[Sysadmins] Сломал почтовый сераер

[Sysadmins] Сломал почтовый сераер

[Vladimir Karpinsky]

Здравствуйте!

Я что-то умудрился сломать в дано настроенном и поэтому забытом почтовом 
сервере. Была всего-то задача увеличить через Альтератор размер сообщений. 
Вроде ничего больше не трогал, тем не менее часть почты не принимается 
сервером Я отправляю с обычного места сообщение и в логах вижу:

connect from host.dom.ru(IP)
disconnect from host.dom.ru(IP)

Больше ничего про это в логах не нашёл.

Но с некоторых адресов почта доходит, т.е. такое ощущение, что включилась 
ещё какая-то проверка, которая отбрасывает каких-то отправителей, причём 
тех что ещё недавно принимала.

postfix+dovecot, P7 выросший из Ковчег-сервера.

-- 
	С уважением,
		Владимир.

Re: [Sysadmins] Сломал почтовый сераер

[Konstantin Lepikhov]

Hi Vladimir!

On 09/06/16, at 11:08:57 AM you wrote:

> Здравствуйте!
> 
> Я что-то умудрился сломать в дано настроенном и поэтому забытом почтовом 
> сервере. Была всего-то задача увеличить через Альтератор размер сообщений. 
> Вроде ничего больше не трогал, тем не менее часть почты не принимается 
> сервером Я отправляю с обычного места сообщение и в логах вижу:
> 
> connect from host.dom.ru(IP)
> disconnect from host.dom.ru(IP)
> 
> Больше ничего про это в логах не нашёл.
> 
> Но с некоторых адресов почта доходит, т.е. такое ощущение, что включилась 
> ещё какая-то проверка, которая отбрасывает каких-то отправителей, причём 
> тех что ещё недавно принимала.
> 
> postfix+dovecot, P7 выросший из Ковчег-сервера.
> 
http://www.postfix.org/DEBUG_README.html - тут все написано. Вкраце -
включаете отладку на сервере для конкретного ip (см. Verbose logging for
specific SMTP connections), и пробуете.

-- 
WBR et al.

Re: [Sysadmins] Сломал почтовый сераер

[Vladimir Karpinsky]

06.09.2016 11:51, Konstantin Lepikhov пишет:
>> > postfix+dovecot, P7 выросший из Ковчег-сервера.
>> >
> http://www.postfix.org/DEBUG_README.html - тут все написано. Вкраце -
> включаете отладку на сервере для конкретного ip (см. Verbose logging for
> specific SMTP connections), и пробуете.

Спасибо! Буду смотреть. Пока накопал в логах у отправителя, что после того, 
как я вышел из Альтератора, почта, которая до этого нормально доходила, 
остановилась со следующей руганью:

  status=bounced (host a.b.c[xxx.xxx1xxx.xxx] said: 530 5.7.0 Must issue a 
STARTTLS command first (in reply to MAIL FROM command и т.д.

Откуда взялось это требование про использование STARTTLS и как бы его 
отключить обратно?

-- 
	С уважением,
		Владимир.

Re: [Sysadmins] Сломал почтовый сераер

[Vladimir Karpinsky]

Ерунда какая-то! Сравнил ранее сохранённые конфиги postfix и dovecot с 
текущими -- не вижу никакой разницы. С другой стороны, чтобы у нескольких 
отправителей разом сломалось что-то -- тоже сомнительно...


06.09.2016 11:51, Konstantin Lepikhov пишет:
> Hi Vladimir!
>
> On 09/06/16, at 11:08:57 AM you wrote:
>
>> Здравствуйте!
>>
>> Я что-то умудрился сломать в дано настроенном и поэтому забытом почтовом
>> сервере. Была всего-то задача увеличить через Альтератор размер сообщений.
>> Вроде ничего больше не трогал, тем не менее часть почты не принимается
>> сервером Я отправляю с обычного места сообщение и в логах вижу:
>>
>> connect from host.dom.ru(IP)
>> disconnect from host.dom.ru(IP)
>>
>> Больше ничего про это в логах не нашёл.
>>
>> Но с некоторых адресов почта доходит, т.е. такое ощущение, что включилась
>> ещё какая-то проверка, которая отбрасывает каких-то отправителей, причём
>> тех что ещё недавно принимала.
>>
>> postfix+dovecot, P7 выросший из Ковчег-сервера.
>>
> http://www.postfix.org/DEBUG_README.html - тут все написано. Вкраце -
> включаете отладку на сервере для конкретного ip (см. Verbose logging for
> specific SMTP connections), и пробуете.
>

-- 
	С уважением,
		Владимир.

Re: [Sysadmins] Сломал почтовый сераер

[Konstantin Lepikhov]

Hi Vladimir!

On 09/06/16, at 12:44:16 PM you wrote:

> Ерунда какая-то! Сравнил ранее сохранённые конфиги postfix и dovecot с 
> текущими -- не вижу никакой разницы. С другой стороны, чтобы у нескольких 
> отправителей разом сломалось что-то -- тоже сомнительно...
> 
> 
Поскольку никто кроме вас этих конфигов не видел, можем только
согласиться, да, полная ерунда! )

-- 
WBR et al.

Re: [Sysadmins] Сломал почтовый сераер

[Vladimir Karpinsky]

06.09.2016 14:41, Konstantin Lepikhov пишет:
> Поскольку никто кроме вас этих конфигов не видел, можем только
> согласиться, да, полная ерунда! )
Прошу прощения за сумбур -- как-то внезапно и, как всегда, очень не во 
время вступило. Проблему удалось решить полным откатом на сохранённый 
(бекап -- великая вещь!) /etc/postfix.

Далее начал искать различия. Вопервых, различие нашлось в master.cf, но это 
про другое:
# diff master.cf bak/master.cf
12,13c12,13
<           -o content_filter=filter:spamcheck
< submission inet n       -       -       -       -       smtpd
---
 > #          -o content_filter=filter:spamcheck
 > #submission inet n       -       -       -       -       smtpd

В main.cf обнаружилось 2 различия, второе, по всей видимости, влиять не должно:

# diff main.cf bak/main.cf
12a13,14
< smtpd_client_restrictions = permit_mynetworks, check_recipient_access 
cdb:/etc/postfix/whitelist, permit_sasl_authenticated, check_client_access 
cdb:/etc/postfix/client_access, reject_rbl_client combined.njabl.org, 
reject_rbl_client cbl.abuseat.org, reject_rbl_client safe.dnsbl.sorbs.net, 
reject_rbl_client xbl.spamhaus.org, permit
---
 > smtpd_client_restrictions = permit_mynetworks, check_recipient_access 
cdb:/etc/postfix/whitelist, permit_sasl_authenticated, check_client_access 
cdb:/etc/postfix/client_access, reject_rbl_client combined.njabl.org, 
reject_rbl_client cbl.abuseat.org, reject_rbl_client safe.dnsbl.sorbs.net, 
reject_rbl_client xbl.spamhaus.org, reject_rbl_client zen.spamhaus.org, permit
39a41,42
 > content_filter =

Руками "reject_rbl_client zen.spamhaus.org," я точно не добавлял, есть 
подозрение, что это "заодно" сделал Альтератор.

Есть смутные воспоминания, что когда-то было предписание выкинуть spambus 
из этого конфига, что я и сделал в своё время. Если Альтератор по 
собственной инициативе его восстанавливает, то это не очень хорошо, мягко 
говоря. Тестового сервера у меня нет, а на работающим пока очень не хочется 
ставить контрольный эксперимент, если кто-то сможет это проверить, думаю, 
что не только мне будет полезно.

Спасибо!

-- 

	С уважением,
		Владимир.

Re: [Sysadmins] Сломал почтовый сераер

[Michael A. Kangin]

On 09/06/2016 11:21 AM, Vladimir Karpinsky wrote:

>  status=bounced (host a.b.c[xxx.xxx1xxx.xxx] said: 530 5.7.0 Must issue
> a STARTTLS command first (in reply to MAIL FROM command и т.д.
>
> Откуда взялось это требование про использование STARTTLS и как бы его
> отключить обратно?

Может у вас раньше SSL втихую использовалась, а потом новая libssl 
приехала и старые протоколы поломала?

Re: [Sysadmins] Сломал почтовый сераер

[Vladimir Karpinsky]

06.09.2016 16:48, Michael A. Kangin пишет:
> On 09/06/2016 11:21 AM, Vladimir Karpinsky wrote:
>
>>  status=bounced (host a.b.c[xxx.xxx1xxx.xxx] said: 530 5.7.0 Must issue
>> a STARTTLS command first (in reply to MAIL FROM command и т.д.
>>
>> Откуда взялось это требование про использование STARTTLS и как бы его
>> отключить обратно?
>
> Может у вас раньше SSL втихую использовалась, а потом новая libssl приехала
> и старые протоколы поломала?

Я тоже думал в эту сторону пока не восстановил старые конфиги и не нашёл 
появившееся в main.cf "reject_rbl_client zen.spamhaus.org" (см. 
https://lists.altlinux.org/pipermail/sysadmins/2016-September/037598.html).

Осознать, почему шла при этом ругань на STARTTLS, моей квалификации не 
хватает.

-- 
	С уважением,
		Владимир.

Re: [Sysadmins] Сломал почтовый сераер

[Alexei Takaseev]

----- Исходное сообщение -----
> От: "Vladimir Karpinsky" <vkarpinsky@mail.ru>
> Кому: sysadmins@lists.altlinux.org
> Отправленные: Вторник, 6 Сентябрь 2016 г 22:58:22
> Тема: Re: [Sysadmins] Сломал почтовый сераер
> 
> 06.09.2016 16:48, Michael A. Kangin пишет:
> > On 09/06/2016 11:21 AM, Vladimir Karpinsky wrote:
> >
> >>  status=bounced (host a.b.c[xxx.xxx1xxx.xxx] said: 530 5.7.0 Must
> >>  issue
> >> a STARTTLS command first (in reply to MAIL FROM command и т.д.
> >>
> >> Откуда взялось это требование про использование STARTTLS и как бы
> >> его
> >> отключить обратно?
> >
> > Может у вас раньше SSL втихую использовалась, а потом новая libssl
> > приехала
> > и старые протоколы поломала?
> 
> Я тоже думал в эту сторону пока не восстановил старые конфиги и не
> нашёл
> появившееся в main.cf "reject_rbl_client zen.spamhaus.org" (см.
> https://lists.altlinux.org/pipermail/sysadmins/2016-September/037598.html).
> 
> Осознать, почему шла при этом ругань на STARTTLS, моей квалификации
> не
> хватает.

https://www.spamhaus.org/faq/section/Spamhaus%20PBL секция
"I have 'SMTP Authentication' switched ON but I'm still blocked!"

Подтверждение тезиса, что RBL зло. Вот решили какие-то мудаки в spamhaus что
без SSL теперь ни чихнуть ни пукнуть, и добавили проверку на отлуп. Выносите
сразу все эти RBL сразу же из конфигов, если они вдруг там появляются. В
современном мире вред от них перевешивает ту жалкую надежду на обещанную пользу.

Re: [Sysadmins] Сломал почтовый сераер

[Michael Shigorin]

On Tue, Sep 06, 2016 at 03:39:18PM +0300, Vladimir Karpinsky wrote:
> # diff master.cf bak/master.cf

Удобней читать diff -u, а порой ещё и через wdiff пропустить
(из одноименного пакета).

-- 
 ---- WBR, Michael Shigorin / http://altlinux.org
  ------ http://opennet.ru / http://anna-news.info

Re: [Sysadmins] Сломал почтовый сераер

[Michael Shigorin]

On Wed, Sep 07, 2016 at 12:06:04AM +0900, Alexei Takaseev wrote:
> > Я тоже думал в эту сторону пока не восстановил старые конфиги
> > и не нашёл появившееся в main.cf "reject_rbl_client
> > zen.spamhaus.org" (см.
> > https://lists.altlinux.org/pipermail/sysadmins/2016-September/037598.html).
> > Осознать, почему шла при этом ругань на STARTTLS, моей
> > квалификации не хватает.
> https://www.spamhaus.org/faq/section/Spamhaus%20PBL секция
> "I have 'SMTP Authentication' switched ON but I'm still blocked!"
> 
> Подтверждение тезиса, что RBL зло. Вот решили какие-то мудаки в spamhaus что
> без SSL теперь ни чихнуть ни пукнуть, и добавили проверку на отлуп. Выносите
> сразу все эти RBL сразу же из конфигов, если они вдруг там появляются. В
> современном мире вред от них перевешивает ту жалкую надежду на обещанную пользу.

Владимир, Алексей, повесьте что-нибудь на alterator-postfix-dovecot
-- это scripts/alterator-postfix-dovecot-functions и актуально.

Спасибо!

-- 
 ---- WBR, Michael Shigorin / http://altlinux.org
  ------ http://opennet.ru / http://anna-news.info

Re: [Sysadmins] Сломал почтовый сераер

[Alexei Takaseev]

Приветствую!

----- Исходное сообщение -----
> От: "Michael Shigorin" <mike@altlinux.org>
> Кому: sysadmins@lists.altlinux.org
> Отправленные: Среда, 7 Сентябрь 2016 г 18:13:54
> Тема: Re: [Sysadmins] Сломал почтовый сераер
> 
> On Wed, Sep 07, 2016 at 12:06:04AM +0900, Alexei Takaseev wrote:
> > > Я тоже думал в эту сторону пока не восстановил старые конфиги
> > > и не нашёл появившееся в main.cf "reject_rbl_client
> > > zen.spamhaus.org" (см.
> > > https://lists.altlinux.org/pipermail/sysadmins/2016-September/037598.html).
> > > Осознать, почему шла при этом ругань на STARTTLS, моей
> > > квалификации не хватает.
> > https://www.spamhaus.org/faq/section/Spamhaus%20PBL секция
> > "I have 'SMTP Authentication' switched ON but I'm still blocked!"
> > 
> > Подтверждение тезиса, что RBL зло. Вот решили какие-то мудаки в
> > spamhaus что
> > без SSL теперь ни чихнуть ни пукнуть, и добавили проверку на отлуп.
> > Выносите
> > сразу все эти RBL сразу же из конфигов, если они вдруг там
> > появляются. В
> > современном мире вред от них перевешивает ту жалкую надежду на
> > обещанную пользу.
> 
> Владимир, Алексей, повесьте что-нибудь на alterator-postfix-dovecot
> -- это scripts/alterator-postfix-dovecot-functions и актуально.

К сожалению, уже лет семь для почты пользую один монстроидальный комбайн.
Все никак не наберусь духу чтобы допилить Зимбру 8.7 для нас.

Re: [Sysadmins] Сломал почтовый сераер

[Vladimir Karpinsky]

Сформулировал, как смог: https://bugzilla.altlinux.org/show_bug.cgi?id=32480


07.09.2016 10:13, Michael Shigorin пишет:
> On Wed, Sep 07, 2016 at 12:06:04AM +0900, Alexei Takaseev wrote:
>>> Я тоже думал в эту сторону пока не восстановил старые конфиги
>>> и не нашёл появившееся в main.cf "reject_rbl_client
>>> zen.spamhaus.org" (см.
>>> https://lists.altlinux.org/pipermail/sysadmins/2016-September/037598.html).
>>> Осознать, почему шла при этом ругань на STARTTLS, моей
>>> квалификации не хватает.
>> https://www.spamhaus.org/faq/section/Spamhaus%20PBL секция
>> "I have 'SMTP Authentication' switched ON but I'm still blocked!"
>>
>> Подтверждение тезиса, что RBL зло. Вот решили какие-то мудаки в spamhaus что
>> без SSL теперь ни чихнуть ни пукнуть, и добавили проверку на отлуп. Выносите
>> сразу все эти RBL сразу же из конфигов, если они вдруг там появляются. В
>> современном мире вред от них перевешивает ту жалкую надежду на обещанную пользу.
> Владимир, Алексей, повесьте что-нибудь на alterator-postfix-dovecot
> -- это scripts/alterator-postfix-dovecot-functions и актуально.
>
> Спасибо!
>

-- 
	С уважением,
		Владимир.

Re: [Sysadmins] Сломал почтовый сераер

[Вадим Илларионов]

В письме от среда, 7 сентября 2016 г. 19:55:37 IRKT пользователь Alexei 
Takaseev написал:
> К сожалению, уже лет семь для почты пользую один монстроидальный комбайн.
> Все никак не наберусь духу чтобы допилить Зимбру 8.7 для нас.

А было бы неплохо. Сам пользую связку exim+dovecot(оба с авторизацией в ldap)
+clamd+spamd, да ещё roundcube на nginx+php-fpm.
Всё крутится в одной виртуалке, кроме ldap. Конечно, предпочёл бы что-то 
помонолитней с единым центром управления.

-- 
Мимо крокодил.
WBR, rednex CIO.
Cell: +7(964)103-65-67
Viber = Cell
JID = <mailto:>
Skype = $local_part@<mailto:>