Postfix - nem létező belső e-mailcímek szűrése

Flame

Postfix - nem létező belső e-mailcímek szűrése

  • 1226 megtekintés

( szucs_t | 2004. 08. 18., sze – 09:55 )

Nekem rpm-es vegyes rendszerem van, s a rpm -qa|grep postfix nem ír ki semmit. Az előadásanyagot megnéztem, jónak tűnik, köszi, komolyabban elolvasom, megéri.

( szucs_t | 2004. 08. 18., sze – 10:02 )

[quote:a4d5dddbfc="Ysolt"]Szerintem kulon kell megadni, a problemadra pedig talan a kovetkezo oldal a megoldas:
http://archives.neohapsis.com/archives/postfix/2001-11/2209.html

Hogyha ez nem segit, akkor tessek itt korulnezni:
http://www.google.com/search?q=specify+at+least+one
+explicit+instance+of%3A+check_relay_domains+reject_unauth_destination
+reject+&sourceid=firefox&start=0&start=0&ie=utf-8&oe=utf-8

Köszi, megnézem!

( szucs_t | 2004. 08. 18., sze – 10:52 )

[quote:79d024103e="Ysolt"]Egyebkent Postfix 2-re az user ellenorzes (ha jol sejtem local_recipient_maps) miatt erdemes atterni. Ahogy mar a korabbi hozzaszolasokban szo esett rola a Postfix a level atvetelekor le tudja ellenorizni, hogy letezik e az adott cimzett vagy se, es igy at se veszi a levelet.

Na, a smtpd_recipient_restrictions működik! De hogyan lehet Cyrus fióknál meghatározni, hogy a nem létező benti e-mailcímeket szűrje?

( szucs_t | 2004. 08. 19., cs – 11:36 )

Helló emberek!

A belső azonosítással kapcsolatban lenne hozzátok kérdésem. A Cyrus-Postfix-Procmail levelező-kiszolgálómmal levelező-klienssel és webmaillel is levelezhetnek. Ha a belső hálózatról levelező-klienssel (pontosabban Outlookkal és Outlook Expressel) küldenek levelet kívülre, akkor a levél elmegy a kinti címzetthez de a /var/log/mail naplóállományban a következőt írja:

"smtpd[1234]: disconnect from unknown[172.16.128.123]"

A 172.16.128.123 a belső munkaállomás IP-címe, ahonnan éppen küldik a levelet.

Mit kell tennem, hogy ne találja ismeretlennek a címet?

( szucs_t | 2004. 08. 25., sze – 07:10 )

[quote:8aa71e28f1="mocsi"][quote:8aa71e28f1="szucs_t"][quote:8aa71e28f1="congo"]csinálj belső reverse dns-t :idea:

És ha DHCP osztja ki a címeket, hogyan oldjam meg?

Adj meg fix lease-ingeket MAC kartyahoz rendelve a dhcp.conf-ban.

host ISTVAN { hardware ethernet AA:00:04:00:84:07;
fixed-address fixip.cime.a.kartyanak;}

Igen, egy-két fontosabb géphez (pl másik szerverhez, karbantartói munkaállomáshoz) készítettem is ilyeneket. De hogyan lehet megtenni azt, hogy a belső hálózat masináira a postfix naplója írja ki, hogy a belső hálózaté? Ok, az IP-címekből úgyis kiderül. De van valamilyen módja ennek? Mert szeretném kideríteni, hogy honnan a manóból vannak azok a csak látszólag a tartományunkról való e-mailcímek, amelyek nem léteznek a Cyrus-felhasználók között. Ha más úton is (ami biztos, és biztosan egyszerűbb is) megoldható ez a probléma, akkor szívesen hallgatnám.

Van egy olyan állomány, hogy var/imap/mailboxes, amiben minden felhasználó így szerepel:

user.felhasznalo default felhasznalo lrswipcda cyrus lrscwipcda

ahol a "felhasznalo" a felhasználói fiókok igazi nevei, a "lrswipcda" pedig a fiókjogok. Persze ez az állomány tartalmazza az összes al- és csoportmappát is.

Hogyan tudom leellenőrizni ilyen állományt használva a postfixben, hogy a tartományon belüli e-mailcím helyes-e?

( congo v | 2004. 08. 19., cs – 11:49 )

csinálj belső reverse dns-t :idea:

( szucs_t | 2004. 08. 25., sze – 08:36 )

Kedves Fórumozótársak!

Nem tudjátok, hogy a Cyrus milyen állományban tárolja a felhasználók alias-neveit? Mert a /var/imap/mailboxes állományban nem. Ja, a Cyrusom PAM-es.

( -Mr- | 2004. 08. 25., sze – 09:07 )

Hali!

Szerintem Cyrus-hoz nincs kifejezetten alias név, mivel mailboxok vannak. Az aliasoknak az smtp szervernél van jelentősége, hogy melyik mailboxba továbbitsa az aliasra érkező levelet. Ez lehet plain text, mysql tábla, bármi ami tud egy alias|mailbox páros listát produkálni.

Mi Cyrust, Postfixet, MySql-t és saját admin felületet használunk a felhasználók, a levelező fiókok és a hozzá tartozó alias lista létrehozására/karbantartására.

Létezik egy WebCyrAdm nevü program, ami hasonló, mint amit mi használunk, az is nagyon jó. Ahoz még egy k.... jó How-To is létezik.

-Mr-

( szucs_t | 2004. 08. 25., sze – 11:10 )

[quote:b8bfe93703="-Mr-"]Hali!

Szerintem Cyrus-hoz nincs kifejezetten alias név, mivel mailboxok vannak. Az aliasoknak az smtp szervernél van jelentősége, hogy melyik mailboxba továbbitsa az aliasra érkező levelet. Ez lehet plain text, mysql tábla, bármi ami tud egy alias|mailbox páros listát produkálni.

Mi Cyrust, Postfixet, MySql-t és saját admin felületet használunk a felhasználók, a levelező fiókok és a hozzá tartozó alias lista létrehozására/karbantartására.

Létezik egy WebCyrAdm nevü program, ami hasonló, mint amit mi használunk, az is nagyon jó. Ahoz még egy k.... jó How-To is létezik.

-Mr-

Hol, hogyan lehet megtudni, hogy mi tárolja az aliasokat? Egyszerűen nem találom sehol. Milyen beállítóállományabn keresgéljek?

( -Mr- | 2004. 08. 25., sze – 11:31 )

Bocsi az elöbb én kevertem az aliast a virtual-al.

De az aliasra majdnem ugyanaz áll.

Alapból az aliasokat az /etc/aliases file-ban tárolja.

Mire akarod használni az aliasokat? A felhasználók virtuálisak, vagy rendelkeznek shell-el?

Postfixnél a main.cf-ben lehet megadni a alias definiciókat, pl.:
[code:1:0eb186410f]alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases[/code:1:0eb186410f]

-Mr-

( szucs_t | 2004. 08. 25., sze – 11:38 )

Meg van, hol tárolja az aliasokat. LDAP-szerint, a /var/lib/ldap/alias.dbb állományban. És a /var/lib/ldap/ katalógusban van minden fiók is. Végre, legalább ezt megtaláltam. LDAP-ból hogyan lehet megállapíttatni a postfixszel, hogy a nem létező e-mailcímeket szűrje? Ez nagyon fontos lenne, már szenvedek ezzel a nem létező belső e-mailcím-problémával egy ideje.

( szucs_t | 2004. 08. 25., sze – 11:47 )

[quote:c352b80c4a="-Mr-"]Bocsi az elöbb én kevertem az aliast a virtual-al.

De az aliasra majdnem ugyanaz áll.

Alapból az aliasokat az /etc/aliases file-ban tárolja.

Mire akarod használni az aliasokat? A felhasználók virtuálisak, vagy rendelkeznek shell-el?

Postfixnél a main.cf-ben lehet megadni a alias definiciókat, pl.:
[code:1:c352b80c4a]alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases[/code:1:c352b80c4a]

-Mr-

A felhasználók csak virtiálisak, csak egyik másik létezik, aminek van is héja. a main.cf nálam is tartalmazza a /etc/aliases-t, de az ldapot is. (Végre meg is van a helye.)

Végre azt akarom beállítani, hogy azokról a belső címekről, amelyek nincsenek benne a virtuális felhasználók és azok aliasai között, egyszerűen a Postfix (annak sendmailje) ne engedjen üzenetet írni. Pl. a cég tartománya "ceg.hu", és állandóan mindenféle vírus meg mittudoménmilyen kémprogram egy 2miska@ceg.hu-ról és hasonlókról vírusos és egyéb szemét leveleket küldözget, amit a levelező el is fogad. Ezt a vírusok leirtása mellett hogyan oldhatnám meg? Mert az nem valami jó levelező-kiszolgáló, amely nem létező e-mailcímekről küldözget mindenféle vírust és spamet, mégha azok egy részét a SpamAssassin és a ClamAV szűri is.

( szucs_t | 2004. 08. 27., p – 07:40 )

Nincs senkinek konkrét megoldása, vagy olyan tanácsa, ami azen szűrés filozófiáját mutatná be?

Tudtok valamilyen, lehetőleg magyar nyelvű könyvet, ami kimondottan a levélszemét-szűrésről és a biztonságos DNS, MTA kialakításról beszélne?

( -Mr- | 2004. 08. 25., sze – 12:09 )

Az Ldap-hoz nem értek, de szerintem így kellene:

smtpd_recipient_restrictions=check_recipient_access ldap:LdapKérés

valamilyen ldap lekérdezés, amit te állítasz be az igényeid szerint.

-Mr-

( szucs_t | 2004. 08. 25., sze – 14:23 )

[quote:47bb5f8371="-Mr-"]Az Ldap-hoz nem értek, de szerintem így kellene:

smtpd_recipient_restrictions=check_recipient_access ldap:LdapKérés

valamilyen ldap lekérdezés, amit te állítasz be az igényeid szerint.

-Mr-

Értem, és kösz a segítséget. Hátha mégis tudsz ebben segíteni, ezért leírom, mit tartalmaz a main.cf:

[code:1:47bb5f8371]
smtpd_recipient_restrictions = ldap:ldapmailenab, check_relay_ccerts, permit_mynetworks, check_relay_domains
[/code:1:47bb5f8371]

Hogyan tudnám beállítani az aktuális igényemet? Vagy hol nézhetnék utána az ldap-postfix-ről?

( szucs_t | 2004. 08. 25., sze – 14:45 )

Ha beteszem az "smtpd_recipient_restrictions ="-hez a "reject_unknown_recipient_domain"-t és a "reject_non_fqdn_recipient"-et, az ugye nem elegendő? Mit csinál tulajdonképpen a "reject_unauth_pipelining" és a reject_unauth_destination"?

( -Mr- | 2004. 08. 25., sze – 17:29 )

Lehet korábban félreértettem a kérdésedet... :)

Ha jól értem a küldő jogosultságát akarod ellenőrizni, nem azt hogy bejöhet-e a levél...

Ha így van, akkor nem a smtpd_recipient_restrictions részhez kell beállítani a z ellenőrzést, hanem az smtpd_sender_restrictions részhez...

Talán ez müködő dolog lehet, de nem tudom kipróbálni, de ebbe az irányba keresgélj

[code:1:5114df3d1e]smtpd_sender_restrictions=check_sender_access,ldap:ldapmailenab,permit[/code:1:5114df3d1e]

-Mr-

( -Mr- | 2004. 08. 25., sze – 17:34 )

http://www.fredshack.com/docs/postfix.html

( szucs_t | 2004. 08. 23., h – 15:29 )

[quote:a4cfe08394="congo"]csinálj belső reverse dns-t :idea:

És ha DHCP osztja ki a címeket, hogyan oldjam meg?

( szucs_t | 2004. 08. 25., sze – 21:22 )

Igazából nem is a küldő jogosultságait akarom ellenőrizni, hanem azokat az e-mailcímeket kiszűrni, melyek nem léteznek. Olyan levelekt kapok a ceg.hu-ról (a "ceg.hu" a mi cégünk tartományneve), amelyek belső IP-címről érkeznek, de nem léteznek, mint fiókok és mint aliasok. Ezeket hogyan szűrhetem ki? Hogyan mondhatom meg a Postfixnek, hogy csak olyan belső tartománynévről érkező e-maileket engedjen küldeni-fogadni, amelyek valódi fiókok vagy aliasok.

( mocsi | 2004. 08. 23., h – 18:06 )

[quote:33ce0f9c9d="szucs_t"][quote:33ce0f9c9d="congo"]csinálj belső reverse dns-t :idea:

És ha DHCP osztja ki a címeket, hogyan oldjam meg?

Adj meg fix lease-ingeket MAC kartyahoz rendelve a dhcp.conf-ban.

host ISTVAN { hardware ethernet AA:00:04:00:84:07;
fixed-address fixip.cime.a.kartyanak;}

( szucs_t | 2004. 08. 26., cs – 09:43 )

Szép napot!

[code:1:65f7c40470]
unknown_local_recipient_reject_code = 550
[/code:1:65f7c40470]

Ez mit csinál tulajdonképpen?

[code:1:65f7c40470]
local_recipient_maps = proxy:unix:passwd.byname $alias_maps
[/code:1:65f7c40470]

És e helyett mit írjak ldap alatt?

( szucs_t | 2004. 08. 18., sze – 08:06 )

Helló mindenkinek!

Hogyan lehet megoldani azt a problémát, hogy a levelező-kiszolgáló ne engedje be azokat az e-maileket, amelyek látszatra olyan saját tartománynevű e-mailcímről érkeznek, amelyek nem léteznek a tartományban? Pl. rendszeresen kapok a 20kalimpal@sajatdomain.org-ról, pedig a sajatdomain.org-on nincs ilyen e-mailcím, és ez bosszantó.

( kohinoor | 2004. 08. 18., sze – 08:20 )

/usr/local/etc/postfix/access

Itt beirod az osszes cimet:

xy@fake.net OK

Igy aki a fake.net-re akar kuldeni kivulrol levelet, az csak erre a cimre fog tudni, ha masra kuldi, akkor nem jatszik. Ugyhogy sorold fel itt az osszes cimet, es kesz.

postmap /usr/local/etc/postfix/access is kell.

A main.cf -ben pedig:

smtpd_recipient_restrictions = check_recipient_access hash:/usr/local/etc/postfix/access

postmap /usr/local/etc/postfix/main.cf && postfix reload

Remelem nem ertettem felre, szerintem ez megoldja a problemat.

( uid_194 | 2004. 08. 18., sze – 08:27 )

[quote:0f121d1658="szucs_t"]Hogyan lehet megoldani azt a problémát, hogy a levelező-kiszolgáló ne engedje be azokat az e-maileket, amelyek látszatra olyan saját tartománynevű e-mailcímről érkeznek, amelyek nem léteznek a tartományban? Pl. rendszeresen kapok a 20kalimpal@sajatdomain.org-ról, pedig a sajatdomain.org-on nincs ilyen e-mailcím, és ez bosszantó.

Egy alternativ megoldas, picit flexibilisebb es kevesebb irogatast meg listazast igenyel, ha csinalsz egy olyan scriptet, ami:

1) Postfix policy delegation daemon (lasd bovebben itt: http://www.postfix.org/SMTPD_POLICY_README.html )
2) Annyit csinal, hogy valahogy rajon, mik a sajat domainek (postconf-al megnezi pl mydestionation valtozot), majd megnezi a levelet, hogy ki a feladoja, ha az valamelyik local domain, akkor getent -el megnezi van-e olyan user, ha igen, engedi tovabb, ha nem, reject.

Shellben osszedobtam mar hasonlot, de nincs keznel.. mindenesetre alig par soros az egesz. Ha erdekel valakit, elobanyaszhatom a scriptet.

( szucs_t | 2004. 08. 18., sze – 08:34 )

Köszi a gyors választ, kohinoor!

Én azt akarom, hogy bárki küldhessen levelet a saját tartományon belüli bármely e-mailcímre, amely létezik, természetesen a spameket kiszűrve -- amit nagyjából meg is oldottam --, és (és ez a problémám), ha a küldő a saját tartományon belülinek adja magát, de az a fiók nem létezik, akkor azt ne engedje be.

Az access állomány tulajdonképpen mit kell, hogy tartalmazzon, mi célt szolgál?

Talán könnyebb, ha leírom a main.cf egy részét:

smtpd_recipient_limit = 30
#smtpd_error_sleep_time = 20s
#smtpd_timeout = 60s
smtpd_soft_error_limit = 10
smtpd_hard_error_limit = 20

strict_rfc821_envelopes = yes

smtpd_helo_required = yes
smtpd_client_restrictions =
smtpd_helo_restrictions =
smtpd_sender_restrictions =
#smtpd_recipient_restrictions =
permit_mynetworks,
reject_invalid_hostname,
reject_unknown_client,
reject_unknown_hostname,
reject_non_fqdn_hostname,
reject_unknown_sender_domain,
reject_non_fqdn_sender,
reject_sender_login_mismatch,
reject_rbl_client = relays.ordb.org,
reject_rbl_client = proxies.relays.monkeys.com,
reject_rbl_client = proxies.blackholes.easynet.nl,
reject_rbl_client = zombie.dnsbl.sorbs.net,
reject_rbl_client = cbl.abuseat.org

Mi hiányzik még? A megjegyzések szándékosak, mert ha azokat a sorokat beírom, nem fogad el kívülről leveleket. Érdekes, hogy ha az "smtpd_recipient_restrictions"-t beírom, akkor sem fogad el kívülről levelet.

( szucs_t | 2004. 08. 18., sze – 08:43 )

Kedves algernon!

Köszi, valami ilyesmire gondoltam. Engem érdekel az a szkript.

Mi baj lehet az "smtpd_recipient_restrictions"-szel? Nem lehet, hogy az "smtpd_recipient_limit = 30" vagy a "strict_rfc821_envelopes = yes" kavar be valamit? Az utóbbi tulajdonképpen miért jó? Valahol olvastam, hogy az RFC 821-es szabványt tegyem be, de az jó nekem?

( uid_228 | 2004. 08. 18., sze – 08:46 )

[quote:f43af6cd7a="szucs_t"]Helló mindenkinek!

Hogyan lehet megoldani azt a problémát, hogy a levelező-kiszolgáló ne engedje be azokat az e-maileket, amelyek látszatra olyan saját tartománynevű e-mailcímről érkeznek, amelyek nem léteznek a tartományban? Pl. rendszeresen kapok a 20kalimpal@sajatdomain.org-ról, pedig a sajatdomain.org-on nincs ilyen e-mailcím, és ez bosszantó.

Azt nem mondtad el, hogy unix usereket használsz, vagy valami virtuális postaláda-rendszert!

Az előbbi esetben ezt rakd bele a main.cf-be, ez elég ahhoz, hogy a nem létező azonosítókra érkező leveleket visszautasítsa:

[code:1:f43af6cd7a]
alias_maps = hash:/etc/aliases
unknown_local_recipient_reject_code = 550
local_recipient_maps = proxy:unix:passwd.byname $alias_maps
[/code:1:f43af6cd7a]

1.x-es Postfixen a "proxy:" prefixet vedd ki a 3. sorból, mert nem tud ilyet még (a Debian Woodyban ez van). Ahhoz viszont, hogy így is tudja ellenőrizni az adott userid létezését, az smtp szervert a master.cf-ben ki kell szedned chroot-ból. Valamit valamiért. :) Nyugodtan megteheted, szerintem a Postfix van annyira biztonságos és átgondoltan megírt, hogy ez ne okozzon problémát.

( Ysolt | 2004. 08. 18., sze – 08:51 )

Igen a local_recipient_maps a 2es verzioba jelent meg. En ahogy felfrissitettem a woodysrol rogton el is kezdett mukodni magatol is.
Egykent, ha mas fele szurest is szeretnel alkalmazni akkor a kovetkezo oldalt ajanlom, mert szerintem nagyon jo:
http://www.securitysage.com/antispam/intro.html

( szucs_t | 2004. 08. 18., sze – 09:01 )

Kedves Adi!

Nem valós felhasználóké a fiókok, Cyrust használok, s abban hozom létre a fiókokat. Így hogyan ellenőrizzem le, hogy létezik-e egy adott fiók?

( szucs_t | 2004. 08. 18., sze – 09:06 )

Kedves Ysolt!

Az smtpd_recipient_restrictions-nek működnie kellene az én Postfixem alatt is, nem?

Használok másféle szűrést is, ClamAV-ot és SpamAssassin-t. Elégedett is vagyok velük.

(Elnézést, az smtpd_recipient_restrictions-nél fentebbi hozzászólásomban elírtam, ha bekapcsolom, kintről nem kapok levelet. Hogy miért...?)

( Ysolt | 2004. 08. 18., sze – 09:16 )

[quote:9be3eb0bbb="szucs_t"]
Talán könnyebb, ha leírom a main.cf egy részét:

smtpd_recipient_limit = 30
#smtpd_error_sleep_time = 20s
#smtpd_timeout = 60s
smtpd_soft_error_limit = 10
smtpd_hard_error_limit = 20

strict_rfc821_envelopes = yes

smtpd_helo_required = yes
smtpd_client_restrictions =
smtpd_helo_restrictions =
smtpd_sender_restrictions =
#smtpd_recipient_restrictions =
permit_mynetworks,
reject_invalid_hostname,
reject_unknown_client,
reject_unknown_hostname,
reject_non_fqdn_hostname,
reject_unknown_sender_domain,
reject_non_fqdn_sender,
reject_sender_login_mismatch,
reject_rbl_client = relays.ordb.org,
reject_rbl_client = proxies.relays.monkeys.com,
reject_rbl_client = proxies.blackholes.easynet.nl,
reject_rbl_client = zombie.dnsbl.sorbs.net,
reject_rbl_client = cbl.abuseat.org

Na most a problema az hogy azt a sort nem hashelheted ki hulon mivel az alatta levo szabalyok arra vonatkoznak. Tehat azok kozott kell keresni a hibat. Szerintem a logbol nezzed meg, hogy milyen hibaval utasitja el a levelet!

A tovabbi szurest pedig azert ajanlom,mert konnyen meg lehet szabaditani a gepet nehany felesleges ellenorzestol a regexp keresessel. En fokent az indithato kiterjeszteseket szoktam kitiltani.

( szucs_t | 2004. 08. 18., sze – 09:28 )

Hogyan lehet megtudni a postfix verziószámát?

( Ysolt | 2004. 08. 18., sze – 09:30 )

Egyebkent Postfix 2-re az user ellenorzes (ha jol sejtem local_recipient_maps) miatt erdemes atterni. Ahogy mar a korabbi hozzaszolasokban szo esett rola a Postfix a level atvetelekor le tudja ellenorizni, hogy letezik e az adott cimzett vagy se, es igy at se veszi a levelet.

Persze, ha megoldhato erdemes eloszor nem eles helyzetben kiprobalni hogy kompatiblis e a Backportson forditott a rendszereddel,mert velem tortent mar olyan,hogy egyszeruen be szepen jottek a levelek de ki az istenert se akart menni. Bar mondjuk ez egy elegge erdekes helyzet volt,mert kesobb kiprobaltam a sima woodys Postfixet es azzal is hasonlo hibat adott vissza. Lehet, hogy nyomot hagyott az,hogy nem tiszta woody install volt,hanem potato-rol dist-upgrade-oltam. Majd egy Sarge upgrade-tol varom a hiba megoldasat:)

Ezen tul meg tudom ajanlani Kadlecsik Jozsef Postfix eloadasat:
http://ipszilon.iif.hu/

( Ysolt | 2004. 08. 18., sze – 09:33 )

[quote:3b56655489="szucs_t"]Hogyan lehet megtudni a postfix verziószámát?

Debian eseten
dpkg -l postfix

ebben nem vagyok biztos, de talan Rpm eseten:
rpm -qa|grep postfix

Kerlek javitsatok ki ha tevedek!

( szucs_t | 2004. 08. 18., sze – 09:43 )

Kedves Ysolt!

A szabályokat külön-külön kell megadni, vagy lehet közöseket egybe ömlesztve is írni?

Pl. az

"smtpd_helo_restrictions =
smtpd_sender_restrictions =
permit_mynetworks"

helyes, vagy csak a

"smtpd_sender_restrictions =
permit_mynetworks
smtpd_helo_restrictions =
permit_mynetworks"

elfogadható?

A regexpel már próbálkoztam, valami nem stimmelt vele, de lehet, hogy valamit elkolbászoltam. Biztos, hogy abban is hamarosan kérném a segítséget.

A logot megnéztem, a következőt írta ki:

...fatal: parameter "smtpd_recipient_restrictions": specify at least one explicit instance of: check_relay_domains reject_unauth_destination reject

Mi, mivel van a baja?