* [Sysadmins] Сломал почтовый сераер @ 2016-09-06 8:08 Vladimir Karpinsky 2016-09-06 8:51 ` Konstantin Lepikhov 0 siblings, 1 reply; 14+ messages in thread From: Vladimir Karpinsky @ 2016-09-06 8:08 UTC (permalink / raw) To: sysadmins Здравствуйте! Я что-то умудрился сломать в дано настроенном и поэтому забытом почтовом сервере. Была всего-то задача увеличить через Альтератор размер сообщений. Вроде ничего больше не трогал, тем не менее часть почты не принимается сервером Я отправляю с обычного места сообщение и в логах вижу: connect from host.dom.ru(IP) disconnect from host.dom.ru(IP) Больше ничего про это в логах не нашёл. Но с некоторых адресов почта доходит, т.е. такое ощущение, что включилась ещё какая-то проверка, которая отбрасывает каких-то отправителей, причём тех что ещё недавно принимала. postfix+dovecot, P7 выросший из Ковчег-сервера. -- С уважением, Владимир. ^ permalink raw reply [flat|nested] 14+ messages in thread
* Re: [Sysadmins] Сломал почтовый сераер 2016-09-06 8:08 [Sysadmins] Сломал почтовый сераер Vladimir Karpinsky @ 2016-09-06 8:51 ` Konstantin Lepikhov 2016-09-06 9:21 ` Vladimir Karpinsky 2016-09-06 9:44 ` Vladimir Karpinsky 0 siblings, 2 replies; 14+ messages in thread From: Konstantin Lepikhov @ 2016-09-06 8:51 UTC (permalink / raw) To: sysadmins Hi Vladimir! On 09/06/16, at 11:08:57 AM you wrote: > Здравствуйте! > > Я что-то умудрился сломать в дано настроенном и поэтому забытом почтовом > сервере. Была всего-то задача увеличить через Альтератор размер сообщений. > Вроде ничего больше не трогал, тем не менее часть почты не принимается > сервером Я отправляю с обычного места сообщение и в логах вижу: > > connect from host.dom.ru(IP) > disconnect from host.dom.ru(IP) > > Больше ничего про это в логах не нашёл. > > Но с некоторых адресов почта доходит, т.е. такое ощущение, что включилась > ещё какая-то проверка, которая отбрасывает каких-то отправителей, причём > тех что ещё недавно принимала. > > postfix+dovecot, P7 выросший из Ковчег-сервера. > http://www.postfix.org/DEBUG_README.html - тут все написано. Вкраце - включаете отладку на сервере для конкретного ip (см. Verbose logging for specific SMTP connections), и пробуете. -- WBR et al. ^ permalink raw reply [flat|nested] 14+ messages in thread
* Re: [Sysadmins] Сломал почтовый сераер 2016-09-06 8:51 ` Konstantin Lepikhov @ 2016-09-06 9:21 ` Vladimir Karpinsky 2016-09-06 13:48 ` Michael A. Kangin 2016-09-06 9:44 ` Vladimir Karpinsky 1 sibling, 1 reply; 14+ messages in thread From: Vladimir Karpinsky @ 2016-09-06 9:21 UTC (permalink / raw) To: sysadmins 06.09.2016 11:51, Konstantin Lepikhov пишет: >> > postfix+dovecot, P7 выросший из Ковчег-сервера. >> > > http://www.postfix.org/DEBUG_README.html - тут все написано. Вкраце - > включаете отладку на сервере для конкретного ip (см. Verbose logging for > specific SMTP connections), и пробуете. Спасибо! Буду смотреть. Пока накопал в логах у отправителя, что после того, как я вышел из Альтератора, почта, которая до этого нормально доходила, остановилась со следующей руганью: status=bounced (host a.b.c[xxx.xxx1xxx.xxx] said: 530 5.7.0 Must issue a STARTTLS command first (in reply to MAIL FROM command и т.д. Откуда взялось это требование про использование STARTTLS и как бы его отключить обратно? -- С уважением, Владимир. ^ permalink raw reply [flat|nested] 14+ messages in thread
* Re: [Sysadmins] Сломал почтовый сераер 2016-09-06 9:21 ` Vladimir Karpinsky @ 2016-09-06 13:48 ` Michael A. Kangin 2016-09-06 14:58 ` Vladimir Karpinsky 0 siblings, 1 reply; 14+ messages in thread From: Michael A. Kangin @ 2016-09-06 13:48 UTC (permalink / raw) To: ALT Linux sysadmins' discussion On 09/06/2016 11:21 AM, Vladimir Karpinsky wrote: > status=bounced (host a.b.c[xxx.xxx1xxx.xxx] said: 530 5.7.0 Must issue > a STARTTLS command first (in reply to MAIL FROM command и т.д. > > Откуда взялось это требование про использование STARTTLS и как бы его > отключить обратно? Может у вас раньше SSL втихую использовалась, а потом новая libssl приехала и старые протоколы поломала? ^ permalink raw reply [flat|nested] 14+ messages in thread
* Re: [Sysadmins] Сломал почтовый сераер 2016-09-06 13:48 ` Michael A. Kangin @ 2016-09-06 14:58 ` Vladimir Karpinsky 2016-09-06 15:06 ` Alexei Takaseev 0 siblings, 1 reply; 14+ messages in thread From: Vladimir Karpinsky @ 2016-09-06 14:58 UTC (permalink / raw) To: sysadmins 06.09.2016 16:48, Michael A. Kangin пишет: > On 09/06/2016 11:21 AM, Vladimir Karpinsky wrote: > >> status=bounced (host a.b.c[xxx.xxx1xxx.xxx] said: 530 5.7.0 Must issue >> a STARTTLS command first (in reply to MAIL FROM command и т.д. >> >> Откуда взялось это требование про использование STARTTLS и как бы его >> отключить обратно? > > Может у вас раньше SSL втихую использовалась, а потом новая libssl приехала > и старые протоколы поломала? Я тоже думал в эту сторону пока не восстановил старые конфиги и не нашёл появившееся в main.cf "reject_rbl_client zen.spamhaus.org" (см. https://lists.altlinux.org/pipermail/sysadmins/2016-September/037598.html). Осознать, почему шла при этом ругань на STARTTLS, моей квалификации не хватает. -- С уважением, Владимир. ^ permalink raw reply [flat|nested] 14+ messages in thread
* Re: [Sysadmins] Сломал почтовый сераер 2016-09-06 14:58 ` Vladimir Karpinsky @ 2016-09-06 15:06 ` Alexei Takaseev 2016-09-07 10:13 ` Michael Shigorin 0 siblings, 1 reply; 14+ messages in thread From: Alexei Takaseev @ 2016-09-06 15:06 UTC (permalink / raw) To: ALT Linux sysadmins' discussion ----- Исходное сообщение ----- > От: "Vladimir Karpinsky" <vkarpinsky@mail.ru> > Кому: sysadmins@lists.altlinux.org > Отправленные: Вторник, 6 Сентябрь 2016 г 22:58:22 > Тема: Re: [Sysadmins] Сломал почтовый сераер > > 06.09.2016 16:48, Michael A. Kangin пишет: > > On 09/06/2016 11:21 AM, Vladimir Karpinsky wrote: > > > >> status=bounced (host a.b.c[xxx.xxx1xxx.xxx] said: 530 5.7.0 Must > >> issue > >> a STARTTLS command first (in reply to MAIL FROM command и т.д. > >> > >> Откуда взялось это требование про использование STARTTLS и как бы > >> его > >> отключить обратно? > > > > Может у вас раньше SSL втихую использовалась, а потом новая libssl > > приехала > > и старые протоколы поломала? > > Я тоже думал в эту сторону пока не восстановил старые конфиги и не > нашёл > появившееся в main.cf "reject_rbl_client zen.spamhaus.org" (см. > https://lists.altlinux.org/pipermail/sysadmins/2016-September/037598.html). > > Осознать, почему шла при этом ругань на STARTTLS, моей квалификации > не > хватает. https://www.spamhaus.org/faq/section/Spamhaus%20PBL секция "I have 'SMTP Authentication' switched ON but I'm still blocked!" Подтверждение тезиса, что RBL зло. Вот решили какие-то мудаки в spamhaus что без SSL теперь ни чихнуть ни пукнуть, и добавили проверку на отлуп. Выносите сразу все эти RBL сразу же из конфигов, если они вдруг там появляются. В современном мире вред от них перевешивает ту жалкую надежду на обещанную пользу. ^ permalink raw reply [flat|nested] 14+ messages in thread
* Re: [Sysadmins] Сломал почтовый сераер 2016-09-06 15:06 ` Alexei Takaseev @ 2016-09-07 10:13 ` Michael Shigorin 2016-09-07 10:55 ` Alexei Takaseev 2016-09-07 14:10 ` Vladimir Karpinsky 0 siblings, 2 replies; 14+ messages in thread From: Michael Shigorin @ 2016-09-07 10:13 UTC (permalink / raw) To: sysadmins On Wed, Sep 07, 2016 at 12:06:04AM +0900, Alexei Takaseev wrote: > > Я тоже думал в эту сторону пока не восстановил старые конфиги > > и не нашёл появившееся в main.cf "reject_rbl_client > > zen.spamhaus.org" (см. > > https://lists.altlinux.org/pipermail/sysadmins/2016-September/037598.html). > > Осознать, почему шла при этом ругань на STARTTLS, моей > > квалификации не хватает. > https://www.spamhaus.org/faq/section/Spamhaus%20PBL секция > "I have 'SMTP Authentication' switched ON but I'm still blocked!" > > Подтверждение тезиса, что RBL зло. Вот решили какие-то мудаки в spamhaus что > без SSL теперь ни чихнуть ни пукнуть, и добавили проверку на отлуп. Выносите > сразу все эти RBL сразу же из конфигов, если они вдруг там появляются. В > современном мире вред от них перевешивает ту жалкую надежду на обещанную пользу. Владимир, Алексей, повесьте что-нибудь на alterator-postfix-dovecot -- это scripts/alterator-postfix-dovecot-functions и актуально. Спасибо! -- ---- WBR, Michael Shigorin / http://altlinux.org ------ http://opennet.ru / http://anna-news.info ^ permalink raw reply [flat|nested] 14+ messages in thread
* Re: [Sysadmins] Сломал почтовый сераер 2016-09-07 10:13 ` Michael Shigorin @ 2016-09-07 10:55 ` Alexei Takaseev 2016-09-07 23:47 ` Вадим Илларионов 2016-09-07 14:10 ` Vladimir Karpinsky 1 sibling, 1 reply; 14+ messages in thread From: Alexei Takaseev @ 2016-09-07 10:55 UTC (permalink / raw) To: ALT Linux sysadmins' discussion Приветствую! ----- Исходное сообщение ----- > От: "Michael Shigorin" <mike@altlinux.org> > Кому: sysadmins@lists.altlinux.org > Отправленные: Среда, 7 Сентябрь 2016 г 18:13:54 > Тема: Re: [Sysadmins] Сломал почтовый сераер > > On Wed, Sep 07, 2016 at 12:06:04AM +0900, Alexei Takaseev wrote: > > > Я тоже думал в эту сторону пока не восстановил старые конфиги > > > и не нашёл появившееся в main.cf "reject_rbl_client > > > zen.spamhaus.org" (см. > > > https://lists.altlinux.org/pipermail/sysadmins/2016-September/037598.html). > > > Осознать, почему шла при этом ругань на STARTTLS, моей > > > квалификации не хватает. > > https://www.spamhaus.org/faq/section/Spamhaus%20PBL секция > > "I have 'SMTP Authentication' switched ON but I'm still blocked!" > > > > Подтверждение тезиса, что RBL зло. Вот решили какие-то мудаки в > > spamhaus что > > без SSL теперь ни чихнуть ни пукнуть, и добавили проверку на отлуп. > > Выносите > > сразу все эти RBL сразу же из конфигов, если они вдруг там > > появляются. В > > современном мире вред от них перевешивает ту жалкую надежду на > > обещанную пользу. > > Владимир, Алексей, повесьте что-нибудь на alterator-postfix-dovecot > -- это scripts/alterator-postfix-dovecot-functions и актуально. К сожалению, уже лет семь для почты пользую один монстроидальный комбайн. Все никак не наберусь духу чтобы допилить Зимбру 8.7 для нас. ^ permalink raw reply [flat|nested] 14+ messages in thread
* Re: [Sysadmins] Сломал почтовый сераер 2016-09-07 10:55 ` Alexei Takaseev @ 2016-09-07 23:47 ` Вадим Илларионов 0 siblings, 0 replies; 14+ messages in thread From: Вадим Илларионов @ 2016-09-07 23:47 UTC (permalink / raw) To: ALT Linux sysadmins' discussion В письме от среда, 7 сентября 2016 г. 19:55:37 IRKT пользователь Alexei Takaseev написал: > К сожалению, уже лет семь для почты пользую один монстроидальный комбайн. > Все никак не наберусь духу чтобы допилить Зимбру 8.7 для нас. А было бы неплохо. Сам пользую связку exim+dovecot(оба с авторизацией в ldap) +clamd+spamd, да ещё roundcube на nginx+php-fpm. Всё крутится в одной виртуалке, кроме ldap. Конечно, предпочёл бы что-то помонолитней с единым центром управления. -- Мимо крокодил. WBR, rednex CIO. Cell: +7(964)103-65-67 Viber = Cell JID = <mailto:> Skype = $local_part@<mailto:> ^ permalink raw reply [flat|nested] 14+ messages in thread
* Re: [Sysadmins] Сломал почтовый сераер 2016-09-07 10:13 ` Michael Shigorin 2016-09-07 10:55 ` Alexei Takaseev @ 2016-09-07 14:10 ` Vladimir Karpinsky 1 sibling, 0 replies; 14+ messages in thread From: Vladimir Karpinsky @ 2016-09-07 14:10 UTC (permalink / raw) To: sysadmins Сформулировал, как смог: https://bugzilla.altlinux.org/show_bug.cgi?id=32480 07.09.2016 10:13, Michael Shigorin пишет: > On Wed, Sep 07, 2016 at 12:06:04AM +0900, Alexei Takaseev wrote: >>> Я тоже думал в эту сторону пока не восстановил старые конфиги >>> и не нашёл появившееся в main.cf "reject_rbl_client >>> zen.spamhaus.org" (см. >>> https://lists.altlinux.org/pipermail/sysadmins/2016-September/037598.html). >>> Осознать, почему шла при этом ругань на STARTTLS, моей >>> квалификации не хватает. >> https://www.spamhaus.org/faq/section/Spamhaus%20PBL секция >> "I have 'SMTP Authentication' switched ON but I'm still blocked!" >> >> Подтверждение тезиса, что RBL зло. Вот решили какие-то мудаки в spamhaus что >> без SSL теперь ни чихнуть ни пукнуть, и добавили проверку на отлуп. Выносите >> сразу все эти RBL сразу же из конфигов, если они вдруг там появляются. В >> современном мире вред от них перевешивает ту жалкую надежду на обещанную пользу. > Владимир, Алексей, повесьте что-нибудь на alterator-postfix-dovecot > -- это scripts/alterator-postfix-dovecot-functions и актуально. > > Спасибо! > -- С уважением, Владимир. ^ permalink raw reply [flat|nested] 14+ messages in thread
* Re: [Sysadmins] Сломал почтовый сераер 2016-09-06 8:51 ` Konstantin Lepikhov 2016-09-06 9:21 ` Vladimir Karpinsky @ 2016-09-06 9:44 ` Vladimir Karpinsky 2016-09-06 11:41 ` Konstantin Lepikhov 1 sibling, 1 reply; 14+ messages in thread From: Vladimir Karpinsky @ 2016-09-06 9:44 UTC (permalink / raw) To: sysadmins Ерунда какая-то! Сравнил ранее сохранённые конфиги postfix и dovecot с текущими -- не вижу никакой разницы. С другой стороны, чтобы у нескольких отправителей разом сломалось что-то -- тоже сомнительно... 06.09.2016 11:51, Konstantin Lepikhov пишет: > Hi Vladimir! > > On 09/06/16, at 11:08:57 AM you wrote: > >> Здравствуйте! >> >> Я что-то умудрился сломать в дано настроенном и поэтому забытом почтовом >> сервере. Была всего-то задача увеличить через Альтератор размер сообщений. >> Вроде ничего больше не трогал, тем не менее часть почты не принимается >> сервером Я отправляю с обычного места сообщение и в логах вижу: >> >> connect from host.dom.ru(IP) >> disconnect from host.dom.ru(IP) >> >> Больше ничего про это в логах не нашёл. >> >> Но с некоторых адресов почта доходит, т.е. такое ощущение, что включилась >> ещё какая-то проверка, которая отбрасывает каких-то отправителей, причём >> тех что ещё недавно принимала. >> >> postfix+dovecot, P7 выросший из Ковчег-сервера. >> > http://www.postfix.org/DEBUG_README.html - тут все написано. Вкраце - > включаете отладку на сервере для конкретного ip (см. Verbose logging for > specific SMTP connections), и пробуете. > -- С уважением, Владимир. ^ permalink raw reply [flat|nested] 14+ messages in thread
* Re: [Sysadmins] Сломал почтовый сераер 2016-09-06 9:44 ` Vladimir Karpinsky @ 2016-09-06 11:41 ` Konstantin Lepikhov 2016-09-06 12:39 ` Vladimir Karpinsky 0 siblings, 1 reply; 14+ messages in thread From: Konstantin Lepikhov @ 2016-09-06 11:41 UTC (permalink / raw) To: sysadmins Hi Vladimir! On 09/06/16, at 12:44:16 PM you wrote: > Ерунда какая-то! Сравнил ранее сохранённые конфиги postfix и dovecot с > текущими -- не вижу никакой разницы. С другой стороны, чтобы у нескольких > отправителей разом сломалось что-то -- тоже сомнительно... > > Поскольку никто кроме вас этих конфигов не видел, можем только согласиться, да, полная ерунда! ) -- WBR et al. ^ permalink raw reply [flat|nested] 14+ messages in thread
* Re: [Sysadmins] Сломал почтовый сераер 2016-09-06 11:41 ` Konstantin Lepikhov @ 2016-09-06 12:39 ` Vladimir Karpinsky 2016-09-07 10:06 ` Michael Shigorin 0 siblings, 1 reply; 14+ messages in thread From: Vladimir Karpinsky @ 2016-09-06 12:39 UTC (permalink / raw) To: sysadmins 06.09.2016 14:41, Konstantin Lepikhov пишет: > Поскольку никто кроме вас этих конфигов не видел, можем только > согласиться, да, полная ерунда! ) Прошу прощения за сумбур -- как-то внезапно и, как всегда, очень не во время вступило. Проблему удалось решить полным откатом на сохранённый (бекап -- великая вещь!) /etc/postfix. Далее начал искать различия. Вопервых, различие нашлось в master.cf, но это про другое: # diff master.cf bak/master.cf 12,13c12,13 < -o content_filter=filter:spamcheck < submission inet n - - - - smtpd --- > # -o content_filter=filter:spamcheck > #submission inet n - - - - smtpd В main.cf обнаружилось 2 различия, второе, по всей видимости, влиять не должно: # diff main.cf bak/main.cf 12a13,14 < smtpd_client_restrictions = permit_mynetworks, check_recipient_access cdb:/etc/postfix/whitelist, permit_sasl_authenticated, check_client_access cdb:/etc/postfix/client_access, reject_rbl_client combined.njabl.org, reject_rbl_client cbl.abuseat.org, reject_rbl_client safe.dnsbl.sorbs.net, reject_rbl_client xbl.spamhaus.org, permit --- > smtpd_client_restrictions = permit_mynetworks, check_recipient_access cdb:/etc/postfix/whitelist, permit_sasl_authenticated, check_client_access cdb:/etc/postfix/client_access, reject_rbl_client combined.njabl.org, reject_rbl_client cbl.abuseat.org, reject_rbl_client safe.dnsbl.sorbs.net, reject_rbl_client xbl.spamhaus.org, reject_rbl_client zen.spamhaus.org, permit 39a41,42 > content_filter = Руками "reject_rbl_client zen.spamhaus.org," я точно не добавлял, есть подозрение, что это "заодно" сделал Альтератор. Есть смутные воспоминания, что когда-то было предписание выкинуть spambus из этого конфига, что я и сделал в своё время. Если Альтератор по собственной инициативе его восстанавливает, то это не очень хорошо, мягко говоря. Тестового сервера у меня нет, а на работающим пока очень не хочется ставить контрольный эксперимент, если кто-то сможет это проверить, думаю, что не только мне будет полезно. Спасибо! -- С уважением, Владимир. ^ permalink raw reply [flat|nested] 14+ messages in thread
* Re: [Sysadmins] Сломал почтовый сераер 2016-09-06 12:39 ` Vladimir Karpinsky @ 2016-09-07 10:06 ` Michael Shigorin 0 siblings, 0 replies; 14+ messages in thread From: Michael Shigorin @ 2016-09-07 10:06 UTC (permalink / raw) To: sysadmins On Tue, Sep 06, 2016 at 03:39:18PM +0300, Vladimir Karpinsky wrote: > # diff master.cf bak/master.cf Удобней читать diff -u, а порой ещё и через wdiff пропустить (из одноименного пакета). -- ---- WBR, Michael Shigorin / http://altlinux.org ------ http://opennet.ru / http://anna-news.info ^ permalink raw reply [flat|nested] 14+ messages in thread
end of thread, other threads:[~2016-09-07 23:47 UTC | newest] Thread overview: 14+ messages (download: mbox.gz / follow: Atom feed) -- links below jump to the message on this page -- 2016-09-06 8:08 [Sysadmins] Сломал почтовый сераер Vladimir Karpinsky 2016-09-06 8:51 ` Konstantin Lepikhov 2016-09-06 9:21 ` Vladimir Karpinsky 2016-09-06 13:48 ` Michael A. Kangin 2016-09-06 14:58 ` Vladimir Karpinsky 2016-09-06 15:06 ` Alexei Takaseev 2016-09-07 10:13 ` Michael Shigorin 2016-09-07 10:55 ` Alexei Takaseev 2016-09-07 23:47 ` Вадим Илларионов 2016-09-07 14:10 ` Vladimir Karpinsky 2016-09-06 9:44 ` Vladimir Karpinsky 2016-09-06 11:41 ` Konstantin Lepikhov 2016-09-06 12:39 ` Vladimir Karpinsky 2016-09-07 10:06 ` Michael Shigorin
ALT Linux sysadmins discussion This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \ sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com public-inbox-index sysadmins Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.sysadmins AGPL code for this site: git clone https://public-inbox.org/public-inbox.git