* [Sysadmins] postfix header_checks
@ 2009-04-23 14:49 Denis Kuznetsov
2009-04-23 17:07 ` Afanasov Dmitry
` (2 more replies)
0 siblings, 3 replies; 28+ messages in thread
From: Denis Kuznetsov @ 2009-04-23 14:49 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Доброго времени суток!
в main.cf прописано:
header_checks = pcre:/etc/postfix/header_checks
mime_header_checks = pcre:/etc/postfix/header_checks
соответственно в /etc/postfix/header_checks:
/^Received:.*\.altlinux\.org/ OK
/^Received:.*\d{1,3}-\d{1,3}[-\.]\d{1,3}-\d{1,3}/ REJECT Please use ISP relay
/^Received:.*dsl\.dynamic\d{1,}\.ttnet\.net\.tr/ REJECT Please use ISP relay
но в логах постфикса наблюдаеться:
# grep -i reject /var/log/mail/all | grep altlinux
Apr 21 02:03:49 main postfix/cleanup[7741]: 5C1B981ECE6A: reject: header
Received: from cdm-75-109-220-134.asbnva.dh.suddenlink.net??
(cdm-75-109-220-134.asbnva.dh.suddenlink.net [75.109.220.134])??by
mail.yandex.ru with HTTP; Tue, 21 Apr 2009 03:03:30 +0400 from
lists.altlinux.org[194.107.17.17]; from=<devel-bounces@lists.altlinux.org>
to=<kde@kde.kiev.ua> proto=ESMTP helo=<lists.altlinux.org>: 5.7.1 Please use
ISP relay
Apr 21 07:02:03 main postfix/cleanup[32310]: A5C418209E3D: reject: header
Received: from ?192.168.1.200? (ppp91-122-143-226.pppoe.avangarddsl.ru??
[91.122.143.226])??by mx.google.com with ESMTPS id
d13sm11027840fka.20.2009.04.20.15.02.34??(version=TLSv1/SSLv3 cipher=RC4-MD5)
from lists.altlinux.org[194.107.17.17];
from=<devel-distro-bounces@lists.altlinux.org> to=<kde@kde.kiev.ua>
proto=ESMTP helo=<lists.altlinux.org>: 5.7.1 Please use ISP relay
помогите пожалуста найти причину.
--
Denis Kuznetsov
mailto: kde@kde.kiev.ua
jabber: denis.e.kuznetsov@gmail.com
^ permalink raw reply [flat|nested] 28+ messages in thread
* Re: [Sysadmins] postfix header_checks
2009-04-23 14:49 [Sysadmins] postfix header_checks Denis Kuznetsov
@ 2009-04-23 17:07 ` Afanasov Dmitry
2009-04-23 19:43 ` Denis Kuznetsov
2009-04-23 20:10 ` Sergey
2009-04-24 5:20 ` [Sysadmins] postfix header_checks Vladimir V. Kamarzin
2 siblings, 1 reply; 28+ messages in thread
From: Afanasov Dmitry @ 2009-04-23 17:07 UTC (permalink / raw)
To: kde, ALT Linux sysadmin discuss
2009/4/23, Denis Kuznetsov <kde@kde.kiev.ua>:
> Доброго времени суток!
> в main.cf прописано:
> header_checks = pcre:/etc/postfix/header_checks
> mime_header_checks = pcre:/etc/postfix/header_checks
>
> соответственно в /etc/postfix/header_checks:
> /^Received:.*\.altlinux\.org/ OK
мне вот интересно, а эти шаблоны переводу строк учитывают? в Received
же не всегда в одну строку укладывают.
--
С уважением
Афанасов Дмитрий
^ permalink raw reply [flat|nested] 28+ messages in thread
* Re: [Sysadmins] postfix header_checks
2009-04-23 17:07 ` Afanasov Dmitry
@ 2009-04-23 19:43 ` Denis Kuznetsov
0 siblings, 0 replies; 28+ messages in thread
From: Denis Kuznetsov @ 2009-04-23 19:43 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Доброго времени суток!
On Thursday 23 April 2009 20:07:38 Afanasov Dmitry wrote:
> 2009/4/23, Denis Kuznetsov <kde@kde.kiev.ua>:
> > Доброго времени суток!
> > в main.cf прописано:
> > header_checks = pcre:/etc/postfix/header_checks
> > mime_header_checks = pcre:/etc/postfix/header_checks
> >
> > соответственно в /etc/postfix/header_checks:
> > /^Received:.*\.altlinux\.org/ OK
>
> мне вот интересно, а эти шаблоны переводу строк учитывают? в Received
> же не всегда в одну строку укладывают.
я бы сказал что обычно не в одну строку но Received: from $hostname идет в
одну строку, и по заголовку "Received: from lists.altlinux.org" встречаеться
обычно раньше чем то что обычно попадает под Reject. Или постфикс тоже, как и
принято админами читает Received снизу в вверх ?
--
Denis Kuznetsov
mailto: kde@kde.kiev.ua
jabber: denis.e.kuznetsov@gmail.com
^ permalink raw reply [flat|nested] 28+ messages in thread
* Re: [Sysadmins] postfix header_checks
2009-04-23 14:49 [Sysadmins] postfix header_checks Denis Kuznetsov
2009-04-23 17:07 ` Afanasov Dmitry
@ 2009-04-23 20:10 ` Sergey
2009-04-23 20:44 ` Denis Kuznetsov
2009-04-24 5:20 ` [Sysadmins] postfix header_checks Vladimir V. Kamarzin
2 siblings, 1 reply; 28+ messages in thread
From: Sergey @ 2009-04-23 20:10 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
On Четверг 23 апреля 2009, Denis Kuznetsov wrote:
> соответственно в /etc/postfix/header_checks:
> /^Received:.*\.altlinux\.org/ OK
> /^Received:.*\d{1,3}-\d{1,3}[-\.]\d{1,3}-\d{1,3}/ REJECT Please use ISP relay
> /^Received:.*dsl\.dynamic\d{1,}\.ttnet\.net\.tr/ REJECT Please use ISP relay
А почему Received, а не hostname на этапе connect ? Тут ведь письмо получено
уже, соответственно трафик...
--
С уважением, Сергей
a_s_y@sama.ru
^ permalink raw reply [flat|nested] 28+ messages in thread
* Re: [Sysadmins] postfix header_checks
2009-04-23 20:10 ` Sergey
@ 2009-04-23 20:44 ` Denis Kuznetsov
2009-04-24 6:57 ` Sergey
0 siblings, 1 reply; 28+ messages in thread
From: Denis Kuznetsov @ 2009-04-23 20:44 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Доброго времени суток!
On Thursday 23 April 2009 23:10:11 Sergey wrote:
> On Четверг 23 апреля 2009, Denis Kuznetsov wrote:
> > соответственно в /etc/postfix/header_checks:
> > /^Received:.*\.altlinux\.org/ OK
> > /^Received:.*\d{1,3}-\d{1,3}[-\.]\d{1,3}-\d{1,3}/ REJECT Please use ISP
> > relay /^Received:.*dsl\.dynamic\d{1,}\.ttnet\.net\.tr/ REJECT Please
> > use ISP relay
>
> А почему Received, а не hostname на этапе connect ? Тут ведь письмо
> получено уже, соответственно трафик...
на этапе connect достаточно:
smtpd_helo_restrictions =
[....]
reject_unknown_helo_hostname
reject_invalid_helo_hostname
reject_non_fqdn_helo_hostname
но иногда этого не хватает для полноценной фильтрации спама.
--
Denis Kuznetsov
mailto: kde@kde.kiev.ua
jabber: denis.e.kuznetsov@gmail.com
^ permalink raw reply [flat|nested] 28+ messages in thread
* Re: [Sysadmins] postfix header_checks
2009-04-23 14:49 [Sysadmins] postfix header_checks Denis Kuznetsov
2009-04-23 17:07 ` Afanasov Dmitry
2009-04-23 20:10 ` Sergey
@ 2009-04-24 5:20 ` Vladimir V. Kamarzin
2009-04-24 8:56 ` Denis Kuznetsov
2 siblings, 1 reply; 28+ messages in thread
From: Vladimir V. Kamarzin @ 2009-04-24 5:20 UTC (permalink / raw)
To: kde; +Cc: ALT Linux sysadmin discuss
>>>>> On 23 Apr 2009 at 20:49 "DK" == Denis Kuznetsov writes:
DK> Доброго времени суток!
DK> в main.cf прописано:
DK> header_checks = pcre:/etc/postfix/header_checks
DK> mime_header_checks = pcre:/etc/postfix/header_checks
DK> соответственно в /etc/postfix/header_checks:
DK> /^Received:.*\.altlinux\.org/ OK
DK> /^Received:.*\d{1,3}-\d{1,3}[-\.]\d{1,3}-\d{1,3}/ REJECT Please use ISP relay
DK> /^Received:.*dsl\.dynamic\d{1,}\.ttnet\.net\.tr/ REJECT Please use ISP relay
Each message header or message body line is compared against a list of patterns. When a
match is found the corresponding action is executed, and the matching process is repeated for
the next message header or message body line.
Как уже сказали, используйте check_client_access
--
vvk
Postfix page on f.i: http://freesource.info/wiki/Dokumentacija/Postfix
Russian Postfix irc: irc.freenode.net #postfix-ru
^ permalink raw reply [flat|nested] 28+ messages in thread
* Re: [Sysadmins] postfix header_checks
2009-04-23 20:44 ` Denis Kuznetsov
@ 2009-04-24 6:57 ` Sergey
2009-04-24 7:50 ` Владимир
0 siblings, 1 reply; 28+ messages in thread
From: Sergey @ 2009-04-24 6:57 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
On Friday 24 April 2009, Denis Kuznetsov wrote:
> > А почему Received, а не hostname на этапе connect ? Тут ведь письмо
> > получено уже, соответственно трафик...
>
> на этапе connect достаточно:
> smtpd_helo_restrictions =
> [....]
> reject_unknown_helo_hostname
> reject_invalid_helo_hostname
> reject_non_fqdn_helo_hostname
>
> но иногда этого не хватает для полноценной фильтрации спама.
Я не про это. Я про то, что информация о хосте отправителя уже есть
на этапе установления соединения. Зачем ждать data, чтобы проверить
Received ?
--
С уважением, Сергей
a_s_y@sama.ru
^ permalink raw reply [flat|nested] 28+ messages in thread
* Re: [Sysadmins] postfix header_checks
2009-04-24 6:57 ` Sergey
@ 2009-04-24 7:50 ` Владимир
2009-04-24 8:09 ` Max Ivanov
2009-04-24 12:38 ` Sergey
0 siblings, 2 replies; 28+ messages in thread
From: Владимир @ 2009-04-24 7:50 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Sergey пишет:
> On Friday 24 April 2009, Denis Kuznetsov wrote:
>
>
>>> А почему Received, а не hostname на этапе connect ? Тут ведь письмо
>>> получено уже, соответственно трафик...
>>>
>> на этапе connect достаточно:
>> smtpd_helo_restrictions =
>> [....]
>> reject_unknown_helo_hostname
>> reject_invalid_helo_hostname
>> reject_non_fqdn_helo_hostname
>>
>> но иногда этого не хватает для полноценной фильтрации спама.
>>
>
> Я не про это. Я про то, что информация о хосте отправителя уже есть
> на этапе установления соединения. Зачем ждать data, чтобы проверить
> Received ?
>
>
Это "теория", а если внимательно читать логи, то можно видеть, что и
спамеры, и множество
законных отправителей (@mail.ru @yandex.ru @gmail.com) легко обходят
smtpd_helo_restrictions, скрывая информацию о хосте отправителя на этапе
установления соединения.
Так что есть нужда в дополнениях к, во многом теоретическим, restrictions.
Вот только не уверен, что header_checks это именно то, что надо.
Но если вдруг окажется эффективным, хотелось бы услышать об этом.
--
Vladimir Kholmanov
fmfm@mmascience.ru
fmfm@mma.ru
^ permalink raw reply [flat|nested] 28+ messages in thread
* Re: [Sysadmins] postfix header_checks
2009-04-24 7:50 ` Владимир
@ 2009-04-24 8:09 ` Max Ivanov
2009-04-24 8:53 ` Владимир
2009-04-24 12:38 ` Sergey
1 sibling, 1 reply; 28+ messages in thread
From: Max Ivanov @ 2009-04-24 8:09 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
> Это "теория", а если внимательно читать логи, то можно видеть, что и
> спамеры, и множество
> законных отправителей (@mail.ru @yandex.ru @gmail.com) легко обходят
> smtpd_helo_restrictions, скрывая информацию о хосте отправителя на этапе
> установления соединения.
Как они это делают?
^ permalink raw reply [flat|nested] 28+ messages in thread
* Re: [Sysadmins] postfix header_checks
2009-04-24 8:09 ` Max Ivanov
@ 2009-04-24 8:53 ` Владимир
2009-04-24 9:18 ` Denis Kuznetsov
2009-04-24 11:05 ` Vladimir V. Kamarzin
0 siblings, 2 replies; 28+ messages in thread
From: Владимир @ 2009-04-24 8:53 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Max Ivanov пишет:
>> Это "теория", а если внимательно читать логи, то можно видеть, что и
>> спамеры, и множество
>> законных отправителей (@mail.ru @yandex.ru @gmail.com) легко обходят
>> smtpd_helo_restrictions, скрывая информацию о хосте отправителя на этапе
>> установления соединения.
>>
>
> Как они это делают?
>
Если коротко, то "непроизвольно".
Но, чтобы раскопать, как это получается, пришлось повозиться.
1. Диалог helo предполагает, что отправитель и получатель, либо находятся
в одной сети, либо разделены "обычным" маршрутизатором, либо разделены
"обычным" nat. А вот через посредника proxy диалог без нарушений
протокола проблематичен.
Или это не так?
2. Широко распространенные cisco firewolls только теоретически являются
"обычными" пакетными фильтрами.
Для повышения защищенности, на отдельных этапах соединения они срываются
на проксирование.
Или это не так?
3. Посмотрите в журнале, как поступают письма, например, от yandex.ru (у
меня стойкое ощущение,
что их web клиенты сидят за циской). Вы увидите, что диалог "поцокан
проксей", а информация о helo_hostname вовсе отсутсвует. Хотя письма
принимаются.
Или это не так?
Вопрос, что лучше, не принимать писем от всех клиентов сидящих за
цисками, или оставлять дырку для спамеров. Судя по всему, разработчики
postfix из двух зол выбрали меньшее. Камень не в циску, а в админов,
которые прячут smtp клиентов за цисками.
--
Vladimir Kholmanov
fmfm@mmascience.ru
fmfm@mma.ru
^ permalink raw reply [flat|nested] 28+ messages in thread
* Re: [Sysadmins] postfix header_checks
2009-04-24 5:20 ` [Sysadmins] postfix header_checks Vladimir V. Kamarzin
@ 2009-04-24 8:56 ` Denis Kuznetsov
2009-04-24 9:22 ` Владимир
0 siblings, 1 reply; 28+ messages in thread
From: Denis Kuznetsov @ 2009-04-24 8:56 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Доброго времени суток!
On Friday 24 April 2009 08:20:36 Vladimir V. Kamarzin wrote:
> >>>>> On 23 Apr 2009 at 20:49 "DK" == Denis Kuznetsov writes:
>
> DK> Доброго времени суток!
> DK> в main.cf прописано:
> DK> header_checks = pcre:/etc/postfix/header_checks
> DK> mime_header_checks = pcre:/etc/postfix/header_checks
>
> DK> соответственно в /etc/postfix/header_checks:
> DK> /^Received:.*\.altlinux\.org/ OK
> DK> /^Received:.*\d{1,3}-\d{1,3}[-\.]\d{1,3}-\d{1,3}/ REJECT Please use
> ISP relay DK> /^Received:.*dsl\.dynamic\d{1,}\.ttnet\.net\.tr/ REJECT
> Please use ISP relay
>
> Each message header or message body line is compared against a
> list of patterns. When a match is found the corresponding action is
> executed, and the matching process is repeated for the next message header
> or message body line.
>
> Как уже сказали, используйте check_client_access
Я так понимаю Вы имели ввиду нечто вида:
smtpd_recipient_restrictions =
....
check_client_access pcre:/etc/postfix/access_client_pcre,
....
Попробовал, работает. Посмотрим насколько эффективно это будет работать.
--
Denis Kuznetsov
mailto: kde@kde.kiev.ua
jabber: denis.e.kuznetsov@gmail.com
^ permalink raw reply [flat|nested] 28+ messages in thread
* Re: [Sysadmins] postfix header_checks
2009-04-24 8:53 ` Владимир
@ 2009-04-24 9:18 ` Denis Kuznetsov
2009-04-24 11:05 ` Vladimir V. Kamarzin
1 sibling, 0 replies; 28+ messages in thread
From: Denis Kuznetsov @ 2009-04-24 9:18 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Доброго времени суток!
On Friday 24 April 2009 11:53:59 Владимир wrote:
> Max Ivanov пишет:
> >> Это "теория", а если внимательно читать логи, то можно видеть, что и
> >> спамеры, и множество
> >> законных отправителей (@mail.ru @yandex.ru @gmail.com) легко обходят
> >> smtpd_helo_restrictions, скрывая информацию о хосте отправителя на этапе
> >> установления соединения.
> >
> > Как они это делают?
>
> Если коротко, то "непроизвольно".
> Но, чтобы раскопать, как это получается, пришлось повозиться.
>
> 1. Диалог helo предполагает, что отправитель и получатель, либо находятся
> в одной сети, либо разделены "обычным" маршрутизатором, либо разделены
> "обычным" nat. А вот через посредника proxy диалог без нарушений
> протокола проблематичен.
> Или это не так?
>
> 2. Широко распространенные cisco firewolls только теоретически являются
> "обычными" пакетными фильтрами.
> Для повышения защищенности, на отдельных этапах соединения они срываются
> на проксирование.
> Или это не так?
>
> 3. Посмотрите в журнале, как поступают письма, например, от yandex.ru (у
> меня стойкое ощущение,
> что их web клиенты сидят за циской). Вы увидите, что диалог "поцокан
> проксей", а информация о helo_hostname вовсе отсутсвует. Хотя письма
> принимаются.
> Или это не так?
>
> Вопрос, что лучше, не принимать писем от всех клиентов сидящих за
> цисками, или оставлять дырку для спамеров. Судя по всему, разработчики
> postfix из двух зол выбрали меньшее. Камень не в циску, а в админов,
> которые прячут smtp клиентов за цисками.
Именно по этой причине меня и смущает:
check_client_access pcre:/etc/postfix/access_client_pcre
и в добавку к нему таки полезен header_checks на предмет Received.
--
Denis Kuznetsov
mailto: kde@kde.kiev.ua
jabber: denis.e.kuznetsov@gmail.com
^ permalink raw reply [flat|nested] 28+ messages in thread
* Re: [Sysadmins] postfix header_checks
2009-04-24 8:56 ` Denis Kuznetsov
@ 2009-04-24 9:22 ` Владимир
2009-04-24 10:57 ` Vladimir V. Kamarzin
2009-04-24 11:19 ` Denis Kuznetsov
0 siblings, 2 replies; 28+ messages in thread
From: Владимир @ 2009-04-24 9:22 UTC (permalink / raw)
To: kde, ALT Linux sysadmin discuss
Denis Kuznetsov пишет:
>> Как уже сказали, используйте check_client_access
>>
>
> Я так понимаю Вы имели ввиду нечто вида:
> smtpd_recipient_restrictions =
> ....
> check_client_access pcre:/etc/postfix/access_client_pcre,
> ....
>
> Попробовал, работает. Посмотрим насколько эффективно это будет работать.
>
>
Шутите? Либо это не работает, либо опечатка в тексте.
check_client_access принимает в качестве аргумента IP address
Для pcre используется check_helo_access (в качестве аргумента fqdn)
check_helo_access имеет смысл перед reject_unknown_helo_hostname для
снижения нагрузки
--
Vladimir Kholmanov
fmfm@mmascience.ru
fmfm@mma.ru
^ permalink raw reply [flat|nested] 28+ messages in thread
* Re: [Sysadmins] postfix header_checks
2009-04-24 9:22 ` Владимир
@ 2009-04-24 10:57 ` Vladimir V. Kamarzin
2009-04-24 11:13 ` Denis Kuznetsov
2009-04-24 11:34 ` Владимир
2009-04-24 11:19 ` Denis Kuznetsov
1 sibling, 2 replies; 28+ messages in thread
From: Vladimir V. Kamarzin @ 2009-04-24 10:57 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
>>>>> On 24 Apr 2009 at 15:22 "f" == fmfm writes:
>>> Как уже сказали, используйте check_client_access
>>>
>>
>> Я так понимаю Вы имели ввиду нечто вида:
>> smtpd_recipient_restrictions =
>> ....
>> check_client_access pcre:/etc/postfix/access_client_pcre,
>> ....
>>
>> Попробовал, работает. Посмотрим насколько эффективно это будет работать.
>>
>>
f> Шутите? Либо это не работает, либо опечатка в тексте.
Вам стоит перечитать документацию.
f> check_client_access принимает в качестве аргумента IP address
check_client_access type:table
Search the specified access database for the client hostname, parent domains, client
IP address, or networks obtained by stripping least significant octets. See the
access(5) manual page for details.
--
vvk
Postfix page on f.i: http://freesource.info/wiki/Dokumentacija/Postfix
Russian Postfix irc: irc.freenode.net #postfix-ru
^ permalink raw reply [flat|nested] 28+ messages in thread
* Re: [Sysadmins] postfix header_checks
2009-04-24 8:53 ` Владимир
2009-04-24 9:18 ` Denis Kuznetsov
@ 2009-04-24 11:05 ` Vladimir V. Kamarzin
1 sibling, 0 replies; 28+ messages in thread
From: Vladimir V. Kamarzin @ 2009-04-24 11:05 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
>>>>> On 24 Apr 2009 at 14:53 "f" == fmfm writes:
f> 1. Диалог helo предполагает, что отправитель и получатель, либо находятся
f> в одной сети, либо разделены "обычным" маршрутизатором, либо разделены
f> "обычным" nat. А вот через посредника proxy диалог без нарушений
f> протокола проблематичен.
f> Или это не так?
Это не так. почитайте RFC 5321 уже.
--
vvk
Postfix page on f.i: http://freesource.info/wiki/Dokumentacija/Postfix
Russian Postfix irc: irc.freenode.net #postfix-ru
^ permalink raw reply [flat|nested] 28+ messages in thread
* Re: [Sysadmins] postfix header_checks
2009-04-24 10:57 ` Vladimir V. Kamarzin
@ 2009-04-24 11:13 ` Denis Kuznetsov
2009-04-24 11:34 ` Владимир
1 sibling, 0 replies; 28+ messages in thread
From: Denis Kuznetsov @ 2009-04-24 11:13 UTC (permalink / raw)
To: Vladimir V. Kamarzin; +Cc: ALT Linux sysadmin discuss
Доброго времени суток!
On Friday 24 April 2009 13:57:08 Vladimir V. Kamarzin wrote:
> >>>>> On 24 Apr 2009 at 15:22 "f" == fmfm writes:
> >>>
> >>> Как уже сказали, используйте check_client_access
> >>
> >> Я так понимаю Вы имели ввиду нечто вида:
> >> smtpd_recipient_restrictions =
> >> ....
> >> check_client_access pcre:/etc/postfix/access_client_pcre,
> >> ....
> >>
> >> Попробовал, работает. Посмотрим насколько эффективно это будет работать.
>
> f> Шутите? Либо это не работает, либо опечатка в тексте.
>
> Вам стоит перечитать документацию.
>
> f> check_client_access принимает в качестве аргумента IP address
>
> check_client_access type:table
> Search the specified access database for the client hostname,
> parent domains, client IP address, or networks obtained by
> stripping least significant octets. See the access(5) manual page for
> details.
никак не шучу. именно работает, сам был удивлен.
--
Denis Kuznetsov
mailto: kde@kde.kiev.ua
jabber: denis.e.kuznetsov@gmail.com
^ permalink raw reply [flat|nested] 28+ messages in thread
* Re: [Sysadmins] postfix header_checks
2009-04-24 9:22 ` Владимир
2009-04-24 10:57 ` Vladimir V. Kamarzin
@ 2009-04-24 11:19 ` Denis Kuznetsov
2009-04-24 11:31 ` Denis Kuznetsov
1 sibling, 1 reply; 28+ messages in thread
From: Denis Kuznetsov @ 2009-04-24 11:19 UTC (permalink / raw)
To: Владимир
Cc: ALT Linux sysadmin discuss
Доброго времени суток!
On Friday 24 April 2009 12:22:40 Владимир wrote:
> Denis Kuznetsov пишет:
> >> Как уже сказали, используйте check_client_access
> >
> > Я так понимаю Вы имели ввиду нечто вида:
> > smtpd_recipient_restrictions =
> > ....
> > check_client_access pcre:/etc/postfix/access_client_pcre,
> > ....
> >
> > Попробовал, работает. Посмотрим насколько эффективно это будет работать.
>
> Шутите? Либо это не работает, либо опечатка в тексте.
>
> check_client_access принимает в качестве аргумента IP address
до сегодня и я так думал.
> Для pcre используется check_helo_access (в качестве аргумента fqdn)
>
> check_helo_access имеет смысл перед reject_unknown_helo_hostname для
> снижения нагрузки
дык это что, получаеться недокументированая фича?
--
Denis Kuznetsov
mailto: kde@kde.kiev.ua
jabber: denis.e.kuznetsov@gmail.com
^ permalink raw reply [flat|nested] 28+ messages in thread
* Re: [Sysadmins] postfix header_checks
2009-04-24 11:19 ` Denis Kuznetsov
@ 2009-04-24 11:31 ` Denis Kuznetsov
0 siblings, 0 replies; 28+ messages in thread
From: Denis Kuznetsov @ 2009-04-24 11:31 UTC (permalink / raw)
To: sysadmins
Доброго времени суток!
On Friday 24 April 2009 14:19:05 Denis Kuznetsov wrote:
> Доброго времени суток!
>
> On Friday 24 April 2009 12:22:40 Владимир wrote:
> > Denis Kuznetsov пишет:
> > >> Как уже сказали, используйте check_client_access
> > >
> > > Я так понимаю Вы имели ввиду нечто вида:
> > > smtpd_recipient_restrictions =
> > > ....
> > > check_client_access pcre:/etc/postfix/access_client_pcre,
> > > ....
> > >
> > > Попробовал, работает. Посмотрим насколько эффективно это будет
> > > работать.
> >
> > Шутите? Либо это не работает, либо опечатка в тексте.
> >
> > check_client_access принимает в качестве аргумента IP address
>
> до сегодня и я так думал.
>
> > Для pcre используется check_helo_access (в качестве аргумента fqdn)
> >
> > check_helo_access имеет смысл перед reject_unknown_helo_hostname для
> > снижения нагрузки
>
> дык это что, получаеться недокументированая фича?
Сорри, таки фича документирована в man 5 access.
--
Denis Kuznetsov
mailto: kde@kde.kiev.ua
jabber: denis.e.kuznetsov@gmail.com
^ permalink raw reply [flat|nested] 28+ messages in thread
* Re: [Sysadmins] postfix header_checks
2009-04-24 10:57 ` Vladimir V. Kamarzin
2009-04-24 11:13 ` Denis Kuznetsov
@ 2009-04-24 11:34 ` Владимир
2009-04-24 11:54 ` Denis Kuznetsov
1 sibling, 1 reply; 28+ messages in thread
From: Владимир @ 2009-04-24 11:34 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Vladimir V. Kamarzin пишет:
>>>>>> On 24 Apr 2009 at 15:22 "f" == fmfm writes:
>>>>>>
>
>
>>>> Как уже сказали, используйте check_client_access
>>>>
>>>>
>>> Я так понимаю Вы имели ввиду нечто вида:
>>> smtpd_recipient_restrictions =
>>> ....
>>> check_client_access pcre:/etc/postfix/access_client_pcre,
>>> ....
>>>
>>> Попробовал, работает. Посмотрим насколько эффективно это будет работать.
>>>
>>>
>>>
> f> Шутите? Либо это не работает, либо опечатка в тексте.
>
> Вам стоит перечитать документацию.
>
> f> check_client_access принимает в качестве аргумента IP address
>
> check_client_access type:table
> Search the specified access database for the client hostname, parent domains, client
> IP address, or networks obtained by stripping least significant octets. See the
> access(5) manual page for details.
>
>
>
Прочтите внимательней, или, в огороде бузина, а в Киеве дядька.
Одно дело, список всех возможных аргументов в таблицах access
Второе дело, конкретная проверка check_client_access, где берется IP
адрес клиента,
сравнивается с первым полем таблицы и, если нет совпадения или оно не
похожее на IP (диапазон IP),
строка игнорируется.
Иначе, Вам стоит перечитать документацию, не ограничиваясь одной цитатой
не к месту
(и полезно проверять на практике, правильно ли воспринято написанное).
--
Vladimir Kholmanov
fmfm@mmascience.ru
fmfm@mma.ru
^ permalink raw reply [flat|nested] 28+ messages in thread
* Re: [Sysadmins] postfix header_checks
2009-04-24 11:34 ` Владимир
@ 2009-04-24 11:54 ` Denis Kuznetsov
0 siblings, 0 replies; 28+ messages in thread
From: Denis Kuznetsov @ 2009-04-24 11:54 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Доброго времени суток!
>
> Иначе, Вам стоит перечитать документацию, не ограничиваясь одной цитатой
> не к месту
> (и полезно проверять на практике, правильно ли воспринято написанное).
Да, согласен, еще полезно выспатся перед курением манов (это касательно меня).
Недосмотрел, было так-же и:
smtpd_helo_restrictions =
permit_mynetworks,
reject_invalid_helo_hostname,
reject_non_fqdn_hostname,
reject_non_fqdn_helo_hostname,
reject_unknown_helo_hostname,
check_client_access pcre:/etc/postfix/access_client_pcre
поэтому просто снес лишнюю строку из smtpd_recipient_restrictions как
результат ничего не поменялось, све работает.
ЗЫ: сорри за дезинформацию. (/me ущел спать).
--
Denis Kuznetsov
mailto: kde@kde.kiev.ua
jabber: denis.e.kuznetsov@gmail.com
^ permalink raw reply [flat|nested] 28+ messages in thread
* Re: [Sysadmins] postfix header_checks
2009-04-24 7:50 ` Владимир
2009-04-24 8:09 ` Max Ivanov
@ 2009-04-24 12:38 ` Sergey
2009-04-24 12:46 ` Max Ivanov
` (2 more replies)
1 sibling, 3 replies; 28+ messages in thread
From: Sergey @ 2009-04-24 12:38 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
On Friday 24 April 2009, Владимир wrote:
> законных отправителей (@mail.ru @yandex.ru @gmail.com) легко обходят
> smtpd_helo_restrictions, скрывая информацию о хосте отправителя на этапе
> установления соединения.
При чём тут helo ? Речь об анализе IP-адреса SMTP-отправителя. Опять
же, если смотреть все Received, срежется куча нормальной почты, которая
идёт от клиентов через сервера провайдеров. Проверять надо именно того,
кто пытается доставить на сервер.
--
С уважением, Сергей
a_s_y@sama.ru
^ permalink raw reply [flat|nested] 28+ messages in thread
* Re: [Sysadmins] postfix header_checks
2009-04-24 12:38 ` Sergey
@ 2009-04-24 12:46 ` Max Ivanov
2009-04-27 6:36 ` Владимир
2009-09-24 5:37 ` Roman Savochenko
2009-09-24 5:38 ` [Sysadmins] Странные проблемы с сетью Roman Savochenko
2 siblings, 1 reply; 28+ messages in thread
From: Max Ivanov @ 2009-04-24 12:46 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
>> законных отправителей (@mail.ru @yandex.ru @gmail.com) легко обходят
>> smtpd_helo_restrictions, скрывая информацию о хосте отправителя на этапе
>> установления соединения.
>
> При чём тут helo ? Речь об анализе IP-адреса SMTP-отправителя. Опять
> же, если смотреть все Received, срежется куча нормальной почты, которая
> идёт от клиентов через сервера провайдеров. Проверять надо именно того,
> кто пытается доставить на сервер.
Именно. Неважно за какими nat кто сидит, какие smtp proxy по пути
появились. Коннект на 25 порт приходит с какого-то определнного
адреса, при коннекте передается HELO имя. Если адрес резолвится в это
же самое имя, то это хороший признак, если нет, а также если адрес
резолвится в домен третьего и более уровня со словами dhcp,
dsl,nat,pool, то это плохой признак.
^ permalink raw reply [flat|nested] 28+ messages in thread
* Re: [Sysadmins] postfix header_checks
2009-04-24 12:46 ` Max Ivanov
@ 2009-04-27 6:36 ` Владимир
2009-04-27 7:29 ` Sergey
2009-04-27 11:05 ` Anton Kvashin
0 siblings, 2 replies; 28+ messages in thread
From: Владимир @ 2009-04-27 6:36 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Max Ivanov пишет:
>>> законных отправителей (@mail.ru @yandex.ru @gmail.com) легко обходят
>>> smtpd_helo_restrictions, скрывая информацию о хосте отправителя на этапе
>>> установления соединения.
>>>
>> При чём тут helo ? Речь об анализе IP-адреса SMTP-отправителя. Опять
>> же, если смотреть все Received, срежется куча нормальной почты, которая
>> идёт от клиентов через сервера провайдеров. Проверять надо именно того,
>> кто пытается доставить на сервер.
>>
>
> Именно. Неважно за какими nat кто сидит, какие smtp proxy по пути
> появились. Коннект на 25 порт приходит с какого-то определнного
> адреса, при коннекте передается HELO имя.
Об этом и речь. Если smtp client сидит за проксирующем сетевым устройством,
то поле helo_hostname не передается.
(просмотрите журнал на наличие записей с подстрокой
client=unknown[IP_address])
Извиняюсь, сейчас нет времени продолжать.
> Если адрес резолвится в это
> же самое имя, то это хороший признак, если нет, а также если адрес
> резолвится в домен третьего и более уровня со словами dhcp,
> dsl,nat,pool, то это плохой признак.
>
--
Vladimir Kholmanov
fmfm@mmascience.ru
fmfm@mma.ru
^ permalink raw reply [flat|nested] 28+ messages in thread
* Re: [Sysadmins] postfix header_checks
2009-04-27 6:36 ` Владимир
@ 2009-04-27 7:29 ` Sergey
2009-04-27 11:05 ` Anton Kvashin
1 sibling, 0 replies; 28+ messages in thread
From: Sergey @ 2009-04-27 7:29 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
On Monday 27 April 2009, Владимир wrote:
> Об этом и речь. Если smtp client сидит за проксирующем сетевым устройством,
> то поле helo_hostname не передается.
>
> (просмотрите журнал на наличие записей с подстрокой
> client=unknown[IP_address])
Это неверная информация. Читайте RFC2821. Например, на тему address literal
и helo вообще.
--
С уважением, Сергей
a_s_y@sama.ru
^ permalink raw reply [flat|nested] 28+ messages in thread
* Re: [Sysadmins] postfix header_checks
2009-04-27 6:36 ` Владимир
2009-04-27 7:29 ` Sergey
@ 2009-04-27 11:05 ` Anton Kvashin
1 sibling, 0 replies; 28+ messages in thread
From: Anton Kvashin @ 2009-04-27 11:05 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Владимир пишет:
> Max Ivanov пишет:
>>>> законных отправителей (@mail.ru @yandex.ru @gmail.com) легко обходят
>>>> smtpd_helo_restrictions, скрывая информацию о хосте отправителя на
>>>> этапе
>>>> установления соединения.
>>>>
>>> При чём тут helo ? Речь об анализе IP-адреса SMTP-отправителя. Опять
>>> же, если смотреть все Received, срежется куча нормальной почты, которая
>>> идёт от клиентов через сервера провайдеров. Проверять надо именно того,
>>> кто пытается доставить на сервер.
>>>
>>
>> Именно. Неважно за какими nat кто сидит, какие smtp proxy по пути
>> появились. Коннект на 25 порт приходит с какого-то определнного
>> адреса, при коннекте передается HELO имя.
>
> Об этом и речь. Если smtp client сидит за проксирующем сетевым устройством,
> то поле helo_hostname не передается.
Смысл прокси, если есть нарушение протокола?
Прокси можно организовать на MTA, который отдаст в helo/ehlo то, что
пожелает администратор (PTR, все дела). Возможно нарушив SPF.
PIX скрывает баннер SMTP-сервера, ответ на приветствие, при подключении
к нему. Само подключение с защищаемого сервера идет валидным (что от
него и требуется).
--
Anton Kvashin
^ permalink raw reply [flat|nested] 28+ messages in thread
* Re: [Sysadmins] postfix header_checks
2009-04-24 12:38 ` Sergey
2009-04-24 12:46 ` Max Ivanov
@ 2009-09-24 5:37 ` Roman Savochenko
2009-09-24 10:04 ` Andrii Dobrovol`s`kii
2009-09-24 5:38 ` [Sysadmins] Странные проблемы с сетью Roman Savochenko
2 siblings, 1 reply; 28+ messages in thread
From: Roman Savochenko @ 2009-09-24 5:37 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
[-- Attachment #1: Type: text/plain, Size: 850 bytes --]
Sergey wrote:
>> В то же время на второй машине обнаруживается блокирование её сетевой
>> картой свича к которому она подключена. Фактически все машины,
>> подключенные к этому свичу из сети выпадают. Если выдернуть шнур этой
>> машины, то свич начинает нормально работать.
> А tcpdump что-нибудь показывает ? Если свич управляемый, то состояние
> порта тоже посмотреть не плохо (трафик, ошибки и т.п.). Может что-то
> прояснится.
Какой там tcpdump? Там интерфейс уже не реагирует ни на какие команды.
Любой запрос к сети уходит в глубокий ступор примерно на минуту.
Такое подозрение, что это аппаратная проблема. Толи контроллер сети
перегревается. Однако ранее это не замечалось и начало воспроизводиться
примерно после обновления ядра до 2.6.30-std-def-alt11. Откатил до
2.6.30-std-def-alt10 и уже сутки работает.
С уважением, Роман
[-- Attachment #2: rom_as.vcf --]
[-- Type: text/x-vcard, Size: 218 bytes --]
begin:vcard
fn:Roman Savochenko
n:Savochenko;Roman
adr;dom:;;;Dneprodzerjinsk
email;internet:rom_as@diyaorg.dp.ua
title:NIP "DIYA"
tel;work:NIP "DIYA"
tel;cell:+380679859815
x-mozilla-html:FALSE
version:2.1
end:vcard
^ permalink raw reply [flat|nested] 28+ messages in thread
* Re: [Sysadmins] Странные проблемы с сетью
2009-04-24 12:38 ` Sergey
2009-04-24 12:46 ` Max Ivanov
2009-09-24 5:37 ` Roman Savochenko
@ 2009-09-24 5:38 ` Roman Savochenko
2 siblings, 0 replies; 28+ messages in thread
From: Roman Savochenko @ 2009-09-24 5:38 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Sergey wrote:
>> В то же время на второй машине обнаруживается блокирование её сетевой
>> картой свича к которому она подключена. Фактически все машины,
>> подключенные к этому свичу из сети выпадают. Если выдернуть шнур этой
>> машины, то свич начинает нормально работать.
> А tcpdump что-нибудь показывает ? Если свич управляемый, то состояние
> порта тоже посмотреть не плохо (трафик, ошибки и т.п.). Может что-то
> прояснится.
Какой там tcpdump? Там интерфейс уже не реагирует ни на какие команды.
Любой запрос к сети уходит в глубокий ступор примерно на минуту.
Такое подозрение, что это аппаратная проблема. Толи контроллер сети
перегревается. Однако ранее это не замечалось и начало воспроизводиться
примерно после обновления ядра до 2.6.30-std-def-alt11. Откатил до
2.6.30-std-def-alt10 и уже сутки работает.
P.S. Прошу прощения за предыдущее сообщение с другой темой. Подписку
только восстановил, а отвечаю с архива.
С уважением, Роман
^ permalink raw reply [flat|nested] 28+ messages in thread
* Re: [Sysadmins] postfix header_checks
2009-09-24 5:37 ` Roman Savochenko
@ 2009-09-24 10:04 ` Andrii Dobrovol`s`kii
0 siblings, 0 replies; 28+ messages in thread
From: Andrii Dobrovol`s`kii @ 2009-09-24 10:04 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
[-- Attachment #1: Type: text/plain, Size: 1314 bytes --]
Roman Savochenko пишет:
> Sergey wrote:
>>> В то же время на второй машине обнаруживается блокирование её сетевой
>>> картой свича к которому она подключена. Фактически все машины,
>>> подключенные к этому свичу из сети выпадают. Если выдернуть шнур этой
>>> машины, то свич начинает нормально работать.
>
>> А tcpdump что-нибудь показывает ? Если свич управляемый, то состояние
>> порта тоже посмотреть не плохо (трафик, ошибки и т.п.). Может что-то
>> прояснится.
>
> Какой там tcpdump? Там интерфейс уже не реагирует ни на какие команды.
> Любой запрос к сети уходит в глубокий ступор примерно на минуту.
> Такое подозрение, что это аппаратная проблема. Толи контроллер сети
> перегревается. Однако ранее это не замечалось и начало воспроизводиться
> примерно после обновления ядра до 2.6.30-std-def-alt11. Откатил до
> 2.6.30-std-def-alt10 и уже сутки работает.
>
> С уважением, Роман
>
Ну так вешайте багу... Не тяните.
--
Rgrds,
Andriy
*********************************************************************
email: dobr at iop dot kiev dot ua Kyiv, Ukraine
Phone: (380-44) 525-7824 Department of Gas Electronics
Fax: (380-44) 525-2329 Institute of Physics of NASU
*********************************************************************
[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 198 bytes --]
^ permalink raw reply [flat|nested] 28+ messages in thread
end of thread, other threads:[~2009-09-24 10:04 UTC | newest]
Thread overview: 28+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2009-04-23 14:49 [Sysadmins] postfix header_checks Denis Kuznetsov
2009-04-23 17:07 ` Afanasov Dmitry
2009-04-23 19:43 ` Denis Kuznetsov
2009-04-23 20:10 ` Sergey
2009-04-23 20:44 ` Denis Kuznetsov
2009-04-24 6:57 ` Sergey
2009-04-24 7:50 ` Владимир
2009-04-24 8:09 ` Max Ivanov
2009-04-24 8:53 ` Владимир
2009-04-24 9:18 ` Denis Kuznetsov
2009-04-24 11:05 ` Vladimir V. Kamarzin
2009-04-24 12:38 ` Sergey
2009-04-24 12:46 ` Max Ivanov
2009-04-27 6:36 ` Владимир
2009-04-27 7:29 ` Sergey
2009-04-27 11:05 ` Anton Kvashin
2009-09-24 5:37 ` Roman Savochenko
2009-09-24 10:04 ` Andrii Dobrovol`s`kii
2009-09-24 5:38 ` [Sysadmins] Странные проблемы с сетью Roman Savochenko
2009-04-24 5:20 ` [Sysadmins] postfix header_checks Vladimir V. Kamarzin
2009-04-24 8:56 ` Denis Kuznetsov
2009-04-24 9:22 ` Владимир
2009-04-24 10:57 ` Vladimir V. Kamarzin
2009-04-24 11:13 ` Denis Kuznetsov
2009-04-24 11:34 ` Владимир
2009-04-24 11:54 ` Denis Kuznetsov
2009-04-24 11:19 ` Denis Kuznetsov
2009-04-24 11:31 ` Denis Kuznetsov
ALT Linux sysadmins discussion
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \
sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com
public-inbox-index sysadmins
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sysadmins
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git