Вариант для распечатки		Пред. тема | След. тема
Форум Открытые системы на сервере (Почта / Linux)
Изначальное сообщение		[ Отслеживать ]

"Postfix, хочется странного"	+/–
Сообщение от Cyclone (ok), 11-Ноя-09, 12:39
Есть почтовый сервер на базе Postfix. Настроена аутентификация пользователей через SASL. Вся проблема в том, что у пользователей регулярно воруют логины/пароли и рассылают через сервак спам. Я уже задолбался вытаскивать его из блэклистов. Стоит такая задача: нужно разрешить пользователям аутентифицироваться только из определённых сетей (а не откуда они хотят) с возможностью прописать исключения.
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Postfix, хочется странного"	+/–
Сообщение от ALex_hha (ok), 11-Ноя-09, 12:55
>Есть почтовый сервер на базе Postfix. Настроена аутентификация пользователей через SASL. Вся >проблема в том, что у пользователей регулярно воруют логины/пароли и рассылают >через сервак спам. какой то маразм. Потерял пароль - штраф. > Я уже задолбался вытаскивать его из блэклистов. Стоит >такая задача: нужно разрешить пользователям аутентифицироваться только из определённых сетей (а не откуда они хотят) с возможностью прописать исключения. а если у пользователя динамический ip? Ты не правильно решаешь проблему, а пытаешься одеть штаны через голову, имхо
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "Postfix, хочется странного"	+/–
	Сообщение от Cyclone (ok), 11-Ноя-09, 13:43
	>какой то маразм. Потерял пароль - штраф. Не получится. Не буду объяснить по каким причинам, просто прими это как данность >а если у пользователя динамический ip? Ну и пёс с ними, с исключениями. Для этих вещей WEB-морда для почты существует >Ты не правильно решаешь проблему, а пытаешься одеть штаны через голову, имхо Как, на твой взгляд правильно решить эту проблему?
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	3. "Postfix, хочется странного"	+/–
	Сообщение от ALex_hha (ok), 11-Ноя-09, 13:45
	Я уже сказал, как правильно. Админ-ные меры, вплоть до увольнения. Если же все таки, надо ограничивать ip, то смотри в сторону http://www.postfix.org/RESTRICTION_CLASS_README.html
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	4. "Postfix, хочется странного"	+/–
	Сообщение от Cyclone (ok), 11-Ноя-09, 13:53
	>Я уже сказал, как правильно. Админ-ные меры, вплоть до увольнения. Ещё раз повторю: НИКАКИХ АДМИНИСТРАТИВНЫХ МЕР ПРИНЯТЬ НЕВОЗМОЖНО. Прошу к этому отнестись как к аксиоме. Мне интересна техническая сторона вопроса, а не рассуждения о том, как можно навазелинить пользователей. >Если же все таки, надо ограничивать ip, то смотри в сторону http://www.postfix.org/RESTRICTION_CLASS_README.html Спасибо, гляну, но ИМХО, это не совсем то...
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	7. "Postfix, хочется странного"	+/–
	Сообщение от ALex_hha (ok), 11-Ноя-09, 15:21
	>>Я уже сказал, как правильно. Админ-ные меры, вплоть до увольнения. > >Ещё раз повторю: НИКАКИХ АДМИНИСТРАТИВНЫХ МЕР ПРИНЯТЬ НЕВОЗМОЖНО. Прошу к этому отнестись >как к аксиоме. Мне интересна техническая сторона вопроса, а не рассуждения >о том, как можно навазелинить пользователей. Ну тогда одевайте штаны через голову :)
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

5. "Postfix, хочется странного"	+/–
Сообщение от ia (ok), 11-Ноя-09, 14:09
можно просто через smtpd_discard_ehlo_keyword_address_maps отключить AUTH для всех ip кто не в списке.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	6. "Postfix, хочется странного"	+/–
	Сообщение от Cyclone (ok), 11-Ноя-09, 14:59
	>можно просто через smtpd_discard_ehlo_keyword_address_maps отключить AUTH для всех ip кто не в >списке. smtp_discard_ehlo_keyword_address_maps (default: empty)     Lookup tables, indexed by the remote SMTP server address, with case insensitive lists of EHLO keywords (pipelining, starttls, auth, etc.) that the Postfix SMTP client will ignore in the EHLO response from a remote SMTP server. See smtp_discard_ehlo_keywords for details. The table is not indexed by hostname for consistency with smtpd_discard_ehlo_keyword_address_maps. Что-то из описания этого параметра не совсем ясно каким образом это реализовать. Вернее описание самой опции понятно, на как должен выглядеть сам файл? Ведь судя из описания, в файле должны быть указаны адреса для которых надо игнорировать AUTH а не адреса для которых надо его разрешить
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	8. "Postfix, хочется странного"	+/–
	Сообщение от ia (ok), 11-Ноя-09, 15:31
	>Ведь судя из описания, в файле должны быть указаны адреса для >которых надо игнорировать AUTH а не адреса для которых надо его >разрешить Идея была такая: AUTH включен всегда через эту опцию задается список который перекроет весь IPv4 кроме указанных вами подсетей/адресов т.е както-так !192.168.0/24 AUTH !1.2.3.4/32 AUTH
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	9. "Postfix, хочется странного"	+/–
	Сообщение от Amator (ok), 11-Ноя-09, 16:43
	>>можно просто через smtpd_discard_ehlo_keyword_address_maps отключить AUTH для всех ip кто не в >>списке. > >smtp_discard_ehlo_keyword_address_maps (default: empty) будьте повнимательнее - не smtp, а smtpd ! smtpd_discard_ehlo_keyword_address_maps (default: empty)
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	10. "Postfix, хочется странного"	+/–
	Сообщение от Cyclone (ok), 22-Июл-10, 13:17
	>smtpd_discard_ehlo_keyword_address_maps (default: empty) Прописал я эту опцию. Тем не менее снаружи как-то всё равно аутентифицируются и засерают почтовик.
	Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

	11. "Postfix, хочется странного"	+/–
	Сообщение от Cyclone (ok), 22-Июл-10, 22:43
	Блин! Это бред какой-то! Я прописал в main.cf следующее: smtpd_discard_ehlo_keyword_address_maps = hash:/etc/postfix/discard_ehlo smtpd_sasl_exceptions_networks = !10.0.0.0/8, !127.0.0.1, static:all [root@mail postfix]# cat /etc/postfix/discard_ehlo !!10.0.0.0/8     AUTH !127.0.0.1      AUTH Цепляюсь телнетом с другого IP, делаю EHLO - слова AUTH нет Но тем не менее спаммеры всё равно каким-то образом продолжают соединяться с внешних адресов, аутентифицироваться (КАК?!!!) и рассылают тонны спама postfix версии 2.7.1
	Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

	12. "Postfix, хочется странного"	+/–
	Сообщение от serg37 (?), 08-Окт-18, 04:35
	> Блин! Это бред какой-то! Я прописал в main.cf следующее: > smtpd_discard_ehlo_keyword_address_maps = hash:/etc/postfix/discard_ehlo > smtpd_sasl_exceptions_networks = !10.0.0.0/8, !127.0.0.1, static:all > [root@mail postfix]# cat /etc/postfix/discard_ehlo > !!10.0.0.0/8     AUTH > !127.0.0.1      AUTH > Цепляюсь телнетом с другого IP, делаю EHLO - слова AUTH нет > Но тем не менее спаммеры всё равно каким-то образом продолжают соединяться с > внешних адресов, аутентифицироваться (КАК?!!!) и рассылают тонны спама > postfix версии 2.7.1 этот параметр: smtpd_sasl_exceptions_networks всего лишь скрывает в AUTH в протоколе, но если попробовать авторизоваться (AUTH LOIGN) запрос пройдет. возможно поможет restriction_class
	Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема