:37:20 +0500
> Mike Lykov <combr@vesna.ru> wrote:
> 
> > В сообщении от Вторник 22 Июль 2003 16:33 Ilia Menchikh написал:
> > 
> > > А какие-нибудь RFC есть на проверку адреса? А то надо убедить
> > > оппонента, что такая вещь не лишняя в хозяйстве.
> > 
> > Не совсем понятно, что имеется ввиду.

Хорошо, спрошу по-другому. Буду ли мой почтовый сервер прав,
если не примет письмо с диагнозом:
450 Client host rejected: cannot find your hostname?
И какие официальные документы это подтверждают?

-- 
Regards
Ilia Menchikh
JID ililina@jabber.vitamin-e.ru

[Comm] Re: Postfix: RFC про обратный резольвер

[Michael Shigorin]

On Tue, Jul 22, 2003 at 05:41:30PM +0400, Ilia Menchikh wrote:
> Хорошо, спрошу по-другому. Буду ли мой почтовый сервер прав,
> если не примет письмо с диагнозом:
> 450 Client host rejected: cannot find your hostname?

Формально -- да.  А вот по голове по причине выкинутого Очень
Важного Письма из-за раздолбайского админа на той стороне --
получите гарантированно раньше или позже.

Используйте фильтры, greylisting -- но _так_ можно делать только
на своей домашней тачке, где нет критичных и имеющих право
ползователей.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [Comm] Re: Postfix: RFC про обратный резольвер

[Ilia Menchikh]

On Tue, 22 Jul 2003 17:24:15 +0300
Michael Shigorin <mike@osdn.org.ua> wrote:

> On Tue, Jul 22, 2003 at 05:41:30PM +0400, Ilia Menchikh wrote:
> > Хорошо, спрошу по-другому. Буду ли мой почтовый сервер прав,
> > если не примет письмо с диагнозом:
> > 450 Client host rejected: cannot find your hostname?
> 
> Формально -- да.  А вот по голове по причине выкинутого Очень
> Важного Письма из-за раздолбайского админа на той стороне --
> получите гарантированно раньше или позже.

Это еще легко сказано

<начало цитаты>

В таком случае считайте что мы передаем спам.
А вообще - если ваши методы борьбы со спамом не укладываются
в рамки RFC 822, то можете не принимать от нас почту.

<конец цитаты>

Формально то все правы, вот тока поднять обратную зону... :( Слов нет.

-- 
Regards
Ilia Menchikh
JID ililina@jabber.vitamin-e.ru

Re: [Comm] Postfix: RFC про обратный резольвер

[Mike Lykov]

В сообщении от Вторник 22 Июль 2003 18:41 Ilia Menchikh написал:

> Хорошо, спрошу по-другому. Буду ли мой почтовый сервер прав,
> если не примет письмо с диагнозом:
> 450 Client host rejected: cannot find your hostname?
> И какие официальные документы это подтверждают?

Насчет официальных документов не скажу - надо искать.

Сервер будет прав. Если ты гарантируешь, что это письмо тебе не нужно, то ты 
можешь его не принимать.

Если же ты хочешь обеспечить гарантированный прием почты, откуда бы она ни 
исходила (для чего сервер и предназначен), то данный режект надо убрать.

Кстати, код ошибки 4* - т.е. режект временный, и оно будет послано тебе снова.

-- 
Mike
registered linux user #315334

Re: [Comm] Re: Postfix: RFC про обратный резольвер

[BoBep]

On Tue, 22 Jul 2003 18:45:59 +0400
Ilia Menchikh <ilia@vitamin-e.ru> wrote:


> 
> Формально то все правы, вот тока поднять обратную зону... :( Слов нет.
> 
А вот с этого места поподробнее, пожалуйста...
Над обратной зоной бьюсь давно, но безуспешно. Все по книжкам прописал,
в локальной сели обратное преобразование работает, а снаружи - нет.
Разные люди советуют обратиться к провайдеру, выдавшему ip, мол, они должны чего-то у себя покрутить, чтобы у нас заработала. А провайдер говорит - вы сами себе хозяева и сами настраивайте.
Кому верить?
-- 

WBR, Glyadelov Vladimir

[Comm] Re: reverse dns (was: Postfix: RFC про обратный резольвер)

[Vitaly Ostanin]

[-- Attachment #1: Type: text/plain, Size: 1030 bytes --]

On Wed, 23 Jul 2003 13:17:06 +0400
BoBep <bobep@mail.ru> wrote:

> On Tue, 22 Jul 2003 18:45:59 +0400
> Ilia Menchikh <ilia@vitamin-e.ru> wrote:
> 
> 
> > 
> > Формально то все правы, вот тока поднять обратную зону... :(
> > Слов нет.
> > 
> А вот с этого места поподробнее, пожалуйста...
> Над обратной зоной бьюсь давно, но безуспешно. Все по книжкам
> прописал, в локальной сели обратное преобразование работает, а
> снаружи - нет. Разные люди советуют обратиться к провайдеру,
> выдавшему ip, мол, они должны чего-то у себя покрутить, чтобы у
> нас заработала. А провайдер говорит - вы сами себе хозяева и
> сами настраивайте. Кому верить?

Если диапазон выделенных адресов содержит полные октеты (или
как это правильно называется) - маска 255. 255.255. 255.255.255.
- то провайдер прав.

Если нет, то провайдер должен настроить указанные адреса в
обратной зоне для диапазона. Ну это уже как в договоре договорено
:)

<skipped/>

-- 
Regards, Vyt
mailto:  vyt@vzljot.ru
JID:     vyt@vzljot.ru

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]