Muff's website forum
FreeBSd => Почта => Тема начата: Trennis от Октября 06, 2011, 12:56:39 pm
-
Добрый день, очередной косяк возник во время эксплуатации.
Значит дело вот в чём, есть кусок конфига exim.
# Список сетей, которым будет разрешена отправка без авторизации.
# Перечисляем сети, которые будут пользоваться даным сервером для
# отправки почты.
hostlist relay_from_hosts = localhost : 127.0.0.1 : 192.168.0.0/24
При таком раскладе письма прекрасно отправляются с почтовых программ, типа outlook, но, при использовании roundcube, выдаёт ошибку и блочит по правилу:
# Разрешаем почту от хостов в релейных доменах.
accept hosts = +relay_from_hosts
accept authenticated = *
deny message = relay not permitted
В логах это выглядит так:
Oct 6 11:36:48 gate exim[38772]: 2011-10-06 11:36:48 SMTP connection from [внешний ip] (TCP/IP connection count = 1)
Oct 6 11:36:49 gate exim[67229]: 2011-10-06 11:36:49 H=eth158-198.prov.ru (192.168.0.100) [внешний ip] F=<info@bief.ru> rejected RCPT <vasiya@mail.ru>: relay not permitted
Oct 6 11:36:49 gate exim[67229]: 2011-10-06 11:36:49 SMTP connection from eth158-198.prov.ru (192.168.0.100) [внешний ip] closed by QUIT
Я так понимаю тут и обратную зону надо крутить, но суть вопроса в следующем.
Я изменил настройки в Exime вот так:
# Список сетей, которым будет разрешена отправка без авторизации.
# Перечисляем сети, которые будут пользоваться даным сервером для
# отправки почты.
hostlist relay_from_hosts = localhost : 127.0.0.1 : 192.168.0.0/24 : Внешний ip/30И всё стало работать. Из roundcube всё стало нормально отправляться. Пока собственно говоря им никто ещё не пользуется, но хотелось бы всё же до ума довести, чтобы было как положено.
Так вот не будет ли каких либо последствий от таких изменений? Не смогут ли кто-нить с внешки использовать как релей и слать от нас почту, честно ещё плохо себе представляю как это происходит, потому прошу Вашего совета.
Заранее спасибо. :)
-
Для начала измените маску сети на /32 вместо /30. Если указать маску /30, то имеем вхождение 4 ip-адресов, а при /32 - вхождение только одного ip-адреса. Рекомендую ознакомиться с этой информацией: http://muff.kiev.ua/content/cidr-tablitsa-preobrazovaniya (http://muff.kiev.ua/content/cidr-tablitsa-preobrazovaniya)
Злоумышленники воспользоваться этим IP-адресом не смогут, поскольку он присвоен серверу. Так что все правильно.
А на счет open-relay - воспользуйтесь вот этой ссылкой для проверки: http://mxtoolbox.com/diagnostic.aspx (http://mxtoolbox.com/diagnostic.aspx)
-
Да, я знаю, что 30 это 4 хоста, просто при подключении к сети провайдера стоит именно 30. Подумал, как бы потом не возникло проблем, если 32 поставить. :) Но попробую, как Вы сказали. Спасибо за ссылку. На опен-релей не тянем :D
А можно ли ещё прокомментировать пару строк:
Warning - Reverse DNS does not match SMTP Banner -> Это что?
0 seconds - Good on Connection time
Not an open relay. :D
5.086 seconds - Warning on Transaction time -> Типа большое время передачи?
-
Warning - Reverse DNS does not match SMTP Banner -> Это что?
Обратная зона не совпадает с приветствием почтовика (параметр smtp_banner в конфиге exim). В начале конфига было предупреждение об этом ньюансе:
# Имя хоста. Используется в HELO/EHLO. Необходимо, чтобы содержалось имя
# домена, для которого принимаем почту. Правильный вариант - чтобы этот
# параметр совпадал с именем MX-записи.Попробую обьяснить "на пальцах"... Воспользуемся для примера моим доменом - muff.kiev.ua. Попробуем приконнектиться к muff.kiev.ua на 25 порт:
# telnet muff.kiev.ua 25
Trying 91.196.100.50...
Connected to muff.kiev.ua.
Escape character is '^]'.
220 muff.kiev.ua ESMTP
Подключение иден на IP 91.196.100.50 и в приветствии имеем наличие muff.kiev.ua. Теперь проверим значение PTR-записи для IP 91.196.100.50:
# host 91.196.100.50
50.100.196.91.in-addr.arpa domain name pointer muff.kiev.ua.
Все совпадает. Прямая и обратная зона, плюс SMTP Banner. В Вашем случае необходимо будет подкорректировать какие-то из значений для соответствия RFC, иначе почтовик корректно не будет работать (на многих почтовых серверах выполняется проверка данных параметров).
5.086 seconds - Warning on Transaction time -> Типа большое время передачи?
Скорее всего не время передачи, а время ответа сервера. Однако, "правильные" сервера ждут ответа и больше, а спамерские - не могут ждать так долго (это затрата мощностей сервера) и разрывают соединение, не дождавшись ответа. Увеличение времени задержки ответа сервера служит небольшой защитой от СПАМа.
-
Ну я так понял - это всё делается через DNS? Это пожалуй оно из немногого, что я не до конца уяснил :)
А так пример понятен, спасибо.
Настройка ответа стало быть в конфиге того же, например, Exim'a делается? :)
-
Если дадите ойпишко SMTP-сервера, то смогу проверить точно и подсказать, какие записи необходимо изменить.
Настройка ответа - да, в конфиге екзима. Параметр smtp_banner. В статье http://muff.kiev.ua/content/exim-nastroika-pochtovogo-servera-na-baze-exim-s-khraneniem-spiska-polzovatelei-v-bd-mysql-i (http://muff.kiev.ua/content/exim-nastroika-pochtovogo-servera-na-baze-exim-s-khraneniem-spiska-polzovatelei-v-bd-mysql-i) он имеет значение smtp_banner = "$primary_hostname ESMTP Exim". Тоесть на значение smtp_banner влияет primary_hostname. Можно изменить primary_hostname, а можно изменить непосредственно smtp_banner, убрав из него переменную.
-
Послал в личку.