FreeBSd > Почта
Roundcube отправка почты
Trennis:
Добрый день, очередной косяк возник во время эксплуатации.
Значит дело вот в чём, есть кусок конфига exim.
--- Код: ---# Список сетей, которым будет разрешена отправка без авторизации.
# Перечисляем сети, которые будут пользоваться даным сервером для
# отправки почты.
hostlist relay_from_hosts = localhost : 127.0.0.1 : 192.168.0.0/24
--- Конец кода ---
При таком раскладе письма прекрасно отправляются с почтовых программ, типа outlook, но, при использовании roundcube, выдаёт ошибку и блочит по правилу:
--- Код: ---# Разрешаем почту от хостов в релейных доменах.
accept hosts = +relay_from_hosts
accept authenticated = *
deny message = relay not permitted
--- Конец кода ---
В логах это выглядит так:
--- Код: ---Oct 6 11:36:48 gate exim[38772]: 2011-10-06 11:36:48 SMTP connection from [внешний ip] (TCP/IP connection count = 1)
Oct 6 11:36:49 gate exim[67229]: 2011-10-06 11:36:49 H=eth158-198.prov.ru (192.168.0.100) [внешний ip] F=<info@bief.ru> rejected RCPT <vasiya@mail.ru>: relay not permitted
Oct 6 11:36:49 gate exim[67229]: 2011-10-06 11:36:49 SMTP connection from eth158-198.prov.ru (192.168.0.100) [внешний ip] closed by QUIT
--- Конец кода ---
Я так понимаю тут и обратную зону надо крутить, но суть вопроса в следующем.
Я изменил настройки в Exime вот так:
--- Код: ---# Список сетей, которым будет разрешена отправка без авторизации.
# Перечисляем сети, которые будут пользоваться даным сервером для
# отправки почты.
hostlist relay_from_hosts = localhost : 127.0.0.1 : 192.168.0.0/24 : Внешний ip/30
--- Конец кода ---
И всё стало работать. Из roundcube всё стало нормально отправляться. Пока собственно говоря им никто ещё не пользуется, но хотелось бы всё же до ума довести, чтобы было как положено.
Так вот не будет ли каких либо последствий от таких изменений? Не смогут ли кто-нить с внешки использовать как релей и слать от нас почту, честно ещё плохо себе представляю как это происходит, потому прошу Вашего совета.
Заранее спасибо. :)
muff:
Для начала измените маску сети на /32 вместо /30. Если указать маску /30, то имеем вхождение 4 ip-адресов, а при /32 - вхождение только одного ip-адреса. Рекомендую ознакомиться с этой информацией: http://muff.kiev.ua/content/cidr-tablitsa-preobrazovaniya
Злоумышленники воспользоваться этим IP-адресом не смогут, поскольку он присвоен серверу. Так что все правильно.
А на счет open-relay - воспользуйтесь вот этой ссылкой для проверки: http://mxtoolbox.com/diagnostic.aspx
Trennis:
Да, я знаю, что 30 это 4 хоста, просто при подключении к сети провайдера стоит именно 30. Подумал, как бы потом не возникло проблем, если 32 поставить. :) Но попробую, как Вы сказали. Спасибо за ссылку. На опен-релей не тянем :D
А можно ли ещё прокомментировать пару строк:
Warning - Reverse DNS does not match SMTP Banner -> Это что?
0 seconds - Good on Connection time
Not an open relay. :D
5.086 seconds - Warning on Transaction time -> Типа большое время передачи?
muff:
--- Цитировать ---Warning - Reverse DNS does not match SMTP Banner -> Это что?
--- Конец цитаты ---
Обратная зона не совпадает с приветствием почтовика (параметр smtp_banner в конфиге exim). В начале конфига было предупреждение об этом ньюансе:
--- Код: ---# Имя хоста. Используется в HELO/EHLO. Необходимо, чтобы содержалось имя
# домена, для которого принимаем почту. Правильный вариант - чтобы этот
# параметр совпадал с именем MX-записи.
--- Конец кода ---
Попробую обьяснить "на пальцах"... Воспользуемся для примера моим доменом - muff.kiev.ua. Попробуем приконнектиться к muff.kiev.ua на 25 порт:
--- Код: ---# telnet muff.kiev.ua 25
Trying 91.196.100.50...
Connected to muff.kiev.ua.
Escape character is '^]'.
220 muff.kiev.ua ESMTP
--- Конец кода ---
Подключение иден на IP 91.196.100.50 и в приветствии имеем наличие muff.kiev.ua. Теперь проверим значение PTR-записи для IP 91.196.100.50:
--- Код: ---# host 91.196.100.50
50.100.196.91.in-addr.arpa domain name pointer muff.kiev.ua.
--- Конец кода ---
Все совпадает. Прямая и обратная зона, плюс SMTP Banner. В Вашем случае необходимо будет подкорректировать какие-то из значений для соответствия RFC, иначе почтовик корректно не будет работать (на многих почтовых серверах выполняется проверка данных параметров).
--- Цитировать ---5.086 seconds - Warning on Transaction time -> Типа большое время передачи?
--- Конец цитаты ---
Скорее всего не время передачи, а время ответа сервера. Однако, "правильные" сервера ждут ответа и больше, а спамерские - не могут ждать так долго (это затрата мощностей сервера) и разрывают соединение, не дождавшись ответа. Увеличение времени задержки ответа сервера служит небольшой защитой от СПАМа.
Trennis:
Ну я так понял - это всё делается через DNS? Это пожалуй оно из немногого, что я не до конца уяснил :)
А так пример понятен, спасибо.
Настройка ответа стало быть в конфиге того же, например, Exim'a делается? :)
Навигация
Перейти к полной версии