The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"sendmail: plain smtp+dnsbl   и   smtp ssl+без dnsbl "
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Информационная безопасность (Public)
Изначальное сообщение [ Отслеживать ]

"sendmail: plain smtp+dnsbl   и   smtp ssl+без dnsbl "  
Сообщение от rtype email(ok) on 04-Авг-08, 19:47 
hi!

Задача возникла...

Есть работающая система:
sendmail + SSL + dnsbl + greylist(сейчас отключен)
            + spamassasin + clamav
            + maildrop (с Maildir + RoundCube webmail)
            + dovecot POP3 c Outlook 2003/2007 в качестве клиентов
            + IMAP c Outlook 2003/2007 в качестве клиентов
            + скрипты загружающие содержимое "Нежелательная почта" в "sa-learn --spam"
            + скрипты обработки логов sendmail

Возникла следующая неприятность: после расширения dnsbl списка для проверки,
эффективность отлупа спама выросла значительно, причем настолько, что обратно уже
дороги нет.
Но, выявилась неприятность: идет отлуп на отправку почты с сотовых сетей (оно и понятно).
А почту надо отправлять с доверенных систем с подобными динамическими ip.
Возникло решение, принимать от них почту только после авторизации через SSL порт, без авторизации - отлуп.
DNSBL работает безусловно на всех входах.
Соответственно хочется сделать обход dnsbl на SSL порту, и запрет приема без авторизации там же.
Самое тривиальное, запустить два набора sendmail с разными конфигами, но это не правильно,
т.к. усложняется обработка логов (логи обрабатываются на предмет фиксации факта приема-отправки) и вообще это решение некрасиво.
Что и куда копать?
Спасибо!

Roman

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "sendmail: plain smtp+dnsbl   и   smtp ssl+без dnsbl "  
Сообщение от Vitaly_loki (??) on 04-Авг-08, 21:25 
>[оверквотинг удален]
>Соответственно хочется сделать обход dnsbl на SSL порту, и запрет приема без
>авторизации там же.
>Самое тривиальное, запустить два набора sendmail с разными конфигами, но это не
>правильно,
>т.к. усложняется обработка логов (логи обрабатываются на предмет фиксации факта приема-отправки) и
>вообще это решение некрасиво.
>Что и куда копать?
>Спасибо!
>
>Roman

А smtp-auth не подойдет?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "sendmail: plain smtp+dnsbl   и   smtp ssl+без dnsbl "  
Сообщение от rtype email(ok) on 04-Авг-08, 21:35 
>[оверквотинг удален]
>>Самое тривиальное, запустить два набора sendmail с разными конфигами, но это не
>>правильно,
>>т.к. усложняется обработка логов (логи обрабатываются на предмет фиксации факта приема-отправки) и
>>вообще это решение некрасиво.
>>Что и куда копать?
>>Спасибо!
>>
>>Roman
>
>А smtp-auth не подойдет?

а релей домена как работать после этого будет?

Roman

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "sendmail: plain smtp+dnsbl   и   smtp ssl+без dnsbl "  
Сообщение от vagif on 04-Авг-08, 23:00 

>>А smtp-auth не подойдет?
>
>а релей домена как работать после этого будет?
>

все будет работать чудесно ;-)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "sendmail: plain smtp+dnsbl   и   smtp ssl+без dnsbl "  
Сообщение от vagif on 04-Авг-08, 22:56 
>hi!
>
>Задача возникла...
>
>Есть работающая система:
>sendmail + SSL + dnsbl + greylist(сейчас отключен)
>            

ты путаешь разные вещи.
для того, чтобы отправлять с неизвестных IP адресов достаточно включить авторизацию.
А "включить авторизацию" - это совсем не означает SSL.

Маленький пример настройки http://wiki.zeynalov.com/vagif:docs:freebsd:sendmail#user_au...

И вообще, один и тот же sendmail может одновременно поддерживать сразу все в куче:
  авторизацию
  ssl
  dnsbl
  greylist
  spamassasin
  clamav

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "sendmail: plain smtp+dnsbl   и   smtp ssl+без dnsbl "  
Сообщение от rtype email(ok) on 04-Авг-08, 23:16 
>[оверквотинг удален]
>Маленький пример настройки http://wiki.zeynalov.com/vagif:docs:freebsd:sendmail#user_au...
>
>И вообще, один и тот же sendmail может одновременно поддерживать сразу все
>в куче:
>  авторизацию
>  ssl
>  dnsbl
>  greylist
>  spamassasin
>  clamav

не о том вопрос немного:
smtp на 25 порту остается как есть, с авторизацией и прочим, в тч с dnsbl, принимает
все для своего домена, как и раньше (с учетом обычного списка проверки).
smtp на ssl порту работает только с авторизацией, без dnsbl, а все прочее не принимает.

dnsbl дропает все коннекции еще до smtp-auth, сразу на входе, тупо по ip.

Roman


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "sendmail: plain smtp+dnsbl   и   smtp ssl+без dnsbl "  
Сообщение от vagif on 05-Авг-08, 08:38 

>smtp на ssl порту работает только с авторизацией, без dnsbl, а все
>прочее не принимает.
>
>dnsbl дропает все коннекции еще до smtp-auth, сразу на входе, тупо по
>ip.

у тебя что-то криво настроено, так не должно быть.
покажи .mc конфиг файл

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "sendmail: plain smtp+dnsbl   и   smtp ssl+без dnsbl "  
Сообщение от rtype email(ok) on 05-Авг-08, 21:50 
>
>>smtp на ssl порту работает только с авторизацией, без dnsbl, а все
>>прочее не принимает.
>>
>>dnsbl дропает все коннекции еще до smtp-auth, сразу на входе, тупо по
>>ip.
>
>у тебя что-то криво настроено, так не должно быть.
>покажи .mc конфиг файл

dnl порезал, вроде ничего лишнего не задел...

divert(-1)dnl
include(`/usr/share/sendmail-cf/m4/cf.m4')dnl
VERSIONID(`setup for linux')dnl
OSTYPE(`linux')dnl
dnl #
define(`confMILTER_MACROS_ENVRCPT',`b')dnl
INPUT_MAIL_FILTER(`spamassassin',`S=local:/var/run/spamass.sock, F=, T=C:15m;S:4m;R:4m;E:10m')dnl
INPUT_MAIL_FILTER(`clmilter', `S=local:/var/run/clamav/clmilter.sock, F=, T=S:4m;R:4m')dnl
dnl INPUT_MAIL_FILTER(`greylist', `S=local:/var/run/milter-greylist/milter-greylist.sock')dnl
dnl #
define(`confDEF_USER_ID', ``8:12'')dnl
define(`confTO_CONNECT', `1m')dnl
define(`confTRY_NULL_MX_LIST', `True')dnl
define(`confDONT_PROBE_INTERFACES', `True')dnl
define(`PROCMAIL_MAILER_PATH', `/usr/bin/procmail')dnl
define(`ALIAS_FILE', `/etc/aliases')dnl
define(`STATUS_FILE', `/var/log/mail/statistics')dnl
define(`UUCP_MAILER_MAX', `2000000')dnl
define(`confUSERDB_SPEC', `/etc/mail/userdb.db')dnl
define(`confPRIVACY_FLAGS', `authwarnings,novrfy,noexpn,restrictqrun')dnl
define(`confAUTH_OPTIONS', `A y')dnl
TRUST_AUTH_MECH(`DIGEST-MD5 CRAM-MD5')dnl
define(`confAUTH_MECHANISMS', `DIGEST-MD5 CRAM-MD5')dnl
define(`confDEF_AUTH_INFO', `/etc/mail/auth/auth-info')dnl
dnl #
define(`confCACERT_PATH', `/etc/mail/certs')dnl
define(`confCACERT', `/etc/mail/certs/cacert.pem')dnl
define(`confSERVER_CERT', `/etc/mail/certs/sendmail.pem')dnl
define(`confSERVER_KEY', `/etc/mail/certs/sendmail.pem')dnl
define(`confCLIENT_CERT', `/etc/mail/certs/sendmail.pem')dnl
define(`confCLIENT_KEY', `/etc/mail/certs/sendmail.pem')dnl
DAEMON_OPTIONS(`Port=smtp, Name=MTA')dnl
DAEMON_OPTIONS(`Family=inet, Port=smtps, Name=MSA-SSL, M=sA')dnl
DAEMON_OPTIONS(`Port=submission, Name=MSA, M=sA')dnl
define(`confTO_IDENT', `0')dnl
dnl FEATURE(delay_checks)dnl
FEATURE(`no_default_msa', `dnl')dnl
FEATURE(`smrsh', `/usr/sbin/smrsh')dnl
FEATURE(`mailertable', `hash -o /etc/mail/mailertable.db')dnl
FEATURE(`virtusertable', `hash -o /etc/mail/virtusertable.db')dnl
FEATURE(redirect)dnl
FEATURE(always_add_domain)dnl
FEATURE(use_cw_file)dnl
FEATURE(use_ct_file)dnl
define(`confMAX_DAEMON_CHILDREN', `128')dnl
define(`confCONNECTION_RATE_THROTTLE', `3')dnl
FEATURE(local_procmail, `/usr/bin/maildrop', `maildrop -d $u')dnl
FEATURE(`access_db', `hash -T<TMPF> -o /etc/mail/access.db')dnl
FEATURE(`blacklist_recipients')dnl
EXPOSED_USER(`root')dnl
dnl #
FEATURE(`accept_unresolvable_domains')dnl
dnl FEATURE(`relay_based_on_MX')dnl
LOCAL_DOMAIN(`localhost.localdomain')dnl

FEATURE(`dnsbl', `dul.ru', `550 Use mail relays of your ISP')dnl
FEATURE(`dnsbl', `dialups.mail-abuse.org',`550 Mail from $&{client_addr} rejected; see http://mail-abuse.org/dul/enduser.htm')dnl
FEATURE(`dnsbl', `blackholes.mail-abuse.org',`550 Mail from $&{client_addr} rejected; see http://mail-abuse.org/cgi-bin/lookup?$&{client_addr}')dnl
FEATURE(`dnsbl', `relays.mail-abuse.org',`550 Mail from $&{client_addr} rejected; see http://work-rss.mail-abuse.org/cgi-bin/nph-rss?$&{client_addr}')dnl
FEATURE(`dnsbl', `list.dsbl.org',`550 Mail from $&{client_addr} rejected; see http://dsbl.org/listing.php?$&{client_addr}')dnl
FEATURE(`dnsbl', `multihop.dsbl.org',`550 Mail from $&{client_addr} rejected; see http://dsbl.org/listing.php$&{client_addr}')dnl
FEATURE(`dnsbl', `unconfirmed.dsbl.org',`550 Mail from $&{client_addr} rejected; see http://dsbl.org/listing.php?$&{client_addr}')dnl

FEATURE(dnsbl, `cbl.abuseat.org', `"550 Mail from " $&{client_addr} " rejected - see cbl.abuseat.org"')
FEATURE(dnsbl, `dnsbl.njabl.org', `"550 Mail from " $&{client_addr} " rejected - see dnsbl.njabl.org"')
FEATURE(dnsbl, `dnsbl.sorbs.net', `"550 Mail from " $&{client_addr} " rejected - see dnsbl.sorbs.net"')
FEATURE(dnsbl, `list.dsbl.org', `"550 Mail from " $&{client_addr} " rejected - see list.dsbl.org"')
FEATURE(dnsbl, `zen.spamhaus.org', `"550 Mail from " $&{client_addr} " rejected - see zen.spamhaus.org"')
dnl# FEATURE(dnsbl, `dnsbl-1.uceprotect.net', `"550 Mail from " $&{client_addr} " rejected - see uceprotect.net"')
dnl# FEATURE(dnsbl, `dnsbl-3.uceprotect.net', `"550 Mail from " $&{client_addr} " rejected - see uceprotect.net"')
FEATURE(`enhdnsbl', `bl.spamcop.net', `"Spam blocked see: http://spamcop.net/bl.shtml?"$&{client_addr}')dnl
dnl #
dnl #
MASQUERADE_DOMAIN(my_mail_host.domain)dnl
MAILER(local)dnl
MAILER(smtp)dnl
dnl MAILER(procmail)dnl
dnl MAILER(cyrusv2)dnl


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "sendmail: plain smtp+dnsbl   и   smtp ssl+без dnsbl "  
Сообщение от rtype email(ok) on 06-Авг-08, 00:40 
да, подобная проблема описана здесь:
https://www.opennet.ru/openforum/vsluhforumID1/75555.html
и здесь:
https://www.opennet.ru/openforum/vsluhforumID1/78363.html
поправил конфиг аналогичным образом:
sendmail.mc
FEATURE(delay_check)

sendmail.cf
SLocal_check_relay
#Do not check if it is  smtp-authenticated mail
R$*                     $: < $&{auth_authen} >
R< $+ >                 $@ OK)

- нифига, не помогло:

Aug  6 00:33:44 mail0 sendmail[29144]: m75KXhoC029144: ruleset=check_rcpt, arg1=<test@myhost.ru>, relay=ppp89-110-46-118.pppoe.avangarddsl.ru [89.110.46.118], reject=550 5.7.1 <test@myhost.ru>... Mail from 89.110.46.118 rejected - see zen.spamhaus.org
Aug  6 00:33:44 mail0 sendmail[29144]: m75KXhoC029144: from=<test@myhost.ru>, size=0, class=0, nrcpts=0, proto=ESMTP, daemon=MTA-SSL, relay=ppp89-110-46-118.pppoe.avangarddsl.ru [89.110.46.118]

вероятно пропадает заполнение {auth_authen}?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "sendmail: plain smtp+dnsbl   и   smtp ssl+без dnsbl "  
Сообщение от rtype email(ok) on 04-Авг-08, 23:38 

вот что происходит еще до авторизации:
изначально даже хотел запихивать такие ip в iptables на неделю после нескольких попыток,
но побоялся наплодить лишних проблем.

Aug  4 18:55:22 mail0 sendmail[11491]: ruleset=check_relay, arg1=MS-18-24.dyn-ip-II.SPb.SkyLink.RU, arg2=127.0.0.10, relay=MS-18-24.dyn-ip-II.SPb.SkyLink.RU [89.253.24.18], reject=550 5.7.1 Mail from 89.253.24.18 rejected - see dnsbl.sorbs.net

и, хотелось бы так оставить, а вот для SSL порта думаю убрать DNSBL листы.
без авторизации на 25 порту можно прекрасно обойтись.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "sendmail: plain smtp+dnsbl   и   smtp ssl+без dnsbl "  
Сообщение от rtype email(ok) on 06-Авг-08, 01:34 
все. вопрос закрыт. проблема решена.
дело было в отсутствии FEATURE(delay_checks)dnl
и в define(`confAUTH_OPTIONS', `A p y')dnl
вместо: define(`confAUTH_OPTIONS', `A')dnl

спасибо.
:)

PS аутглюк наредкость пакостный...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "sendmail: plain smtp+dnsbl   и   smtp ssl+без dnsbl "  
Сообщение от rtype email(ok) on 06-Авг-08, 11:23 
>все. вопрос закрыт. проблема решена.
>дело было в отсутствии FEATURE(delay_checks)dnl
>и в define(`confAUTH_OPTIONS', `A p y')dnl
>вместо: define(`confAUTH_OPTIONS', `A')dnl
>
>спасибо.
>:)
>
>PS аутглюк наредкость пакостный...

PPS забыл: еще + LOGIN PLAIN в конфиг вернул.
TRUST_AUTH_MECH(`LOGIN PLAIN DIGEST-MD5 CRAM-MD5')dnl
define(`confAUTH_MECHANISMS', `LOGIN PLAIN DIGEST-MD5 CRAM-MD5 ')dnl


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру