* [Sysadmins] postfix help need
@ 2007-11-22 3:37 Igor Solovyov
2007-11-22 5:36 ` Pavel Zilke
` (2 more replies)
0 siblings, 3 replies; 14+ messages in thread
From: Igor Solovyov @ 2007-11-22 3:37 UTC (permalink / raw)
To: sysadmins
Hi All!
Есть почтовый сервер - postfix + cyrus, авторизация через sasldb.
Решил побороться со спамом, и в результате прочтения небезизвестной
статьи "... без оружия", получил очень неплохой результат в смысле
отсекания спама. Но возникла проблема следующего рода.
Нужно пускать на smtp некоторых пользователей снаружи.
Причем, поскольку эти пользователи (руководство) частенько перемещаются
чуть ли не по всему миру, то нет возможности определить откуда их
"ждать", чтобы в спамеры не записать.
В общем пока не могу решить эту задачу, не ухудшая качество отсекания
спама. Вот выдежка из main.cf:
smtpd_helo_restrictions = permit_sasl_authenticated,
permit_mynetworks,
check_helo_access hash:/etc/postfix/helo_access,
check_helo_access regexp:/etc/postfix/helo_regexp,
check_helo_access regexp:/etc/postfix/dul_checks,
reject_invalid_hostname,
reject_non_fqdn_hostname,
permit
smtpd_sender_restrictions = permit_sasl_authenticated,
permit_mynetworks,
check_sender_access regexp:/etc/postfix/sender_access
reject_non_fqdn_sender,
reject_unknown_sender_domain,
permit
smtpd_recipient_restrictions = permit_sasl_authenticated,
permit_mynetworks,
reject_unauth_pipelining,
reject_non_fqdn_recipient,
reject_unknown_recipient_domain,
reject_unlisted_recipient,
reject_unauth_destination,
permit
smtpd_etrn_restrictions = permit_mynetworks,reject_unknown_client,reject
smtpd_data_restrictions = permit_mynetworks,
reject_unauth_pipelining,
reject_non_fqdn_sender,
reject_non_fqdn_recipient,
reject_unknown_recipient_domain,
reject_unknown_sender_domain,
permit
вроде прописал в начале permit_sasl_authenticated, но все
равно этих пользователей отсекает как спамеров.
В общем прошу помощи, как бы безопасно пускать этих пользователей
откуда угодно только по признаку sasl_authenticated без ухудшения
антиспамовой обороны?
P.S.
Кстати, я еще использовал postgrey (check_policy_service
inet:127.0.0.1:60000), но вынужден был отказаться от этой
затеи из-за еженочного падения postgey:
postgrey[29349]: fatal: Can't call method "txn_commit" on an undefined
value at /usr/sbin/postgrey line 223.
:-(
--
Best Regars!
Igor Solovyov
^ permalink raw reply [flat|nested] 14+ messages in thread
* Re: [Sysadmins] postfix help need
2007-11-22 3:37 [Sysadmins] postfix help need Igor Solovyov
@ 2007-11-22 5:36 ` Pavel Zilke
2007-11-22 8:34 ` Igor Solovyov
2007-11-22 9:36 ` Alexey Morsov
2007-11-22 11:36 ` Vladimir V. Kamarzin
2 siblings, 1 reply; 14+ messages in thread
From: Pavel Zilke @ 2007-11-22 5:36 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Igor Solovyov пишет:
> Hi All!
>
> Есть почтовый сервер - postfix + cyrus, авторизация через sasldb.
> Решил побороться со спамом, и в результате прочтения небезизвестной
> статьи "... без оружия", получил очень неплохой результат в смысле
> отсекания спама. Но возникла проблема следующего рода.
> Нужно пускать на smtp некоторых пользователей снаружи.
> Причем, поскольку эти пользователи (руководство) частенько перемещаются
> чуть ли не по всему миру, то нет возможности определить откуда их
> "ждать", чтобы в спамеры не записать.
> В общем пока не могу решить эту задачу, не ухудшая качество отсекания
> спама. Вот выдежка из main.cf:
>
> <skip>
>
А может имеет смысл поднять VPN сервер, и пусть удаленные пользователи
сначала заходят в корпоративную сеть, а там уже как локальные
пользователи работают с почтой и другими сервисами?
^ permalink raw reply [flat|nested] 14+ messages in thread
* Re: [Sysadmins] postfix help need
2007-11-22 5:36 ` Pavel Zilke
@ 2007-11-22 8:34 ` Igor Solovyov
2007-11-22 9:40 ` Alexey Shabalin
0 siblings, 1 reply; 14+ messages in thread
From: Igor Solovyov @ 2007-11-22 8:34 UTC (permalink / raw)
To: sysadmins
Hi!
On Thu, 22 Nov 2007 08:36:12 +0300
Pavel Zilke <zidex@mail.ru> wrote:
> А может имеет смысл поднять VPN сервер, и пусть удаленные
> пользователи сначала заходят в корпоративную сеть, а там уже как
> локальные пользователи работают с почтой и другими сервисами?
И как это сделать? Учитывая это:
> > Причем, поскольку эти пользователи (руководство) частенько
> > перемещаются чуть ли не по всему миру, то нет возможности
> > определить откуда их "ждать"...
Я что-то не очень представляю. :-(
В моем понимании VPN подразумевает знание как минимум ip-адресов
обоих "концов" тонеля или я чего-то не так понимаю?
--
Best Regars!
Igor Solovyov
^ permalink raw reply [flat|nested] 14+ messages in thread
* Re: [Sysadmins] postfix help need
2007-11-22 3:37 [Sysadmins] postfix help need Igor Solovyov
2007-11-22 5:36 ` Pavel Zilke
@ 2007-11-22 9:36 ` Alexey Morsov
2007-11-22 17:03 ` Igor Solovyov
2007-11-22 11:36 ` Vladimir V. Kamarzin
2 siblings, 1 reply; 14+ messages in thread
From: Alexey Morsov @ 2007-11-22 9:36 UTC (permalink / raw)
To: sysadmins
[-- Attachment #1: Type: text/plain, Size: 1380 bytes --]
On Thu, Nov 22, 2007 at 08:37:10AM +0500, Igor Solovyov wrote:
> Hi All!
>
> Есть почтовый сервер - postfix + cyrus, авторизация через sasldb.
> Решил побороться со спамом, и в результате прочтения небезизвестной
> статьи "... без оружия", получил очень неплохой результат в смысле
> отсекания спама. Но возникла проблема следующего рода.
> Нужно пускать на smtp некоторых пользователей снаружи.
> Причем, поскольку эти пользователи (руководство) частенько перемещаются
> чуть ли не по всему миру, то нет возможности определить откуда их
> "ждать", чтобы в спамеры не записать.
А не надо прям на HELO резать :)
--
С уважением,
Алексей Морсов
программист ЗАО "ИК "Риком-Траст"
Jabber: samurai@www.fondmarket.ru
ICQ: 196766290
www.ricom.ru
www.fondmarket.ru
ALT Linux Team Member
email: swi@altlinux.ru
web: www.altlinux.ru, www.sisyphus.ru
NP: Ayreon - The shooting company of captain Frans B. Cocq
[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 477 bytes --]
^ permalink raw reply [flat|nested] 14+ messages in thread
* Re: [Sysadmins] postfix help need
2007-11-22 8:34 ` Igor Solovyov
@ 2007-11-22 9:40 ` Alexey Shabalin
2007-11-22 17:29 ` Igor Solovyov
0 siblings, 1 reply; 14+ messages in thread
From: Alexey Shabalin @ 2007-11-22 9:40 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
> > А может имеет смысл поднять VPN сервер, и пусть удаленные
> > пользователи сначала заходят в корпоративную сеть, а там уже как
> > локальные пользователи работают с почтой и другими сервисами?
>
> И как это сделать? Учитывая это:
>
> > > Причем, поскольку эти пользователи (руководство) частенько
> > > перемещаются чуть ли не по всему миру, то нет возможности
> > > определить откуда их "ждать"...
>
> Я что-то не очень представляю. :-(
> В моем понимании VPN подразумевает знание как минимум ip-адресов
> обоих "концов" тонеля или я чего-то не так понимаю?
это смотря для чего vpn (net<->net или net<->client). всё-же настраивается.
смотрите pptp+ppp (тогда на win клиентах доп.ПО ставить не надо, но
могут возникнуть трудности - где-то по миру могут зарезать gre),
openvpn (на клиентах надо ставить openvpn - но это того стоит - вещь
замечательная).
--
Alexey Shabalin
^ permalink raw reply [flat|nested] 14+ messages in thread
* Re: [Sysadmins] postfix help need
2007-11-22 3:37 [Sysadmins] postfix help need Igor Solovyov
2007-11-22 5:36 ` Pavel Zilke
2007-11-22 9:36 ` Alexey Morsov
@ 2007-11-22 11:36 ` Vladimir V. Kamarzin
2007-11-22 17:04 ` Igor Solovyov
2 siblings, 1 reply; 14+ messages in thread
From: Vladimir V. Kamarzin @ 2007-11-22 11:36 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
>>>>> On 22 Nov 2007 at 08:37 "IS" == Igor Solovyov writes:
IS> вроде прописал в начале permit_sasl_authenticated, но все
IS> равно этих пользователей отсекает как спамеров.
Лог реджекта пользователя в студию.
Запостите так же вывод postconf -n
IS> P.S.
IS> Кстати, я еще использовал postgrey (check_policy_service
IS> inet:127.0.0.1:60000), но вынужден был отказаться от этой
IS> затеи из-за еженочного падения postgey:
IS> postgrey[29349]: fatal: Can't call method "txn_commit" on an undefined
IS> value at /usr/sbin/postgrey line 223.
Что у вас за дистрибутив?
rpm -q postgrey
rpm -q libdb4.4
Был такой баг, но сейчас это исправлено. Если у вас server 4.0, убедитесь что
установлен postgrey, который находится в 4.0/branch
--
vvk
Russian Postfix irc: irc.freenode.net #postfix-ru
^ permalink raw reply [flat|nested] 14+ messages in thread
* Re: [Sysadmins] postfix help need
2007-11-22 9:36 ` Alexey Morsov
@ 2007-11-22 17:03 ` Igor Solovyov
2007-11-23 3:42 ` Мерзляков Евгений Анатольевич
2007-11-23 8:35 ` Alexey Morsov
0 siblings, 2 replies; 14+ messages in thread
From: Igor Solovyov @ 2007-11-22 17:03 UTC (permalink / raw)
To: sysadmins
Hi!
On Thu, 22 Nov 2007 12:36:12 +0300
Alexey Morsov <samurai@ricom.ru> wrote:
> > Нужно пускать на smtp некоторых пользователей снаружи.
> > Причем, поскольку эти пользователи (руководство) частенько
> > перемещаются чуть ли не по всему миру, то нет возможности
> > определить откуда их "ждать", чтобы в спамеры не записать.
> А не надо прям на HELO резать :)
И в каком месте HELO я их режу? Если самым первым стоит...
smtpd_helo_restrictions = permit_sasl_authenticated,
....
На самом деле похоже проблема была тут:
smtpd_client_restrictions = permit_mynetworks,
check_client_access hash:/etc/postfix/client_access,
check_client_access regexp:/etc/postfix/dul_checks,
permit
Пропустил permit_sasl_authenticated, вписал,
вроде не отшибает их больше... :-D
Только теперь грейлистит их на регулярной основе... :-(
Не понос, так золотуха... :-)
--
Best Regars!
Igor Solovyov
^ permalink raw reply [flat|nested] 14+ messages in thread
* Re: [Sysadmins] postfix help need
2007-11-22 11:36 ` Vladimir V. Kamarzin
@ 2007-11-22 17:04 ` Igor Solovyov
0 siblings, 0 replies; 14+ messages in thread
From: Igor Solovyov @ 2007-11-22 17:04 UTC (permalink / raw)
To: sysadmins
Hi!
On Thu, 22 Nov 2007 16:36:52 +0500
"Vladimir V. Kamarzin" <vvk@vvk.pp.ru> wrote:
> rpm -q postgrey
> rpm -q libdb4.4
>
> Был такой баг, но сейчас это исправлено. Если у вас server 4.0,
> убедитесь что установлен postgrey, который находится в 4.0/branch
Ага, я уже и сам нагуглил про это... :-))))
--
Best Regars!
Igor Solovyov
^ permalink raw reply [flat|nested] 14+ messages in thread
* Re: [Sysadmins] postfix help need
2007-11-22 9:40 ` Alexey Shabalin
@ 2007-11-22 17:29 ` Igor Solovyov
0 siblings, 0 replies; 14+ messages in thread
From: Igor Solovyov @ 2007-11-22 17:29 UTC (permalink / raw)
To: sysadmins
Hi!
On Thu, 22 Nov 2007 12:40:35 +0300
"Alexey Shabalin" <a.shabalin@gmail.com> wrote:
> > В моем понимании VPN подразумевает знание как минимум ip-адресов
> > обоих "концов" тонеля или я чего-то не так понимаю?
> это смотря для чего vpn (net<->net или net<->client). всё-же
> настраивается. смотрите pptp+ppp (тогда на win клиентах доп.ПО
> ставить не надо, но могут возникнуть трудности - где-то по миру могут
> зарезать gre), openvpn (на клиентах надо ставить openvpn - но это
> того стоит - вещь замечательная).
Спасибо. Просто не имел никогда дела с "net<->client" тунелями.
А проблему вроде удалось решить самим postfix-ом. :-)
--
Best Regars!
Igor Solovyov
^ permalink raw reply [flat|nested] 14+ messages in thread
* Re: [Sysadmins] postfix help need
2007-11-22 17:03 ` Igor Solovyov
@ 2007-11-23 3:42 ` Мерзляков Евгений Анатольевич
2007-11-23 4:08 ` Igor Solovyov
2007-11-23 8:35 ` Alexey Morsov
1 sibling, 1 reply; 14+ messages in thread
From: Мерзляков Евгений Анатольевич @ 2007-11-23 3:42 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
В сообщении от Thursday 22 November 2007 22:03:21 Igor Solovyov написал(а):
> Пропустил permit_sasl_authenticated, вписал,
> вроде не отшибает их больше... :-D
> Только теперь грейлистит их на регулярной основе... :-(
> Не понос, так золотуха... :-)
дык в вайтлист занести и все
--
Мерзляков Е.А.
jabber-id: humptydumpty@jabber.ru
icq: 115657846
^ permalink raw reply [flat|nested] 14+ messages in thread
* Re: [Sysadmins] postfix help need
2007-11-23 3:42 ` Мерзляков Евгений Анатольевич
@ 2007-11-23 4:08 ` Igor Solovyov
2007-11-23 5:50 ` Мерзляков Евгений Анатольевич
0 siblings, 1 reply; 14+ messages in thread
From: Igor Solovyov @ 2007-11-23 4:08 UTC (permalink / raw)
To: sysadmins
Hi!
On Fri, 23 Nov 2007 08:42:23 +0500
Мерзляков Евгений Анатольевич <hj@acoustics.ru> wrote:
> В сообщении от Thursday 22 November 2007 22:03:21 Igor Solovyov
> написал(а):
> > Пропустил permit_sasl_authenticated, вписал,
> > вроде не отшибает их больше... :-D
> > Только теперь грейлистит их на регулярной основе... :-(
> > Не понос, так золотуха... :-)
>
> дык в вайтлист занести и все
Дык не понятно что в вайтлист занести. :-)
В него, насколько я понял, можно занести либо имя домена,
либо ip-адрес, а в данном случае они заранее не известны,
поскольку эти пользователи могут подключиться в и-нет
фактически в любой точке мира. :-)
Нужно сделать как-то так, чтобы грейлистинг и не пытался
обрабатывать _авторизовавшихся_клиентов_, независимо откуда
они подключаются.
--
Best Regars!
Igor Solovyov
^ permalink raw reply [flat|nested] 14+ messages in thread
* Re: [Sysadmins] postfix help need
2007-11-23 4:08 ` Igor Solovyov
@ 2007-11-23 5:50 ` Мерзляков Евгений Анатольевич
2007-11-23 8:16 ` Igor Solovyov
0 siblings, 1 reply; 14+ messages in thread
From: Мерзляков Евгений Анатольевич @ 2007-11-23 5:50 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
В сообщении от Friday 23 November 2007 09:08:59 Igor Solovyov написал(а):
> Дык не понятно что в вайтлист занести. :-)
> В него, насколько я понял, можно занести либо имя домена,
> либо ip-адрес, а в данном случае они заранее не известны,
> поскольку эти пользователи могут подключиться в и-нет
> фактически в любой точке мира. :-)
видимо грейлисты у нас разные, в моем можно почтовый адрес добавить в вайтлист
комментарии из конфига грейлиста:
# If set to yes, then the table 'whitelist' is looked up
# each time postfix request the server
# if the email/domain/ip is in the whitelist, then the response
# will be 'dunno' .
#
# In the whitelist table, you can set the following values:
# an email: ie john@foo.tld
# a domain: ie @bar.tld
# an IP : ie 1.2.3.4
# a subnet: ie 1.2.3
--
Мерзляков Е.А.
jabber-id: humptydumpty@jabber.ru
icq: 115657846
^ permalink raw reply [flat|nested] 14+ messages in thread
* Re: [Sysadmins] postfix help need
2007-11-23 5:50 ` Мерзляков Евгений Анатольевич
@ 2007-11-23 8:16 ` Igor Solovyov
0 siblings, 0 replies; 14+ messages in thread
From: Igor Solovyov @ 2007-11-23 8:16 UTC (permalink / raw)
To: sysadmins
Hi!
On Fri, 23 Nov 2007 10:50:59 +0500
Мерзляков Евгений Анатольевич <hj@acoustics.ru> wrote:
> В сообщении от Friday 23 November 2007 09:08:59 Igor Solovyov написал
> (а):
> > Дык не понятно что в вайтлист занести. :-)
> > В него, насколько я понял, можно занести либо имя домена,
> > либо ip-адрес, а в данном случае они заранее не известны,
> > поскольку эти пользователи могут подключиться в и-нет
> > фактически в любой точке мира. :-)
>
> видимо грейлисты у нас разные, в моем можно почтовый адрес добавить в
> вайтлист
Да нет, дело не в этом, в мой тоже можно, только вот если поглядеть
логи, то желающих прописать в поле From: наш адрес очень много,
так что это не выход совсем.
--
Best Regars!
Igor Solovyov
^ permalink raw reply [flat|nested] 14+ messages in thread
* Re: [Sysadmins] postfix help need
2007-11-22 17:03 ` Igor Solovyov
2007-11-23 3:42 ` Мерзляков Евгений Анатольевич
@ 2007-11-23 8:35 ` Alexey Morsov
1 sibling, 0 replies; 14+ messages in thread
From: Alexey Morsov @ 2007-11-23 8:35 UTC (permalink / raw)
To: sysadmins
[-- Attachment #1: Type: text/plain, Size: 1621 bytes --]
On Thu, Nov 22, 2007 at 10:03:21PM +0500, Igor Solovyov wrote:
> Hi!
> On Thu, 22 Nov 2007 12:36:12 +0300
> Alexey Morsov <samurai@ricom.ru> wrote:
>
> > > Нужно пускать на smtp некоторых пользователей снаружи.
> > > Причем, поскольку эти пользователи (руководство) частенько
> > > перемещаются чуть ли не по всему миру, то нет возможности
> > > определить откуда их "ждать", чтобы в спамеры не записать.
> > А не надо прям на HELO резать :)
>
> И в каком месте HELO я их режу? Если самым первым стоит...
> smtpd_helo_restrictions = permit_sasl_authenticated,
> ....
>
> На самом деле похоже проблема была тут:
>
> smtpd_client_restrictions = permit_mynetworks,
> check_client_access hash:/etc/postfix/client_access,
> check_client_access regexp:/etc/postfix/dul_checks,
> permit
А.. ну да. недоглядел. Ну да- sasl_auth первым пунктом везде во всех
рестрикшенах. Дальше него для авторизованных не пойдет проверять.
--
С уважением,
Алексей Морсов
программист ЗАО "ИК "Риком-Траст"
Jabber: samurai@www.fondmarket.ru
ICQ: 196766290
www.ricom.ru
www.fondmarket.ru
ALT Linux Team Member
email: swi@altlinux.ru
web: www.altlinux.ru, www.sisyphus.ru
[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 481 bytes --]
^ permalink raw reply [flat|nested] 14+ messages in thread
end of thread, other threads:[~2007-11-23 8:35 UTC | newest]
Thread overview: 14+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2007-11-22 3:37 [Sysadmins] postfix help need Igor Solovyov
2007-11-22 5:36 ` Pavel Zilke
2007-11-22 8:34 ` Igor Solovyov
2007-11-22 9:40 ` Alexey Shabalin
2007-11-22 17:29 ` Igor Solovyov
2007-11-22 9:36 ` Alexey Morsov
2007-11-22 17:03 ` Igor Solovyov
2007-11-23 3:42 ` Мерзляков Евгений Анатольевич
2007-11-23 4:08 ` Igor Solovyov
2007-11-23 5:50 ` Мерзляков Евгений Анатольевич
2007-11-23 8:16 ` Igor Solovyov
2007-11-23 8:35 ` Alexey Morsov
2007-11-22 11:36 ` Vladimir V. Kamarzin
2007-11-22 17:04 ` Igor Solovyov
ALT Linux sysadmins discussion
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \
sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com
public-inbox-index sysadmins
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sysadmins
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git