* [Sysadmins] Сломал почтовый сераер
@ 2016-09-06 8:08 Vladimir Karpinsky
2016-09-06 8:51 ` Konstantin Lepikhov
0 siblings, 1 reply; 14+ messages in thread
From: Vladimir Karpinsky @ 2016-09-06 8:08 UTC (permalink / raw)
To: sysadmins
Здравствуйте!
Я что-то умудрился сломать в дано настроенном и поэтому забытом почтовом
сервере. Была всего-то задача увеличить через Альтератор размер сообщений.
Вроде ничего больше не трогал, тем не менее часть почты не принимается
сервером Я отправляю с обычного места сообщение и в логах вижу:
connect from host.dom.ru(IP)
disconnect from host.dom.ru(IP)
Больше ничего про это в логах не нашёл.
Но с некоторых адресов почта доходит, т.е. такое ощущение, что включилась
ещё какая-то проверка, которая отбрасывает каких-то отправителей, причём
тех что ещё недавно принимала.
postfix+dovecot, P7 выросший из Ковчег-сервера.
--
С уважением,
Владимир.
^ permalink raw reply [flat|nested] 14+ messages in thread
* Re: [Sysadmins] Сломал почтовый сераер
2016-09-06 8:08 [Sysadmins] Сломал почтовый сераер Vladimir Karpinsky
@ 2016-09-06 8:51 ` Konstantin Lepikhov
2016-09-06 9:21 ` Vladimir Karpinsky
2016-09-06 9:44 ` Vladimir Karpinsky
0 siblings, 2 replies; 14+ messages in thread
From: Konstantin Lepikhov @ 2016-09-06 8:51 UTC (permalink / raw)
To: sysadmins
Hi Vladimir!
On 09/06/16, at 11:08:57 AM you wrote:
> Здравствуйте!
>
> Я что-то умудрился сломать в дано настроенном и поэтому забытом почтовом
> сервере. Была всего-то задача увеличить через Альтератор размер сообщений.
> Вроде ничего больше не трогал, тем не менее часть почты не принимается
> сервером Я отправляю с обычного места сообщение и в логах вижу:
>
> connect from host.dom.ru(IP)
> disconnect from host.dom.ru(IP)
>
> Больше ничего про это в логах не нашёл.
>
> Но с некоторых адресов почта доходит, т.е. такое ощущение, что включилась
> ещё какая-то проверка, которая отбрасывает каких-то отправителей, причём
> тех что ещё недавно принимала.
>
> postfix+dovecot, P7 выросший из Ковчег-сервера.
>
http://www.postfix.org/DEBUG_README.html - тут все написано. Вкраце -
включаете отладку на сервере для конкретного ip (см. Verbose logging for
specific SMTP connections), и пробуете.
--
WBR et al.
^ permalink raw reply [flat|nested] 14+ messages in thread
* Re: [Sysadmins] Сломал почтовый сераер
2016-09-06 8:51 ` Konstantin Lepikhov
@ 2016-09-06 9:21 ` Vladimir Karpinsky
2016-09-06 13:48 ` Michael A. Kangin
2016-09-06 9:44 ` Vladimir Karpinsky
1 sibling, 1 reply; 14+ messages in thread
From: Vladimir Karpinsky @ 2016-09-06 9:21 UTC (permalink / raw)
To: sysadmins
06.09.2016 11:51, Konstantin Lepikhov пишет:
>> > postfix+dovecot, P7 выросший из Ковчег-сервера.
>> >
> http://www.postfix.org/DEBUG_README.html - тут все написано. Вкраце -
> включаете отладку на сервере для конкретного ip (см. Verbose logging for
> specific SMTP connections), и пробуете.
Спасибо! Буду смотреть. Пока накопал в логах у отправителя, что после того,
как я вышел из Альтератора, почта, которая до этого нормально доходила,
остановилась со следующей руганью:
status=bounced (host a.b.c[xxx.xxx1xxx.xxx] said: 530 5.7.0 Must issue a
STARTTLS command first (in reply to MAIL FROM command и т.д.
Откуда взялось это требование про использование STARTTLS и как бы его
отключить обратно?
--
С уважением,
Владимир.
^ permalink raw reply [flat|nested] 14+ messages in thread
* Re: [Sysadmins] Сломал почтовый сераер
2016-09-06 8:51 ` Konstantin Lepikhov
2016-09-06 9:21 ` Vladimir Karpinsky
@ 2016-09-06 9:44 ` Vladimir Karpinsky
2016-09-06 11:41 ` Konstantin Lepikhov
1 sibling, 1 reply; 14+ messages in thread
From: Vladimir Karpinsky @ 2016-09-06 9:44 UTC (permalink / raw)
To: sysadmins
Ерунда какая-то! Сравнил ранее сохранённые конфиги postfix и dovecot с
текущими -- не вижу никакой разницы. С другой стороны, чтобы у нескольких
отправителей разом сломалось что-то -- тоже сомнительно...
06.09.2016 11:51, Konstantin Lepikhov пишет:
> Hi Vladimir!
>
> On 09/06/16, at 11:08:57 AM you wrote:
>
>> Здравствуйте!
>>
>> Я что-то умудрился сломать в дано настроенном и поэтому забытом почтовом
>> сервере. Была всего-то задача увеличить через Альтератор размер сообщений.
>> Вроде ничего больше не трогал, тем не менее часть почты не принимается
>> сервером Я отправляю с обычного места сообщение и в логах вижу:
>>
>> connect from host.dom.ru(IP)
>> disconnect from host.dom.ru(IP)
>>
>> Больше ничего про это в логах не нашёл.
>>
>> Но с некоторых адресов почта доходит, т.е. такое ощущение, что включилась
>> ещё какая-то проверка, которая отбрасывает каких-то отправителей, причём
>> тех что ещё недавно принимала.
>>
>> postfix+dovecot, P7 выросший из Ковчег-сервера.
>>
> http://www.postfix.org/DEBUG_README.html - тут все написано. Вкраце -
> включаете отладку на сервере для конкретного ip (см. Verbose logging for
> specific SMTP connections), и пробуете.
>
--
С уважением,
Владимир.
^ permalink raw reply [flat|nested] 14+ messages in thread
* Re: [Sysadmins] Сломал почтовый сераер
2016-09-06 9:44 ` Vladimir Karpinsky
@ 2016-09-06 11:41 ` Konstantin Lepikhov
2016-09-06 12:39 ` Vladimir Karpinsky
0 siblings, 1 reply; 14+ messages in thread
From: Konstantin Lepikhov @ 2016-09-06 11:41 UTC (permalink / raw)
To: sysadmins
Hi Vladimir!
On 09/06/16, at 12:44:16 PM you wrote:
> Ерунда какая-то! Сравнил ранее сохранённые конфиги postfix и dovecot с
> текущими -- не вижу никакой разницы. С другой стороны, чтобы у нескольких
> отправителей разом сломалось что-то -- тоже сомнительно...
>
>
Поскольку никто кроме вас этих конфигов не видел, можем только
согласиться, да, полная ерунда! )
--
WBR et al.
^ permalink raw reply [flat|nested] 14+ messages in thread
* Re: [Sysadmins] Сломал почтовый сераер
2016-09-06 11:41 ` Konstantin Lepikhov
@ 2016-09-06 12:39 ` Vladimir Karpinsky
2016-09-07 10:06 ` Michael Shigorin
0 siblings, 1 reply; 14+ messages in thread
From: Vladimir Karpinsky @ 2016-09-06 12:39 UTC (permalink / raw)
To: sysadmins
06.09.2016 14:41, Konstantin Lepikhov пишет:
> Поскольку никто кроме вас этих конфигов не видел, можем только
> согласиться, да, полная ерунда! )
Прошу прощения за сумбур -- как-то внезапно и, как всегда, очень не во
время вступило. Проблему удалось решить полным откатом на сохранённый
(бекап -- великая вещь!) /etc/postfix.
Далее начал искать различия. Вопервых, различие нашлось в master.cf, но это
про другое:
# diff master.cf bak/master.cf
12,13c12,13
< -o content_filter=filter:spamcheck
< submission inet n - - - - smtpd
---
> # -o content_filter=filter:spamcheck
> #submission inet n - - - - smtpd
В main.cf обнаружилось 2 различия, второе, по всей видимости, влиять не должно:
# diff main.cf bak/main.cf
12a13,14
< smtpd_client_restrictions = permit_mynetworks, check_recipient_access
cdb:/etc/postfix/whitelist, permit_sasl_authenticated, check_client_access
cdb:/etc/postfix/client_access, reject_rbl_client combined.njabl.org,
reject_rbl_client cbl.abuseat.org, reject_rbl_client safe.dnsbl.sorbs.net,
reject_rbl_client xbl.spamhaus.org, permit
---
> smtpd_client_restrictions = permit_mynetworks, check_recipient_access
cdb:/etc/postfix/whitelist, permit_sasl_authenticated, check_client_access
cdb:/etc/postfix/client_access, reject_rbl_client combined.njabl.org,
reject_rbl_client cbl.abuseat.org, reject_rbl_client safe.dnsbl.sorbs.net,
reject_rbl_client xbl.spamhaus.org, reject_rbl_client zen.spamhaus.org, permit
39a41,42
> content_filter =
Руками "reject_rbl_client zen.spamhaus.org," я точно не добавлял, есть
подозрение, что это "заодно" сделал Альтератор.
Есть смутные воспоминания, что когда-то было предписание выкинуть spambus
из этого конфига, что я и сделал в своё время. Если Альтератор по
собственной инициативе его восстанавливает, то это не очень хорошо, мягко
говоря. Тестового сервера у меня нет, а на работающим пока очень не хочется
ставить контрольный эксперимент, если кто-то сможет это проверить, думаю,
что не только мне будет полезно.
Спасибо!
--
С уважением,
Владимир.
^ permalink raw reply [flat|nested] 14+ messages in thread
* Re: [Sysadmins] Сломал почтовый сераер
2016-09-06 9:21 ` Vladimir Karpinsky
@ 2016-09-06 13:48 ` Michael A. Kangin
2016-09-06 14:58 ` Vladimir Karpinsky
0 siblings, 1 reply; 14+ messages in thread
From: Michael A. Kangin @ 2016-09-06 13:48 UTC (permalink / raw)
To: ALT Linux sysadmins' discussion
On 09/06/2016 11:21 AM, Vladimir Karpinsky wrote:
> status=bounced (host a.b.c[xxx.xxx1xxx.xxx] said: 530 5.7.0 Must issue
> a STARTTLS command first (in reply to MAIL FROM command и т.д.
>
> Откуда взялось это требование про использование STARTTLS и как бы его
> отключить обратно?
Может у вас раньше SSL втихую использовалась, а потом новая libssl
приехала и старые протоколы поломала?
^ permalink raw reply [flat|nested] 14+ messages in thread
* Re: [Sysadmins] Сломал почтовый сераер
2016-09-06 13:48 ` Michael A. Kangin
@ 2016-09-06 14:58 ` Vladimir Karpinsky
2016-09-06 15:06 ` Alexei Takaseev
0 siblings, 1 reply; 14+ messages in thread
From: Vladimir Karpinsky @ 2016-09-06 14:58 UTC (permalink / raw)
To: sysadmins
06.09.2016 16:48, Michael A. Kangin пишет:
> On 09/06/2016 11:21 AM, Vladimir Karpinsky wrote:
>
>> status=bounced (host a.b.c[xxx.xxx1xxx.xxx] said: 530 5.7.0 Must issue
>> a STARTTLS command first (in reply to MAIL FROM command и т.д.
>>
>> Откуда взялось это требование про использование STARTTLS и как бы его
>> отключить обратно?
>
> Может у вас раньше SSL втихую использовалась, а потом новая libssl приехала
> и старые протоколы поломала?
Я тоже думал в эту сторону пока не восстановил старые конфиги и не нашёл
появившееся в main.cf "reject_rbl_client zen.spamhaus.org" (см.
https://lists.altlinux.org/pipermail/sysadmins/2016-September/037598.html).
Осознать, почему шла при этом ругань на STARTTLS, моей квалификации не
хватает.
--
С уважением,
Владимир.
^ permalink raw reply [flat|nested] 14+ messages in thread
* Re: [Sysadmins] Сломал почтовый сераер
2016-09-06 14:58 ` Vladimir Karpinsky
@ 2016-09-06 15:06 ` Alexei Takaseev
2016-09-07 10:13 ` Michael Shigorin
0 siblings, 1 reply; 14+ messages in thread
From: Alexei Takaseev @ 2016-09-06 15:06 UTC (permalink / raw)
To: ALT Linux sysadmins' discussion
----- Исходное сообщение -----
> От: "Vladimir Karpinsky" <vkarpinsky@mail.ru>
> Кому: sysadmins@lists.altlinux.org
> Отправленные: Вторник, 6 Сентябрь 2016 г 22:58:22
> Тема: Re: [Sysadmins] Сломал почтовый сераер
>
> 06.09.2016 16:48, Michael A. Kangin пишет:
> > On 09/06/2016 11:21 AM, Vladimir Karpinsky wrote:
> >
> >> status=bounced (host a.b.c[xxx.xxx1xxx.xxx] said: 530 5.7.0 Must
> >> issue
> >> a STARTTLS command first (in reply to MAIL FROM command и т.д.
> >>
> >> Откуда взялось это требование про использование STARTTLS и как бы
> >> его
> >> отключить обратно?
> >
> > Может у вас раньше SSL втихую использовалась, а потом новая libssl
> > приехала
> > и старые протоколы поломала?
>
> Я тоже думал в эту сторону пока не восстановил старые конфиги и не
> нашёл
> появившееся в main.cf "reject_rbl_client zen.spamhaus.org" (см.
> https://lists.altlinux.org/pipermail/sysadmins/2016-September/037598.html).
>
> Осознать, почему шла при этом ругань на STARTTLS, моей квалификации
> не
> хватает.
https://www.spamhaus.org/faq/section/Spamhaus%20PBL секция
"I have 'SMTP Authentication' switched ON but I'm still blocked!"
Подтверждение тезиса, что RBL зло. Вот решили какие-то мудаки в spamhaus что
без SSL теперь ни чихнуть ни пукнуть, и добавили проверку на отлуп. Выносите
сразу все эти RBL сразу же из конфигов, если они вдруг там появляются. В
современном мире вред от них перевешивает ту жалкую надежду на обещанную пользу.
^ permalink raw reply [flat|nested] 14+ messages in thread
* Re: [Sysadmins] Сломал почтовый сераер
2016-09-06 12:39 ` Vladimir Karpinsky
@ 2016-09-07 10:06 ` Michael Shigorin
0 siblings, 0 replies; 14+ messages in thread
From: Michael Shigorin @ 2016-09-07 10:06 UTC (permalink / raw)
To: sysadmins
On Tue, Sep 06, 2016 at 03:39:18PM +0300, Vladimir Karpinsky wrote:
> # diff master.cf bak/master.cf
Удобней читать diff -u, а порой ещё и через wdiff пропустить
(из одноименного пакета).
--
---- WBR, Michael Shigorin / http://altlinux.org
------ http://opennet.ru / http://anna-news.info
^ permalink raw reply [flat|nested] 14+ messages in thread
* Re: [Sysadmins] Сломал почтовый сераер
2016-09-06 15:06 ` Alexei Takaseev
@ 2016-09-07 10:13 ` Michael Shigorin
2016-09-07 10:55 ` Alexei Takaseev
2016-09-07 14:10 ` Vladimir Karpinsky
0 siblings, 2 replies; 14+ messages in thread
From: Michael Shigorin @ 2016-09-07 10:13 UTC (permalink / raw)
To: sysadmins
On Wed, Sep 07, 2016 at 12:06:04AM +0900, Alexei Takaseev wrote:
> > Я тоже думал в эту сторону пока не восстановил старые конфиги
> > и не нашёл появившееся в main.cf "reject_rbl_client
> > zen.spamhaus.org" (см.
> > https://lists.altlinux.org/pipermail/sysadmins/2016-September/037598.html).
> > Осознать, почему шла при этом ругань на STARTTLS, моей
> > квалификации не хватает.
> https://www.spamhaus.org/faq/section/Spamhaus%20PBL секция
> "I have 'SMTP Authentication' switched ON but I'm still blocked!"
>
> Подтверждение тезиса, что RBL зло. Вот решили какие-то мудаки в spamhaus что
> без SSL теперь ни чихнуть ни пукнуть, и добавили проверку на отлуп. Выносите
> сразу все эти RBL сразу же из конфигов, если они вдруг там появляются. В
> современном мире вред от них перевешивает ту жалкую надежду на обещанную пользу.
Владимир, Алексей, повесьте что-нибудь на alterator-postfix-dovecot
-- это scripts/alterator-postfix-dovecot-functions и актуально.
Спасибо!
--
---- WBR, Michael Shigorin / http://altlinux.org
------ http://opennet.ru / http://anna-news.info
^ permalink raw reply [flat|nested] 14+ messages in thread
* Re: [Sysadmins] Сломал почтовый сераер
2016-09-07 10:13 ` Michael Shigorin
@ 2016-09-07 10:55 ` Alexei Takaseev
2016-09-07 23:47 ` Вадим Илларионов
2016-09-07 14:10 ` Vladimir Karpinsky
1 sibling, 1 reply; 14+ messages in thread
From: Alexei Takaseev @ 2016-09-07 10:55 UTC (permalink / raw)
To: ALT Linux sysadmins' discussion
Приветствую!
----- Исходное сообщение -----
> От: "Michael Shigorin" <mike@altlinux.org>
> Кому: sysadmins@lists.altlinux.org
> Отправленные: Среда, 7 Сентябрь 2016 г 18:13:54
> Тема: Re: [Sysadmins] Сломал почтовый сераер
>
> On Wed, Sep 07, 2016 at 12:06:04AM +0900, Alexei Takaseev wrote:
> > > Я тоже думал в эту сторону пока не восстановил старые конфиги
> > > и не нашёл появившееся в main.cf "reject_rbl_client
> > > zen.spamhaus.org" (см.
> > > https://lists.altlinux.org/pipermail/sysadmins/2016-September/037598.html).
> > > Осознать, почему шла при этом ругань на STARTTLS, моей
> > > квалификации не хватает.
> > https://www.spamhaus.org/faq/section/Spamhaus%20PBL секция
> > "I have 'SMTP Authentication' switched ON but I'm still blocked!"
> >
> > Подтверждение тезиса, что RBL зло. Вот решили какие-то мудаки в
> > spamhaus что
> > без SSL теперь ни чихнуть ни пукнуть, и добавили проверку на отлуп.
> > Выносите
> > сразу все эти RBL сразу же из конфигов, если они вдруг там
> > появляются. В
> > современном мире вред от них перевешивает ту жалкую надежду на
> > обещанную пользу.
>
> Владимир, Алексей, повесьте что-нибудь на alterator-postfix-dovecot
> -- это scripts/alterator-postfix-dovecot-functions и актуально.
К сожалению, уже лет семь для почты пользую один монстроидальный комбайн.
Все никак не наберусь духу чтобы допилить Зимбру 8.7 для нас.
^ permalink raw reply [flat|nested] 14+ messages in thread
* Re: [Sysadmins] Сломал почтовый сераер
2016-09-07 10:13 ` Michael Shigorin
2016-09-07 10:55 ` Alexei Takaseev
@ 2016-09-07 14:10 ` Vladimir Karpinsky
1 sibling, 0 replies; 14+ messages in thread
From: Vladimir Karpinsky @ 2016-09-07 14:10 UTC (permalink / raw)
To: sysadmins
Сформулировал, как смог: https://bugzilla.altlinux.org/show_bug.cgi?id=32480
07.09.2016 10:13, Michael Shigorin пишет:
> On Wed, Sep 07, 2016 at 12:06:04AM +0900, Alexei Takaseev wrote:
>>> Я тоже думал в эту сторону пока не восстановил старые конфиги
>>> и не нашёл появившееся в main.cf "reject_rbl_client
>>> zen.spamhaus.org" (см.
>>> https://lists.altlinux.org/pipermail/sysadmins/2016-September/037598.html).
>>> Осознать, почему шла при этом ругань на STARTTLS, моей
>>> квалификации не хватает.
>> https://www.spamhaus.org/faq/section/Spamhaus%20PBL секция
>> "I have 'SMTP Authentication' switched ON but I'm still blocked!"
>>
>> Подтверждение тезиса, что RBL зло. Вот решили какие-то мудаки в spamhaus что
>> без SSL теперь ни чихнуть ни пукнуть, и добавили проверку на отлуп. Выносите
>> сразу все эти RBL сразу же из конфигов, если они вдруг там появляются. В
>> современном мире вред от них перевешивает ту жалкую надежду на обещанную пользу.
> Владимир, Алексей, повесьте что-нибудь на alterator-postfix-dovecot
> -- это scripts/alterator-postfix-dovecot-functions и актуально.
>
> Спасибо!
>
--
С уважением,
Владимир.
^ permalink raw reply [flat|nested] 14+ messages in thread
* Re: [Sysadmins] Сломал почтовый сераер
2016-09-07 10:55 ` Alexei Takaseev
@ 2016-09-07 23:47 ` Вадим Илларионов
0 siblings, 0 replies; 14+ messages in thread
From: Вадим Илларионов @ 2016-09-07 23:47 UTC (permalink / raw)
To: ALT Linux sysadmins' discussion
В письме от среда, 7 сентября 2016 г. 19:55:37 IRKT пользователь Alexei
Takaseev написал:
> К сожалению, уже лет семь для почты пользую один монстроидальный комбайн.
> Все никак не наберусь духу чтобы допилить Зимбру 8.7 для нас.
А было бы неплохо. Сам пользую связку exim+dovecot(оба с авторизацией в ldap)
+clamd+spamd, да ещё roundcube на nginx+php-fpm.
Всё крутится в одной виртуалке, кроме ldap. Конечно, предпочёл бы что-то
помонолитней с единым центром управления.
--
Мимо крокодил.
WBR, rednex CIO.
Cell: +7(964)103-65-67
Viber = Cell
JID = <mailto:>
Skype = $local_part@<mailto:>
^ permalink raw reply [flat|nested] 14+ messages in thread
end of thread, other threads:[~2016-09-07 23:47 UTC | newest]
Thread overview: 14+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2016-09-06 8:08 [Sysadmins] Сломал почтовый сераер Vladimir Karpinsky
2016-09-06 8:51 ` Konstantin Lepikhov
2016-09-06 9:21 ` Vladimir Karpinsky
2016-09-06 13:48 ` Michael A. Kangin
2016-09-06 14:58 ` Vladimir Karpinsky
2016-09-06 15:06 ` Alexei Takaseev
2016-09-07 10:13 ` Michael Shigorin
2016-09-07 10:55 ` Alexei Takaseev
2016-09-07 23:47 ` Вадим Илларионов
2016-09-07 14:10 ` Vladimir Karpinsky
2016-09-06 9:44 ` Vladimir Karpinsky
2016-09-06 11:41 ` Konstantin Lepikhov
2016-09-06 12:39 ` Vladimir Karpinsky
2016-09-07 10:06 ` Michael Shigorin
ALT Linux sysadmins discussion
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \
sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com
public-inbox-index sysadmins
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sysadmins
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git