форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Открытые системы на сервере (Почта / Linux)
Изначальное сообщение		[ Отслеживать ]

"Postfix+whitelist=open relay, как закрыть ?"	+/–
Сообщение от evors (ok) on 03-Авг-11, 18:56
Имеется почтовый сервер с Postfix 2.5.5 на debian lenny. Проблема в том, что open relay остается открытым для списка access. Как его закрыть для них? Конфигурировал почтовик не я и пока postfix.org не помог разобраться. postconf -n: alias_database = hash:/etc/postfix/aliases, hash:/etc/postfix/vse alias_maps = hash:/etc/postfix/aliases command_directory = /usr/sbin config_directory = /etc/postfix content_filter = scan:127.0.0.1:8025 daemon_directory = /usr/lib/postfix debug_peer_level = 2 disable_vrfy_command = yes header_checks = regexp:/etc/postfix/header_checks html_directory = no inet_interfaces = all local_recipient_maps = unix:passwd.byname $alias_maps mail_owner = postfix mailbox_size_limit = 0 mailq_path = /usr/local/bin/mailq manpage_directory = /usr/local/man maps_rbl_reject_code = 550 maximal_queue_lifetime = 3d message_size_limit = 26000000 mydestination = $myhostname, localhost.$mydomain, $mydomain, mail.$mydomain, www.$mydomain, ftp.$mydomain, mydomain = mydomain.ru myhostname = myhostname mynetworks = xxx.xxx.xxx.0/24, xxx.xxx.rrrr.0/24, 127.0.0.0/8 myorigin = $mydomain newaliases_path = /usr/local/bin/newaliases queue_directory = /var/spool/postfix readme_directory = no receive_override_options = no_address_mappings sample_directory = /usr/local/etc/postfix sender_bcc_maps = hash:/etc/postfix/sender_bcc sendmail_path = /usr/local/sbin/sendmail smtpd_client_restrictions = permit_mynetworks,             check_client_access hash:/etc/postfix/access,             check_client_access hash:/etc/postfix/spamersip,             check_client_access pcre:/etc/postfix/client_checks.pcre,              reject_rbl_client zen.spamhaus.org,             reject_rbl_client cbl.abuseat.org,             reject_rbl_client dul.ru,             reject_rbl_client dnsbl.sorbs.net smtpd_etrn_restrictions = permit_mynetworks,             check_client_access hash:/etc/postfix/access,                          check_sender_access hash:/etc/postfix/access smtpd_helo_required = yes smtpd_helo_restrictions = permit_mynetworks,             check_client_access hash:/etc/postfix/access,             check_helo_access regexp:/etc/postfix/access_smtpd,             check_helo_access pcre:/etc/postfix/helo_checks.pcre,             reject_non_fqdn_hostname,             reject_unknown_hostname,             reject_invalid_hostname smtpd_recipient_limit = 35 smtpd_recipient_restrictions = permit_mynetworks,                 check_client_access hash:/etc/postfi/access,                         check_recipient_access hash:/etc/postfix/recipient_access,                 reject_unauth_pipelining,                 reject_unauth_destination,                 reject_non_fqdn_recipient smtpd_sender_restrictions = permit_mynetworks,             check_sender_access hash:/etc/postfix/sender_access,             check_client_access hash:/etc/postfix/access,             reject_unknown_sender_domain, strict_rfc821_envelopes = yes
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Postfix+whitelist=open relay, как закрыть ?"	+/–
Сообщение от Vladimir (??) on 04-Авг-11, 06:49
>> mynetworks = xxx.xxx.xxx.0/24, xxx.xxx.rrrr.0/24, 127.0.0.0/8 Оставить mynetworks =  127.0.0.0/8
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "Postfix+whitelist=open relay, как закрыть ?"	+/–
	Сообщение от evors (ok) on 04-Авг-11, 10:17
	>>> mynetworks = xxx.xxx.xxx.0/24, xxx.xxx.rrrr.0/24, 127.0.0.0/8 >  Оставить mynetworks =  127.0.0.0/8 Этот вариант, не подходит потому, что внешние офисы так же отправляют почту через этот сервер, а поскольку они идут через тот же гейт, что и остальной инет к нам, то убрать адреса вида xxx.xxx.xxx.0/24 нельзя.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	3. "Postfix+whitelist=open relay, как закрыть ?"	+/–
	Сообщение от Дядя_Федор on 04-Авг-11, 11:04
	> Этот вариант, не подходит потому, что внешние офисы так же отправляют почту > через этот сервер, а поскольку они идут через тот же гейт, > что и остальной инет к нам, то убрать адреса вида xxx.xxx.xxx.0/24 > нельзя. Вы спросили - как его закрыть - Вам ответили. Вы бы определились для начала - Вам надо его ЗАКРЫТЬ или не надо? Еще один вариант - настроить отправку почты с авторизацией по паролю. Но Вам ведь тоже это не подойдет, правда? Это ж надо каждого клиента перенастраивать? Ну тогда по окружающим прудам пошарьтесь - может кувшин с Хоттабычем найдете. Они (Хоттабычи) обычно делают так, что "оно само" начинает работать. Все остальные варианты предполагают приложения усилий - как умственных, так и физических.
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	4. "Postfix+whitelist=open relay, как закрыть ?"	+/–
	Сообщение от evors (ok) on 04-Авг-11, 12:19
	>[оверквотинг удален] >> что и остальной инет к нам, то убрать адреса вида xxx.xxx.xxx.0/24 >> нельзя. >  Вы спросили - как его закрыть - Вам ответили. Вы бы > определились для начала - Вам надо его ЗАКРЫТЬ или не надо? > Еще один вариант - настроить отправку почты с авторизацией по паролю. > Но Вам ведь тоже это не подойдет, правда? Это ж надо > каждого клиента перенастраивать? Ну тогда по окружающим прудам пошарьтесь - может > кувшин с Хоттабычем найдете. Они (Хоттабычи) обычно делают так, что "оно > само" начинает работать. Все остальные варианты предполагают приложения усилий - как > умственных, так и физических. Не очень понятен смысл вашего возбужденного опуса. Вопрос однозначен - "как закрыть open relay" и другого я нигде не писал и не спрашивал. Однако это не значит, что надо лишать сервер уже имеющегося функционала. Первый вариант решает одну проблему, но добавляет новую, что недопустимо. Авторизация не подходит, т.к. это усложняет работу и уже влияет на клиентскую сторону. Само собой свои умственные и физический ресурсы активно привлекаются к решению данной проблемы. Насильно, ваши усилия мне не нужны. Если у вас нет времени и желания на это - свободны.
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	5. "Postfix+whitelist=open relay, как закрыть ?"	+/–
	Сообщение от Choper on 04-Авг-11, 14:06
	>[оверквотинг удален] >> умственных, так и физических. > Не очень понятен смысл вашего возбужденного опуса. Вопрос однозначен - "как закрыть > open relay" и другого я нигде не писал и не спрашивал. > Однако это не значит, что надо лишать сервер уже имеющегося функционала. > Первый вариант решает одну проблему, но добавляет новую, что недопустимо. Авторизация > не подходит, т.к. это усложняет работу и уже влияет на клиентскую > сторону. > Само собой свои умственные и физический ресурсы активно привлекаются к решению данной > проблемы. Насильно, ваши усилия мне не нужны. Если у вас нет > времени и желания на это - свободны. может быть установить в разрешенных сетях smtp-сервера? если юниксы не хотите там ставить то и под винду попадались даже бесплатные в свое время, там же и рулить отправкой, тогда можно прописать не сети, а конкретные ip/32 в конфиге постфикса.
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	6. "Postfix+whitelist=open relay, как закрыть ?"	+/–
	Сообщение от Дядя_Федор on 04-Авг-11, 15:42
	> Не очень понятен смысл вашего возбужденного опуса. Вопрос однозначен - "как закрыть > open relay" и другого я нигде не писал и не спрашивал. У Вас каша в голове. Почтовый сервер компании по сути своей является "open relay" для сети компании! Это его основное предназначение! А каша Ваша заключается в том, что Вы не понимаете, что такое на самом деле open relay. Это сервер, который пропускает почту со ВСЕГО мира! Вот классическое определение термина open relay. Вам и предложили 2 варианта: 1. Разрешить пропускать почту только с себя. Что по сути лишает почтовый сервер его фукнционала напрочь. 2. Пропускать почту только от авторизованных пользователей. Больше вариантов без нарушения функциональности не существует. Вы же хотите чего "странного". Хирургическим путем приделать к бабушке я..ца, но при этом, чтобы она не становилась дедушкой. Может хоть так дойдет? Чем Вам, собственно, мешает то, что почтовый сервер выполняет свое предназначение? То есть - пропускает почту со своей сети. Может Вы просто неправильно сформулировали проблему? Такая мысль не приходила в голову?
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	7. "Postfix+whitelist=open relay, как закрыть ?"	+/–
	Сообщение от evors (ok) on 05-Авг-11, 16:14
	> Вам и предложили > 2 варианта: > 1. Разрешить пропускать почту только с себя. Что по сути лишает почтовый > сервер его фукнционала напрочь. > 2. Пропускать почту только от авторизованных пользователей. > Больше вариантов без нарушения функциональности не существует. Спасибо всем ответившим и особенно Дяде Федору, за понятные и метафоричные коменты. Проблема сформулирована верно, но действительно не имеет решения. Тему можно закрывать.
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	8. "Postfix+whitelist=open relay, как закрыть ?"	+/–
	Сообщение от Дядя_Федор on 05-Авг-11, 17:44
	> Спасибо всем ответившим и особенно Дяде Федору, за понятные и метафоричные коменты. > Проблема сформулирована верно, но действительно не имеет решения. Нэма за що. :) Если не возражаете - то может все-таки ответите на вопрос. В связи чем возникло желание запретить машинкам из собственной сети пересылать почту через почтовый сервер? У меня просто есть устойчивое ощущение, что Вы просто неверно сформулировали вопрос. Может быть проблема в спаме, который периодически (что неизбежно) будет пролетать из внутренней сети? Ну и от себя замечу, что у меня, например, в Постфиксе те, кому разрешена пересылка обозначены так в main.cf: mynetworks = cidr:/etc/postfix/network-table Ну и дальше, естественно, простейший файлик, в котором перечислены сети в формате CIDR.
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

	9. "Postfix+whitelist=open relay, как закрыть ?"	+/–
	Сообщение от LSTemp (ok) on 09-Авг-11, 02:26
	>> Вам и предложили >> 2 варианта: >> 1. Разрешить пропускать почту только с себя. Что по сути лишает почтовый >> сервер его фукнционала напрочь. >> 2. Пропускать почту только от авторизованных пользователей. >> Больше вариантов без нарушения функциональности не существует. > Спасибо всем ответившим и особенно Дяде Федору, за понятные и метафоричные коменты. > Проблема сформулирована верно, но действительно не имеет решения. Имеет!!!. Скоро кончатся все летние каникулы и телепаты вернуться из турции! И тут же станет всем понятна схема Вашей сети (они - телепаты - расскажут. Нет - не на форуме - просто ВЕСЬ МИР сразу будет ЗНАТЬ что у Вас происходит (ну телепаты ешкин кот - что с них возьмешь?)), и что Вы хотели добиться, и что делали, и что не получилось. Эти отдохнувшие дядтки и тетки так навалятся на работу, что Вам даже логов высылать не придется!!! Просто наберитесь терпения. > Тему можно закрывать. Неужели? PS все телепаты 1-е сентября с 1-м апрлеля путают... может еще нескольо месяцев подождать придется!
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема