Главная » Форум » Gentoo Linux » Системное администрирование

virtual mail system

ovad 30 декабря, 2008 - 16:55

Добрый и с наступающим.
Поставил по http://www.gentoo-wiki.info/Complete_Virtual_Mail_Server
почтовую систему с 2 доменами и в это связи возникло несколько вопросов:
1. Например у меня домены first.example.com (10.10.10.1) и second.example1.com (10.10.10.2), как их правильно прописать?
Я сделал так /etc/hosts:
127.0.0.1 mail.first.example.com mail localhost
127.0.0.1 second.example1.com

Соответственно у меня /etc/conf.d/hostname
HOSTNAME="mail"

В /etc/resolv.conf
nameserver x.x.x.x

В net
config_eth0=("10.10.10.1/mask" "10.10.10.2/mask")

2. Можно ли создавать пользователей в разных доменах с одинаковыми именами, например:

и

3.У кого нибудь получилось прикрутить tls(smtp) для белки ?
Спасибо.

‹ Postfix+courier-imap+Cyrus-sasl Samba как PDC: нет доступа к списку пользователей из винды. [upd] [solved] ›
»

1. Ты для себя уже знаешь

Автор Anarchist, дата создания 30 декабря, 2008 - 17:27.

1. Ты для себя уже знаешь ответ на вопрос: почему именно виртуальная?

2. Для неполного набора тестов - может и достаточно. Если же ты хочешь получать почту извне (не обязательно из сети общего пользования, для локальной сети тоже справедливо; правда там есть ещё параметр в виде настройки маршрутизации).

Надо настраивать DNS.

3. Не проблема. Даже без виртуальности.

:wq
--
Live free or die

»

1. по причине нескольких

Автор ovad, дата создания 31 декабря, 2008 - 14:45.

1. по причине нескольких доменов.
2. DNS держит провайдер, моя машина нормально на 2 адреса откликается. Почта ходит . Я просто чуть не понял, что имеется в виду. Если не трудно объясни пожалуйста.

»

.

Автор Anarchist, дата создания 11 января, 2009 - 11:49.
ovad написал(а):
1. по причине нескольких доменов.

Совершенно не аргумент.
У меня вот вполне себе живёт реальная почтовая система для rootdomain.org, subdomain1.rootdomain.org и subdomain2.rootdomain.org.

И адреса типа info@subdomain1.rootdomain.org и info@rootdomain.org не конфликтуют...

ovad написал(а):
2. DNS держит провайдер, моя машина нормально на 2 адреса откликается. Почта ходит . Я просто чуть не понял, что имеется в виду. Если не трудно объясни пожалуйста.

Без корректной настройки DNS провайдера получение почты извне несколько... затруднительно.
Попробуй посмотреть вывод команд:

nslookup second.example.com
nslookup -querytype=mx second.example.com
nslookup first.example.com
nslookup -querytype=mx first.example.com

Откликается она при запросе с её же терминала? И почта ходит в рамках локалхоста?
Тебе же, я думаю, нужно несколько большее.

mail.first.example.com - это всего лишь один из типовых вариантов имени хоста (см. вопрос конфигурирования DNS), выполняющего функции MX для домена first.example.com.
Хождение почты (и все прочие сетевые сервисы) завязаны в том числе на адресацию, и, следовательно, на DNS.
Сначала определись с тем: откуда и как ты предполагаешь получать почту и выбери конфигурацию DNS (всё рассказывать - долго...).

:wq
--
Live free or die

»

Спасибо за ответ, однако: 1.

Автор ovad, дата создания 14 января, 2009 - 06:13.

Спасибо за ответ, однако:
1. по причине нескольких доменов (доменных имен),к каждому привязана MX запись.

и

а логин у них в таблице базы info или

? Просто если

у меня тоже вопросов нет.
2. еще есть хорошая команда dig example.com mx. С dns все ок, я просто немного в начале запарился и прописал второе доменное имя на localhost.
А вот вопрос по спаму: какая вероятность угодить в список спамеров?

»

.

Автор Anarchist, дата создания 14 января, 2009 - 10:31.
ovad написал(а):
Спасибо за ответ, однако:
1. по причине нескольких доменов (доменных имен),к каждому привязана MX запись.

и

а логин у них в таблице базы info или

? Просто если

у меня тоже вопросов нет.

Я тебя понял.
Вопрос вызван тем, что ты отождествляешь системного пользователя с адресом электронной почты, что есть совсем неправильно.

Примеры: у меня есть системные пользователи xxx1, xxx2 и xxx2.
Пользователь xxx1 принимает почту на адреса marya@rootdomain.org и marya@subdomain1.rootdomain.org. При этом почта на адрес xxx1@rootdomain.org не принимается!
Пользователь xxx2 принимает почту на адрес info@rootdomain.org.
Пользователь xxx3 принимает почту на адрес info@subdomain1.rootdomain.org
В такой формулировке логика понятна?

Есть мнение, что подобная конфигурация воспроизводима и в рамках виртуальной почтовой системы, но практически этим не заморачивался.

ovad написал(а):
2. еще есть хорошая команда dig example.com mx. С dns все ок, я просто немного в начале запарился и прописал второе доменное имя на localhost.

Понял :)

ovad написал(а):
А вот вопрос по спаму: какая вероятность угодить в список спамеров?

Ну у тебя и вопросики...
Ответ в форме заклинания призыва evadim'а опущу :)

Именно поэтому лично я не считаю неправильным использование внешних источников DNS blacklist, а тех, кто их использует без оглядки наказываю не задумываясь.
И тебе того же желаю. :)

:wq
--
Live free or die

»

Спасибо за

Автор ovad, дата создания 16 января, 2009 - 12:55.

Спасибо за ответы.
Пользователей из passwd не использую. У меня когда письмо идет на

оно дублируется на

. Может проблема в том что у меня зону обратную преобразование DNS держит пров со своим именем. В логах проскакивает ошибка. Хотя я решил с этим не заморачиваться.
А вот по поводу спама из локалки.
С relay все в порядке, настроил кому доверять.
Настраиваю маскарадинг для внешних почтовых серверов, всяких банк-клиентов и т. п. Весь трафик пускаю (http(s)) через squid с фильтрацией squidguard-ом.
1. Какие методы отправки спама, в чем еще может быть опасность и как ее мониторить?
2. Использую sqlgrey (5 мин стандартно) заметил в первый раз когда мой MTA отвечает типа try again later gmail.com и некоторых других доменов письмо прийдет через минут 40, а то и больше. Как лучше поступить?

»

.

Автор Anarchist, дата создания 19 января, 2009 - 13:59.
ovad написал(а):
Пользователей из passwd не использую.

Классика (/etc/passwd) - далеко не единственный способ хранения базы системных пользователей.
Наводящий вопрос :) где и почему виртуальными пользователями обойтись не получится?

ovad написал(а):
У меня когда письмо идет на

оно дублируется на

.

Именно дублируется? Ты какой MTA используешь?
В своё время с sendmail'ом я так и не добился получения пользователем числа экземпляров письма по числу его упоминаний (alias'ов || групп) в поле адреса. Правда, не сильно и упирался...

Дублируется же оно потому, что общие принципы настройки... они от типа пользователя (системный или виртуальный почтовый) мало зависят.

ovad написал(а):
Может проблема в том что у меня зону обратную преобразование DNS держит пров со своим именем. В логах проскакивает ошибка. Хотя я решил с этим не заморачиваться.

Ошибку бы хоть процитировал...

ovad написал(а):
А вот по поводу спама из локалки.
С relay все в порядке, настроил кому доверять.
Настраиваю маскарадинг для внешних почтовых серверов, всяких банк-клиентов и т. п. Весь трафик пускаю (http(s)) через squid с фильтрацией squidguard-ом.

SMTP через сквид???

ovad написал(а):
1. Какие методы отправки спама, в чем еще может быть опасность и как ее мониторить?

Для начала я бы рекомендовал мониторить интенсивность потока исходящих писем (если при среднесуточной интенсивности потока больше 128 писем/час и 2048 писем/час для ЧНН) брать на карандаш и анализировать, то даже злостный спаммер либо много не разошлёт, либо будет пойман).

ovad написал(а):
2. Использую sqlgrey (5 мин стандартно) заметил в первый раз когда мой MTA отвечает типа try again later gmail.com и некоторых других доменов письмо прийдет через минут 40, а то и больше. Как лучше поступить?

Тебя этот интервал, насколько я понял, не устраивает?
А тут много не сделаешь? Либо смириться, либо занести gmail.com в белый список (не применять к нему greylisting), а спам из этого домена фильтровать иными способами.

:wq
--
Live free or die

»

.

Автор winterheart, дата создания 14 января, 2009 - 10:46.
ovad написал(а):
А вот вопрос по спаму: какая вероятность угодить в список спамеров?

Если относиться к почтовой системе безолаберно - очень даже высокая.

Не грусти, товарищ! Всё хорошо, beautiful good!

»

???

Автор Anarchist, дата создания 14 января, 2009 - 17:20.
winterheart написал(а):
Если относиться к почтовой системе безолаберно - очень даже высокая.

В ситуации когда тебе выделена подсеть (класс C), а забанена сеть (класс B) от настройки твоего конкретного почтового сервера много зависит?

:wq
--
Live free or die

»

Я еще не встречал таких

Автор winterheart, дата создания 14 января, 2009 - 17:52.

Я еще не встречал таких почтовых серверов, которые не принимают почту с забаненных диапазонов. Все внятные RBL блокируют точечно и никогда не провайдерскими подсетями.
Если рассматривать явное попадание в RBL, то это говорит о том, что либо почтовый сервер является релеем (что явно говорит о безалаберности его админа), либо подсеть активно рассылает спам напрямую из-за NAT (что говорит о опосредованной безалаберности). В персом случае нужно рулить конфигами почтовика, во втором - файрвола.

Не грусти, товарищ! Всё хорошо, beautiful good!

»

.

Автор Anarchist, дата создания 16 января, 2009 - 14:40.
winterheart написал(а):
Я еще не встречал таких почтовых серверов, которые не принимают почту с забаненных диапазонов.

Угу.
Только это [как минимум] - дополнительное действие по добавлению исключения.
А ещё лично мне очень интересно на сколько хватит твоего терпения объяснять необходимость (и способ) добавления исключений тем "админам", которые считают, что DNS BL - это такая волшебная пилюля от спама?

winterheart написал(а):
Все внятные RBL блокируют точечно и никогда не провайдерскими подсетями.

А вот здесь уже лично мне интересно определение "внятности" для случая RBL и несколько примеров вменяемых по твоему опредению списков.

:wq
--
Live free or die

»

Spamhaus (xbl-sbl списки, zen

Автор winterheart, дата создания 16 января, 2009 - 18:06.

Spamhaus (xbl-sbl списки, zen не рекомендуется), Spamcop.
Есть такой RBL - UCEProtect, который блочит подсетями. У него несколько списков - 1, 2 и 3 уровня. В первом - точечный узлы, во втором - подсети, в третьем - целые провайдеры. Из первого тебя уберут в течение 30 минут. За второй нужно заплатить. За третий - нужно еще и договариваться.
Был еще такой DSBL. Удаление которого (уже два года как) из DNS вызвало повальное занесение всех абонентов в спам.

Таких историй куча.

Если ты считаешь, что в RBL попадают просто так - то зря. Нахождение в RBL - это свидетельство серьезной уязвимости в вверенном участке работы.

Не грусти, товарищ! Всё хорошо, beautiful good!

»

ого!

Автор HolyBoy, дата создания 16 января, 2009 - 18:34.
winterheart написал(а):
Если ты считаешь, что в RBL попадают просто так - то зря. Нахождение в RBL - это свидетельство серьезной уязвимости в вверенном участке работы.

Неправда.
Вы сейчас говорите за все RBL, так вот, в некоторые из них можно попасть по единичной жалобе от пользователя, которому показалось, что вы спамер.

Да, если сервер в черном списке, то это с большой вероятностью означает, что с него идёт спам, но это не обязательно.

»

Ты явно не знаком с

Автор winterheart, дата создания 17 января, 2009 - 12:31.

Ты явно не знаком с механизмом работы RBL. В него не попадают по единичной жалобе. Существует распределенная сеть ловушек (spamtrap), которая держится в тайне. Попав в несколько из них (ключевое слово), ты заносишься в RBL. Да, существуют abuse-рассылки, где можно нажаловаться на спам. Но при этом нужно представить весомые доказательства (заголовки и тело письма), быть подписанным на эту рассылку (туда кого попало не берут). Ничего просто так не делается.

Не грусти, товарищ! Всё хорошо, beautiful good!

»

..

Автор HolyBoy, дата создания 17 января, 2009 - 12:41.
winterheart написал(а):
Существует распределенная сеть ловушек (spamtrap), которая держится в тайне. Попав в несколько из них (ключевое слово), ты заносишься в RBL.

Знаком. И то, о чем ты говоришь — еще хуже.

Думаешь, моя неприязнь к РБЛ с потолка взята?

»

.

Автор Anarchist, дата создания 19 января, 2009 - 14:21.
winterheart написал(а):
Если ты считаешь, что в RBL попадают просто так - то зря. Нахождение в RBL - это свидетельство серьезной уязвимости в вверенном участке работы.

Хорошо, из свежего: провайдер выделил нам подсеть класса С. Сеть класса В, которой приенадлежит наша сеть - фигурирует в списке второго уровня UCEProtect. Если какие пользователи и получают "спам" с конкретно моего почтового сервера - сами виноваты, не следует забывать отписываться от заказанных рассылок.
Мои (твои) действия?

Ну и в тему непогрешимости реализации этих самых "ловушек" (и опять же из личного опыта): тема (ну или тело) письма содержит слово "порнослоник". Какова, по твоему мнению, вероятность квалификации письма в качестве спама?

:wq
--
Live free or die

»

И ещё вопрос:

Автор Anarchist, дата создания 22 января, 2009 - 10:18.
winterheart написал(а):
Spamhaus (xbl-sbl списки, zen не рекомендуется)

Почему не рекомендуешь zen?

:wq
--
Live free or die

»

В zen, кроме xbl (узлы,

Автор winterheart, дата создания 22 января, 2009 - 11:04.

В zen, кроме xbl (узлы, зараженные троянами) и sbl (узлы, рассылающие спам), входит pbl, содержащие так горячо любимые адреса с динамических подсетей и статические адреса, не имеющие MX, PTR-записей либо испытывающие проблемы с ними. Вообщем, классический случай блокировки подсетей на случай "чтобы было". Да, это нарушение RFC, но это не повод их блокировать на месте. Я выношу такие узлы в контентный анализ.

Не грусти, товарищ! Всё хорошо, beautiful good!

»

так горячо любимые адреса с

Автор andribas, дата создания 22 января, 2009 - 11:28.
Цитата:
так горячо любимые адреса с динамических подсетей и статические адреса, не имеющие MX, PTR-записей либо испытывающие проблемы с ними

А из практики кто-нибудь из "друзей" туда попадал?
Чтобы Вы хотели получить от него почту, а он в этом списке?
Перед Новым Годом в spamhaus был занесен http://www.1gl.ru/ Главбух.
Они исправили это за пару дней.

»

Да. Один из клиентов не

Автор winterheart, дата создания 22 января, 2009 - 11:38.

Да. Один из клиентов не продлил плату за DNS. Об этом на следующий день ему напомнили мы, когда его почта вдруг перестала приходить на кучу адресов.

Не грусти, товарищ! Всё хорошо, beautiful good!

»

Ну ведь потом он все равно

Автор andribas, дата создания 22 января, 2009 - 11:52.

Ну ведь потом он все равно удалял себя из списков :)

»

И что? Вопрос не в том, что

Автор winterheart, дата создания 22 января, 2009 - 12:50.

И что? Вопрос не в том, что он удалял себя из списков, а в том, что его блокировали за не большой проступок. Во отличие от активных спаммеров и зомби сетей он не слал ничего запретного. Именно поэтому zen использовать не рекомендуется.

Не грусти, товарищ! Всё хорошо, beautiful good!

»

.

Автор Anarchist, дата создания 22 января, 2009 - 14:40.

Пробовал посмотреть IP особо удачливых спаммеров...
В значительной степени они обнаруживаются именно (и только) в pbl.
Для IP тех серверов, с которых должно получать почту я столь полной проверки пока не проводил. Но по тому что смотрел - в zen их нет.

:wq
--
Live free or die

»

Прошёлся по IP-адресам

Автор Anarchist, дата создания 23 января, 2009 - 10:52.

Прошёлся по IP-адресам серверов, с которых мне должно получать почту.
Один из них (проверка предварительная) обнаружился в XBL.
Так что без мониторинга и whitelisting'а при использовании блэклистов не обойтись.

:wq
--
Live free or die

»

Я на сервере когда DNSBL

Автор andribas, дата создания 22 января, 2009 - 11:09.

Я на сервере когда DNSBL подбирал, в каком порядке лучше ставить
тоже сначала xbl-sbl ставил
потом добавил zen и он после него много откидывал - zen включает все списки.
Срабатываний ложных не было. И если кто-то умудрился по своей тупости или неосторожности туда попасть -
удалить можно за два дня.
Поэтому остановился на zen. К слову сказать, zen после xbl-sbl откидывал 50%
У меня порядок такой:
zen.spamhaus.org
dul.dnsbl.sorbs.net
bl.spamcop.net

при этом bl.spamcop.net срабатывает 5 раз в день - наверно лучше выкинуть, чтобы остальную почту не проверять
Пробовал разный порядок, потом "grep -c" и кто больше работает того наверх.

»

Вопрос по условиям

Автор Anarchist, дата создания 27 января, 2009 - 17:20.
andribas написал(а):
потом добавил zen и он после него много откидывал - zen включает все списки.
Срабатываний ложных не было. И если кто-то умудрился по своей тупости или неосторожности туда попасть -
удалить можно за два дня.
Поэтому остановился на zen. К слову сказать, zen после xbl-sbl откидывал 50%
У меня порядок такой:
zen.spamhaus.org
dul.dnsbl.sorbs.net
bl.spamcop.net

Для zen прописаны достаточно жёсткие ограничения.
Сколько у тебя запросов к zen в сутки? Или ты используешь коммерческую подписку?

:wq
--
Live free or die

»

Эти огранчения я

Автор andribas74, дата создания 27 января, 2009 - 18:23.

Эти огранчения я читал.
Видимо, раз СПАМ не пробивается, и меня не отключают я не превышаю число запросов.
Ну раз Вам нужна статистика, я посчитаю логи.
Как это лучше сделать?

З.Ы. К слову сказать -

Цитата:
достаточно жёсткие ограничения

если Вы внимательно читали относятся к Spamhaus DNSBL Usage - то есть к любому списку, не только zen.
И ссылка на них присутствует в любом списке в разделе Usage

»

Не забываем про костыль

Автор andribas74, дата создания 27 января, 2009 - 19:50.

Не забываем про костыль IP-able.

smtpd_helo_restrictions =
 permit_mynetworks
 permit_sasl_authenticated
 reject_non_fqdn_helo_hostname
 check_helo_access hash:/etc/postfix/helo_access
 check_helo_access regexp:/etc/postfix/helo_regexp
 check_helo_access regexp:/etc/postfix/dul_checks

smtpd_recipient_restrictions =
 reject_unauth_pipelining
 permit_mynetworks
 permit_sasl_authenticated
 reject_unauth_destination
 reject_invalid_helo_hostname

smtpd_sender_restrictions =
 permit_sasl_authenticated
 permit_mynetworks
 reject_invalid_hostname
 reject_non_fqdn_hostname
 reject_non_fqdn_sender
 reject_unknown_sender_domain
 reject_unknown_hostname
 reject_rbl_client zen.spamhaus.org
 reject_rbl_client dul.dnsbl.sorbs.net

Чтобы посчитать число запросов к zen нужно сложить
отказы zen.spamhaus.org + dul.dnsbl.sorbs.net + принятые все (СПАМ, не СПАМ)
за сутки.
Сейчас посчитаю и сюда скину.

cat /var/log/mail.log | grep "^Jan 26" >my.log
mail ~ # cat my.log | grep -c "zen.spamhaus.org"
4073
mail ~ # cat my.log | grep -c "dul.dnsbl.sorbs.net"
16
mail ~ # cat my.log | grep -c "postfix/cleanup"
1029

Получается не так и много.
Когда поставил postfix вначале без настройки запросов было наааамного больше.

Согласно статистике mailgraph за неделю
в среднем за сутки отказов 35 тысяч.
450-500 Received включая внутреннюю почту
можно считать снаружи приходит 350, то есть 1 процент от всего потока.
плюс 46 определяется как СПАМ и 20-30 не определяется.
20 пользователей примерно.
После того, как применил все настройки плюс sleep 5 средний поток уменьшился раза в 2 или 1,5

»

Было

Автор andribas74, дата создания 27 января, 2009 - 20:38.

Было


Стало:

»

Судя по всему, как только

Автор andribas, дата создания 27 января, 2009 - 21:53.

Судя по всему, как только хорошо закрывается сервер
Спама на него идет намного меньше.

»

To Anarchist:А может Вы

Автор andribas74, дата создания 27 января, 2009 - 20:53.

To Anarchist:
А может Вы подскажите про это?
http://www.gentoo.ru/node/13122#comment-91195
Надоело писать

, не по-людски это.

»

Настройки просмотра комментариев

Выберите нужный метод показа комментариев и нажмите "Сохранить установки".