Postfix smtpd_sender_restrictions

Linux-kezdő

Postfix smtpd_sender_restrictions

  • 5947 megtekintés

( Mik v | 2005. 12. 30., p – 07:15 )

[quote:d74360ce81="keri"]
Amúgy fontos lenne szerintem a helo_rest-be hogy mi a válasza a másik smtp szervernek. meg még vannak jó kis dolgok más restrictionba is.

Ezt nem igazán értem. A postfix teljesen korrekt választ küld a másik smtp szervernek, ha azt egy rendszergazda megnézni, abból minden kiderül. Bizonyos mértékig egyébként bele lehet ebbe nyúlni, de egy bizonyos mérték után már a postfix forrást kell átírni.

Mik

( Mik v | 2005. 12. 30., p – 07:17 )

[quote:b32d08b6fe="tso"][quote:b32d08b6fe="keri"]Még annyi, hogy esetleg arra van vmi lehetőség, hogyha false user küld mailt

pl: cdertzyy@yahoo.com

akkor vhogy megnézze, hogy a yahoo.com-nál tényleg létezik e cdertzyy@yahoo.com mail cím? És ha nem akkor REJECT, ha igen OK...

8O

reject_unverified_sender
http://www.postfix.org/ADDRESS_VERIFICATION_README.html

Ja, ja, bár asszem pont a yahoo-nál nem működik, mert a yahoo minden címre azt mondja vissza, hogy az létezik. (legalábbis még a nyáron így volt, azóta lehet változtattak ezen)

Mik

( keri | 2005. 12. 30., p – 08:00 )

[quote:27cd524446="Mik"][quote:27cd524446="tso"][quote:27cd524446="keri"]Még annyi, hogy esetleg arra van vmi lehetőség, hogyha false user küld mailt

pl: cdertzyy@yahoo.com

akkor vhogy megnézze, hogy a yahoo.com-nál tényleg létezik e cdertzyy@yahoo.com mail cím? És ha nem akkor REJECT, ha igen OK...

8O

reject_unverified_sender
http://www.postfix.org/ADDRESS_VERIFICATION_README.html

Ja, ja, bár asszem pont a yahoo-nál nem működik, mert a yahoo minden címre azt mondja vissza, hogy az létezik. (legalábbis még a nyáron így volt, azóta lehet változtattak ezen)

Mik

Szóval akkor csak ennyi?
smtpd_recipient_restriction = reject_unverified_sender

Köszi a linket, megnéztem. csak azt nem értem a Postfix ezt hogyan ellenőrzi. Küld egy levelet vissza? És mi van, ha az az smtp túl van terhelve és nem válaszol a postfixnek időben...stb.

Érdemes használni ezt a funkciót a spamelők ellen?
A spamassassint használom Debian alatt, Te mit tudnál még javasolni?

Előre is köszönöm!
Keri

( Mik v | 2005. 12. 30., p – 09:35 )

[quote:135e754870="keri"]
Szóval akkor csak ennyi?
smtpd_recipient_restriction = reject_unverified_sender

Köszi a linket, megnéztem. csak azt nem értem a Postfix ezt hogyan ellenőrzi. Küld egy levelet vissza? És mi van, ha az az smtp túl van terhelve és nem válaszol a postfixnek időben...stb.

Érdemes használni ezt a funkciót a spamelők ellen?
A spamassassint használom Debian alatt, Te mit tudnál még javasolni?

Előre is köszönöm!
Keri

Igen, csak ennyi. Igen, küld egy levelet. (ez így nem teljesen pontos, ugyanis nem küldi el a levelet, csak megpróbálja, de ennek olvass utána, ill. a logban nagyon jól látszik, hogy mit csinál) Nagyon érdemes használni, de pl. levlistás emailcímekkel lehet gond... Nálam amavisd-new van 2 féle vírusszűrővel+spamassassinnal ill. néhány emailcímre greylist (postgrey) van nálam bevezetve, ami nem rossz, de igen sokat tudnak késni tőle a levelek.
http://www.postfix.org/addon.html
Ajánlom olvasgatásra ezt:
http://chains.ch/docs/postfix-UCE-HOWTO-hu.html

Mik

( Mik v | 2005. 12. 30., p – 09:42 )

[quote:34646a5fdc="keri"]
És mi van, ha az az smtp túl van terhelve és nem válaszol a postfixnek időben...stb.
Keri

Ja igen. Röviden: semmi. A postfixed 450-es hibával visszadobja a levelet. Ha a túloldalt normális smtp van, akkor későb újraküldi a levelet, addigra remélhetőleg meg megtörténik a verifikáció.

( keri | 2006. 01. 02., h – 14:52 )

Hát most meg nem akar menni a sender_access.

/etc/postfix/sender_access

zskollath@vogelburda.hu REJECT Not Access This User
keri@message.hu REJECT Not Access This User
fbi.gov REJECT Not Access This User
postman@ REJECT Not Access This User

main.cf
smtpd_recipient_restriction
check_sender_access = hash:/etc/postfix/sender_access,

Ha jól tudom akkor a fent megadott mail címekre, domainre és postman@ akármire nem szabadna beesni a leveleknek.

De ez simán bejön. Postmap is volt természetesen.....
nem érteni

( keri | 2006. 01. 02., h – 16:03 )

Megvan.

smtp_sender_restrictionba írtam bele.

Most így néz ki a main.cf

smtpd_helo_required = yes
smtpd_client_restrictions =
smtpd_helo_restrictions =
smtpd_sender_restrictions = check_sender_access hash:/etc/postfix/sender_access,
smtpd_recipient_restrictions =
permit_mynetworks,
reject_unknown_sender_domain,
reject_unauth_destination,
reject_invalid_hostname,
reject_non_fqdn_hostname,
reject_non_fqdn_sender,
reject_non_fqdn_recipient,
reject_unknown_sender_domain,
reject_unknown_recipient_domain,
reject_rbl_client sbl-xbl.spamhaus.org,
reject_rbl_client relays.ordb.org,
reject_rbl_client bl.spamcop.net,
reject_rbl_client relays.ordb.org,
reject_rbl_client opm.blitzed.org,
reject_rbl_client list.dsbl.org,
reject_rbl_client sbl.spamhaus.org,
reject_rbl_client cbl.abuseat.org,
reject_rbl_client dul.dnsbl.sorbs.net,
reject_rhsbl_client blackhole.securitysage.com,
reject_rhsbl_client rhsbl.sorbs.net,
reject_rhsbl_sender dsn.rfc-ignorant.org,
reject_rhsbl_sender blackhole.securitysage.com,
reject_rhsbl_sender rhsbl.sorbs.net,
permit
smtpd_etrn_restrictions =
permit_mynetworks,
reject

Jó így a sorrend????????

( Mik v | 2006. 01. 02., h – 16:25 )

Mint azt már korábban írtam, hogy a sorrendet hogy alakítod ki az rajtad múlik, ill. ha működik jól a postfix, és minden szűrést csinál rendesen, akkor jó :D

Mik

[quote:a6da6cffc1="keri"]Megvan.

smtp_sender_restrictionba írtam bele.

Most így néz ki a main.cf

smtpd_helo_required = yes
smtpd_client_restrictions =
smtpd_helo_restrictions =
smtpd_sender_restrictions = check_sender_access hash:/etc/postfix/sender_access,
smtpd_recipient_restrictions =
permit_mynetworks,
reject_unknown_sender_domain,
reject_unauth_destination,
reject_invalid_hostname,
reject_non_fqdn_hostname,
reject_non_fqdn_sender,
reject_non_fqdn_recipient,
reject_unknown_sender_domain,
reject_unknown_recipient_domain,
reject_rbl_client sbl-xbl.spamhaus.org,
reject_rbl_client relays.ordb.org,
reject_rbl_client bl.spamcop.net,
reject_rbl_client relays.ordb.org,
reject_rbl_client opm.blitzed.org,
reject_rbl_client list.dsbl.org,
reject_rbl_client sbl.spamhaus.org,
reject_rbl_client cbl.abuseat.org,
reject_rbl_client dul.dnsbl.sorbs.net,
reject_rhsbl_client blackhole.securitysage.com,
reject_rhsbl_client rhsbl.sorbs.net,
reject_rhsbl_sender dsn.rfc-ignorant.org,
reject_rhsbl_sender blackhole.securitysage.com,
reject_rhsbl_sender rhsbl.sorbs.net,
permit
smtpd_etrn_restrictions =
permit_mynetworks,
reject

Jó így a sorrend????????

( keri | 2006. 01. 02., h – 22:46 )

Hát így működik a sender_access cucc.
Csak azt nem értem, hogy ha a recipient_restrictionba írtam akkor mi volt a gáz. Itt a sorrend lehetett gáz. Na mindegy most ok.

Köszi a rengeteg segítséget!

( keri | 2005. 12. 28., sze – 10:10 )

[quote:42e160e84e="Mik"][quote="keri"
Igen jó, de ezeket be lehet írni az smtpd_client illetve recipient restriction-ba is?

Nem oda is, hanem CSAK ODA!!! Megmutatom:

smtpd_client_restrictions =
smtpd_helo_restrictions =
smtpd_sender_restrictions =
smtpd_recipient_restrictions =
reject_unknown_sender_domain,
reject_non_fqdn_sender,
reject_rbl_client bl.spamcop.net,
reject_rbl_client dnsbl.sorbs.net,
reject_rbl_client list.dsbl.org,
reject_rbl_client dnsbl.njabl.org,
reject_rbl_client sbl.spamhaus.org,
reject_rbl_client sbl-xbl.spamhaus.org,
reject_rbl_client relays.ordb.org,
reject_rbl_client opm.blitzed.org,
reject_rbl_client combined.njabl.org,
reject_rhsbl_client blackhole.securitysage.com,
reject_rhsbl_client rhsbl.sorbs.net,
reject_rhsbl_sender blackhole.securitysage.com,
reject_rhsbl_sender rhsbl.sorbs.net,
permit

Mik

Persze, ez teljesen világos is, de ha jól tudom az smtpd_recipient_restriction azt szabályozza, hogy az smtp kliens mit küldhet a "RCPT TO:" parancsnak parameterként.
Na most én a sendert akarom korlátozni. Vagyis, hogy ha rajta van valamely általad felsorolt abuse vagy spam listán akkor viszlát.

Vagy erőssen elnéztem vmit?

( Mik v | 2005. 12. 28., sze – 12:43 )

[quote:3e6988f04b="keri"]

Persze, ez teljesen világos is, de ha jól tudom az smtpd_recipient_restriction azt szabályozza, hogy az smtp kliens mit küldhet a "RCPT TO:" parancsnak parameterként.
Na most én a sendert akarom korlátozni. Vagyis, hogy ha rajta van valamely általad felsorolt abuse vagy spam listán akkor viszlát.

Vagy erőssen elnéztem vmit?

Ej de nehéz eset vagy hallod e?! :D Kiprobáltad? Olvasgattad postfix doksit? Az, hogy a smtpd_recipient_restriction után vannak az általam írt sorok ne tévesszen meg. Abban a formában ahogy írtam a reject_rbl_client az SMTP szerveredhez forduló cliensekre vonatkozik. (SMTP connections from) A reject_rhsbl_sender pedig a MAIL FROM -ban lévő e-mailcímekre érvényes. Az, hogy így írtam:

smtpd_client_restrictions =
smtpd_helo_restrictions =
smtpd_sender_restrictions =
smtpd_recipient_restrictions =

csak a könnyeb átláthatóság/configuráció kedvéért van, és postfix ezt megengedi. Ez még nem jelenti azt hogy pl a smtpd_recipient_restrictions után következő reject_rbl_client a smtpd_recipient_restrictions -ra lenne érvényes. Nem is lehet, hiszen ahogy Te is írtad a smtpd_recipient_restrictions az RCPT TO: -ra vonatkozik, a reject_rbl_client pedig az SMTP connections from -ra, és ez a kettő nem összehasonlítható. Az egyikben ugyebár e-mailcímek vannak, a másikban meg domain nevek és IP címek...
http://www.postfix.org/uce.html
Mik

( keri | 2005. 12. 28., sze – 14:36 )

Köszönöm! :)
Beírogattam, bár én a permit_mynetworks-el kezdtem-.....

( Mik v | 2005. 12. 28., sze – 15:51 )

[quote:804185f9ff="keri"]Köszönöm! :)
Beírogattam, bár én a permit_mynetworks-el kezdtem-.....

Nincsmit.
Helyes :)

Mik

( Mik v | 2005. 12. 29., cs – 21:14 )

[quote:271bdfc0d3="keri"]

Tul képpen így néz ki a config? Szerintem van benne olyan ami nem kellene, illetve nem tudom helyes e a sorrend!
Tudna ebben segíteni vki?

smtpd_client_restrictions = permit_mynetworks, reject_unknown_sender_domain, reject_rbl_client sbl-xbl.spamhaus.org, reject_rbl_client relays.ordb.org
smtpd_sender_restrictions = reject_unknown_sender_domain,reject_non_fqdn_sender,reject_rbl_client sbl-xbl.spamhaus.org,reject_rhsbl_
sender dsn.rfc-ignorant.org
reject_unauth_destination
smtpd_recipient_restrictions =
check_sender_access hash:/etc/postfix/sender_access,
permit_mynetworks,
reject_invalid_hostname,
reject_non_fqdn_hostname,
reject_non_fqdn_sender,
reject_non_fqdn_recipient,
reject_unknown_sender_domain,
reject_unknown_recipient_domain,
reject_unauth_destination,
reject_rbl_client bl.spamcop.net,
reject_rbl_client relays.ordb.org,
reject_rbl_client opm.blitzed.org,
reject_rbl_client list.dsbl.org,
reject_rbl_client sbl.spamhaus.org,
reject_rbl_client cbl.abuseat.org,
reject_rbl_client dul.dnsbl.sorbs.net,
reject_rhsbl_client blackhole.securitysage.com,
reject_rhsbl_client rhsbl.sorbs.net,
reject_rhsbl_sender blackhole.securitysage.com,
reject_rhsbl_sender rhsbl.sorbs.net,
permit
smtpd_etrn_restrictions = reject
smtpd_helo_required = yes

Előre is köszi!!!

Nos izé,
elvileg akár jó is lehet... Hogy a sorrendet hogy írod az teljesen rajtad múlik! Ha valami reject-et előrébb/fentebb teszel, akkor az azt jelenti, hogy ha egyezőség van a reject-el, akkor eldobja. Ez lehet így nem teljesen érthető szóval bővebben:
a postfix a restrictions -okon belül sorrendben vizsgálja végig a sorokat. Pl. ha a reject_invalid_hostname elől van, és olyan levél jön aminek "nem normális" a hostneve akkor azt a levelt eldobja, és a további vizsgálgatással nem foglalkozik (ami a reject_invalid_hostname alatt van vizsgálati feltétel, azokkal már nem fog foglalkozni, mert már a levelet eldobta).
Hogy van e benn olyan ami nem kell bele, az szintén egyéni kérdés... Ha túl sok levél nem jön meg, akkor meg kell nézni, hogy miért? Ha túl sok SPAM jön meg, akkor meg azt kell megnézni hogy az miért?
Egyébként a múltkor emlegetett jobb átláthastság kedvéért én így írnám át:
smtpd_client_restrictions =
smtpd_helo_restrictions =
smtpd_sender_restrictions =
smtpd_recipient_restrictions =
permit_mynetworks,
reject_unknown_sender_domain,
reject_rbl_client sbl-xbl.spamhaus.org,
reject_rbl_client relays.ordb.org,
reject_non_fqdn_sender,
reject_rbl_client sbl-xbl.spamhaus.org,
reject_rhsbl_sender dsn.rfc-ignorant.org,
reject_unauth_destination,
check_sender_access hash:/etc/postfix/sender_access,
reject_invalid_hostname,
reject_non_fqdn_hostname,
reject_non_fqdn_sender,
reject_non_fqdn_recipient,
reject_unknown_sender_domain,
reject_unknown_recipient_domain,
reject_unauth_destination,
reject_rbl_client bl.spamcop.net,
reject_rbl_client relays.ordb.org,
reject_rbl_client opm.blitzed.org,
reject_rbl_client list.dsbl.org,
reject_rbl_client sbl.spamhaus.org,
reject_rbl_client cbl.abuseat.org,
reject_rbl_client dul.dnsbl.sorbs.net,
reject_rhsbl_client blackhole.securitysage.com,
reject_rhsbl_client rhsbl.sorbs.net,
reject_rhsbl_sender blackhole.securitysage.com,
reject_rhsbl_sender rhsbl.sorbs.net,
permit

Mik

( Mik v | 2005. 12. 29., cs – 21:19 )

[quote:dc4ec9e21d="keri"]jók ezek a beállítások?
:o

Ha működik a postfixed, akkor igen :D

( keri | 2005. 12. 29., cs – 21:28 )

[quote:0442ffc270="Mik"][quote:0442ffc270="keri"]jók ezek a beállítások?
:o

Ha működik a postfixed, akkor igen :D

Tökéletesen működik! :)

Köszi szépen...

( keri | 2005. 12. 29., cs – 21:33 )

"eject_invalid_hostname elől van, és olyan levél jön aminek "nem normális" a hostneve akkor azt a levelt eldobja, és a további vizsgálgatással nem foglalkozik"

Nos pont ez volt a probléma egy belsőleg küldött levéllel. Hostname probléma volt és mivel az volt elől ezért eldobta. Ezért tettem előre a permit_mynetworksot.
Amúgy fontos lenne szerintem a helo_rest-be hogy mi a válasza a másik smtp szervernek. meg még vannak jó kis dolgok más restrictionba is.

Ezek azért jó lennének, hogy tökéletesebb legyen a dolog...
De akkor olvasom a doksikat...

( keri | 2005. 12. 27., k – 13:48 )

Sziasztok!

Postfix levelezőt használok és szeretném azokat a leveleket kiszűrni amik vagy rbl listán vagy valamely spam listán vannak.

Kellene néhány konkrét cucc. Ha lehet! :)

jelenleg csak ennyi van.

smtpd_sender_restrictions = reject_unknown_sender_domain,reject_non_fqdn_sender

Előre is köszönöm!

( Mik v | 2005. 12. 27., k – 14:07 )

[quote:a1438a0fed="keri"]Sziasztok!

Postfix levelezőt használok és szeretném azokat a leveleket kiszűrni amik vagy rbl listán vagy valamely spam listán vannak.

Kellene néhány konkrét cucc. Ha lehet! :)

jelenleg csak ennyi van.

smtpd_sender_restrictions = reject_unknown_sender_domain,reject_non_fqdn_sender

Előre is köszönöm!

Kezdésnek:

reject_rbl_client bl.spamcop.net,
reject_rbl_client dnsbl.sorbs.net,
reject_rbl_client list.dsbl.org,
reject_rbl_client dnsbl.njabl.org,
reject_rbl_client sbl.spamhaus.org,
reject_rbl_client sbl-xbl.spamhaus.org,
reject_rbl_client relays.ordb.org,
reject_rbl_client opm.blitzed.org,
reject_rbl_client combined.njabl.org,
reject_rhsbl_client blackhole.securitysage.com,
reject_rhsbl_client rhsbl.sorbs.net,
reject_rhsbl_sender blackhole.securitysage.com,
reject_rhsbl_sender rhsbl.sorbs.net,

:D

( keri | 2005. 12. 29., cs – 22:34 )

Még annyi, hogy esetleg arra van vmi lehetőség, hogyha false user küld mailt

pl: cdertzyy@yahoo.com

akkor vhogy megnézze, hogy a yahoo.com-nál tényleg létezik e cdertzyy@yahoo.com mail cím? És ha nem akkor REJECT, ha igen OK...

8O

( keri | 2005. 12. 27., k – 14:42 )

[quote:76b5a08f68="Mik"][quote:76b5a08f68="keri"]Sziasztok!

Postfix levelezőt használok és szeretném azokat a leveleket kiszűrni amik vagy rbl listán vagy valamely spam listán vannak.

Kellene néhány konkrét cucc. Ha lehet! :)

jelenleg csak ennyi van.

smtpd_sender_restrictions = reject_unknown_sender_domain,reject_non_fqdn_sender

Előre is köszönöm!

Kezdésnek:

reject_rbl_client bl.spamcop.net,
reject_rbl_client dnsbl.sorbs.net,
reject_rbl_client list.dsbl.org,
reject_rbl_client dnsbl.njabl.org,
reject_rbl_client sbl.spamhaus.org,
reject_rbl_client sbl-xbl.spamhaus.org,
reject_rbl_client relays.ordb.org,
reject_rbl_client opm.blitzed.org,
reject_rbl_client combined.njabl.org,
reject_rhsbl_client blackhole.securitysage.com,
reject_rhsbl_client rhsbl.sorbs.net,
reject_rhsbl_sender blackhole.securitysage.com,
reject_rhsbl_sender rhsbl.sorbs.net,

:D

Igen jó, de ezeket be lehet írni az smtpd_client illetve recipient restriction-ba is?

( Mik v | 2005. 12. 27., k – 14:53 )

[quote="keri"
Igen jó, de ezeket be lehet írni az smtpd_client illetve recipient restriction-ba is?

Nem oda is, hanem CSAK ODA!!! Megmutatom:

smtpd_client_restrictions =
smtpd_helo_restrictions =
smtpd_sender_restrictions =
smtpd_recipient_restrictions =
reject_unknown_sender_domain,
reject_non_fqdn_sender,
reject_rbl_client bl.spamcop.net,
reject_rbl_client dnsbl.sorbs.net,
reject_rbl_client list.dsbl.org,
reject_rbl_client dnsbl.njabl.org,
reject_rbl_client sbl.spamhaus.org,
reject_rbl_client sbl-xbl.spamhaus.org,
reject_rbl_client relays.ordb.org,
reject_rbl_client opm.blitzed.org,
reject_rbl_client combined.njabl.org,
reject_rhsbl_client blackhole.securitysage.com,
reject_rhsbl_client rhsbl.sorbs.net,
reject_rhsbl_sender blackhole.securitysage.com,
reject_rhsbl_sender rhsbl.sorbs.net,
permit

Mik

( tso | 2005. 12. 29., cs – 23:43 )

[quote:26b8bf2691="keri"]Még annyi, hogy esetleg arra van vmi lehetőség, hogyha false user küld mailt

pl: cdertzyy@yahoo.com

akkor vhogy megnézze, hogy a yahoo.com-nál tényleg létezik e cdertzyy@yahoo.com mail cím? És ha nem akkor REJECT, ha igen OK...

8O

reject_unverified_sender
http://www.postfix.org/ADDRESS_VERIFICATION_README.html

( keri | 2005. 12. 28., sze – 18:46 )

[quote:b1cfe1412d="Mik"][quote:b1cfe1412d="keri"]Köszönöm! :)
Beírogattam, bár én a permit_mynetworks-el kezdtem-.....

Nincsmit.
Helyes :)

Mik

Tul képpen így néz ki a config? Szerintem van benne olyan ami nem kellene, illetve nem tudom helyes e a sorrend!
Tudna ebben segíteni vki?

smtpd_client_restrictions = permit_mynetworks, reject_unknown_sender_domain, reject_rbl_client sbl-xbl.spamhaus.org, reject_rbl_client relays.ordb.org
smtpd_sender_restrictions = reject_unknown_sender_domain,reject_non_fqdn_sender,reject_rbl_client sbl-xbl.spamhaus.org,reject_rhsbl_
sender dsn.rfc-ignorant.org
reject_unauth_destination
smtpd_recipient_restrictions =
check_sender_access hash:/etc/postfix/sender_access,
permit_mynetworks,
reject_invalid_hostname,
reject_non_fqdn_hostname,
reject_non_fqdn_sender,
reject_non_fqdn_recipient,
reject_unknown_sender_domain,
reject_unknown_recipient_domain,
reject_unauth_destination,
reject_rbl_client bl.spamcop.net,
reject_rbl_client relays.ordb.org,
reject_rbl_client opm.blitzed.org,
reject_rbl_client list.dsbl.org,
reject_rbl_client sbl.spamhaus.org,
reject_rbl_client cbl.abuseat.org,
reject_rbl_client dul.dnsbl.sorbs.net,
reject_rhsbl_client blackhole.securitysage.com,
reject_rhsbl_client rhsbl.sorbs.net,
reject_rhsbl_sender blackhole.securitysage.com,
reject_rhsbl_sender rhsbl.sorbs.net,
permit
smtpd_etrn_restrictions = reject
smtpd_helo_required = yes

Előre is köszi!!!

( Benjamin v | 2007. 08. 14., k – 10:53 )

Nekem lenne egy olyan problemam,hogy a postfixem siman figyelmen kivul hagyja hogy mit adok meg az smtpd_sender_restrictions -nek..
Probaltam mar igy is:
smtpd_sender_restrictions = reject
semmi,igy is elfogad minden levelet.Pedig ha jol gondolom igy mind vissza kellene hogy dobja.
Greylistinget akarok beallitani,csak igy eleg nehezen fog menni.. :P

--

AMD Athlon XP 1900+, Debian etch 2.6.18-4

Most /pill igy nez ki,de probaltam mar sok felekepp:

# See /usr/share/postfix/main.cf.dist for a commented, more complete version

# Debian specific: Specifying a file name will cause the first
# line of that file to be used as the name. The Debian default
# is /etc/mailname.
#myorigin = /etc/mailname

smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
biff = no

# appending .domain is the MUA's job.
append_dot_mydomain = no

# Uncomment the next line to generate "delayed mail" warnings
#delay_warning_time = 4h

# TLS parameters
smtpd_tls_cert_file=/etc/postfix/keys/smtpd.cert
smtpd_tls_key_file=/etc/postfix/keys/smtpd.key
smtpd_use_tls=yes
#smtpd_tls_session_cache_database = btree:${queue_directory}/smtpd_scache
#smtp_tls_session_cache_database = btree:${queue_directory}/smtp_scache
#mynetworks = 127.0.0.0/8 192.168.0.0/16
mynetworks = 127.0.0.0/16
smtpd_delay_reject = yes
smtpd_helo_required = yes
disable_vrfy_command = yes
smtpd_recipient_restriction= reject_non_fqdn_sender,
reject_unknown_sender_domain,
reject_unauth_destination,
reject_unknown_recipient_domain,
# permit_sasl_authenticated,
# permit_mynetworks,
reject_unauth_destination,
reject_rbl_client sbl-xbl.spamhaus.org, # check RBL
reject_rbl_client list.dsbl.org, # check RBL
reject_rbl_client relays.ordb.org, # check RBL
reject_rhsbl_sender bogusmx.rfc-ignorant.org, # reject domains without existing MX record
check_policy_service inet:127.0.0.1:2525,
permit

# See /usr/share/doc/postfix/TLS_README.gz in the postfix-doc package for
# information on enabling SSL in the smtp client.

myhostname = einstein.csantaver.net
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
myorigin = /etc/mailname
mydestination = einstein.csantaver.net, localhost.csantaver.net, , localhost
relayhost =

mailbox_command = procmail -a "$EXTENSION"
mailbox_size_limit = 0
recipient_delimiter = +
inet_interfaces = all
inet_protocols = all
mailbox_transport = lmtp:unix:/var/run/cyrus/socket/lmtp
#virtual_alias_domains =
virtual_alias_maps = proxy:mysql:/etc/postfix/mysql-virtual_forwardings.cf, mysql:/etc/postfix/mysql-virtual_email2email.cf
virtual_mailbox_domains = proxy:mysql:/etc/postfix/mysql-virtual_domains.cf
virtual_mailbox_transport = lmtp:unix:/var/run/cyrus/socket/lmtp
virtual_mailbox_limit_maps = proxy:mysql:/etc/postfix/mysql-virtual_mailbox_limit_maps.cf
virtual_mailbox_limit_override = yes
virtual_maildir_limit_message = "The user you are trying to reach is over quota."
virtual_overquota_bounce = yes
proxy_read_maps = $local_recipient_maps $mydestination $virtual_alias_maps $virtual_alias_domains $virtual_mailbox_maps $virtual_mailbox_domains $relay_recipient_maps $relay_domains $canonical_maps $sender_canonical_maps $recipient_canonical_maps $relocated_maps $transport_maps $mynetworks $virtual_mailbox_limit_maps

---
AMD Athlon XP 1900+, Debian etch 2.6.18-4

mondjuk legalább 1 db = kell bele: 


smtpd_client_restrictions =
smtpd_helo_restrictions =
smtpd_sender_restrictions =
smtpd_recipient_restrictions =
 check_recipient_access hash:/etc/postfix/access/recipient_access,
 check_client_access hash:/etc/postfix/access/client_access,
 permit_sasl_authenticated,
 reject_unauth_destination,
 check_helo_access hash:/etc/postfix/access/helo_access,
 bla,
 blabla,
 permit

ezt a mi configunkból szedtem.
Ubuntu 7.10 Postfix 2.5.1

felul a main.cf idevago resze, alul a log...

smtpd_recipient_restrictions = check_client_access mysql:/etc/postfix/client_access,
reject_unknown_sender_domain,
reject_unauth_destination
myhostname = router.office.local
#alias_maps = hash:/etc/aliases

Jun 17 11:45:51 aion-router postfix[6149]: fatal: /etc/postfix/main.cf, line 46: missing '=' after attribute name: "reject_unknown_sender_domain,"
Jun 17 11:47:07 aion-router postfix[6174]: fatal: /etc/postfix/main.cf, line 46: missing '=' after attribute name: "reject_unknown_sender_domain,"
Jun 17 11:47:24 aion-router postfix[6191]: fatal: /etc/postfix/main.cf, line 46: missing '=' after attribute name: "reject_unknown_sender_domain,"

smtpd_recipient_restrictions = check_client_access mysql:/etc/postfix/client_access,
reject_unknown_sender_domain,
reject_unauth_destination,
permit

vagy permit helyett reject. meg a myhostname előtt legyen 1 üres sor, meg a myhostnevet én előbbre szoktam tenni mint a smtpd_recipient_restrictions -t.
De ez igazából csak tippelgetés...

Itt, vagy a "man 5 postconf" alatt van szó a main.cf formátumáról. Eszerint:
"A logical line starts with non-whitespace text. A line that starts with whitespace continues a logical line."

Tehát a te példád ilyen módon:


smtpd_recipient_restrictions = check_client_access,
    mysql:/etc/postfix/client_access,
    reject_unknown_sender_domain,
    reject_unauth_destination
myhostname = router.office.local
#alias_maps = hash:/etc/aliases

Jezus, meg jo, hogy megirtam a ketoldalas bugreportot :(
Koszi, nagyon koszi! Ez remlik nekem is, hoyg olvastam, csak szokas szerint atfutottam rajta, a fo celom meg mindig Eximet migralni es ehhez elolvastam 1,5G szoveget :) Igy valahogy atugrottam a fentin...

Jaigen, meg a nem megfelelo angoltudasom is belejatszott. Elolvasva, ugy ertelmeztem, hogy a _nem_ szabad space,tab, hasonlo karakterekkel kezdodnie...ki sem probaltam :(

( szogi v | 2008. 05. 25., v – 21:52 )

Ide is bekuldom, hatha kevesen futnak bele:
A blackhole.securitysage.com ma reggeltol kezdve mindent blokkol, erdemes minel elobb eltavolitani az ellenorzesek kozul.

( dragi v | 2008. 06. 27., p – 14:26 )


smtpd_client_restrictions =
    permit_mynetworks,
    permit_sasl_authenticated,
    check_client_access hash:/etc/postfix/maps/client,
    reject_unauth_pipelining,
    reject_unknown_client,
    reject_unknown_client_hostname,
    reject_rbl_client bl.spamcop.net,
    reject_rbl_client sbl.spamhaus.org,
    reject_rbl_client list.dsbl.org,
    reject_rhsbl_sender dsn.rfc-ignorant.org,
    permit

smtpd_helo_required = yes
smtpd_helo_restrictions = 
    permit_mynetworks,
    permit_sasl_authenticated,
    check_helo_access hash:/etc/postfix/maps/helo,
    reject_invalid_hostname,
    reject_unknown_hostname,
    reject_non_fqdn_hostname,
    reject_unauth_pipelining,
    permit

smtpd_recipient_restrictions =
    permit_mynetworks,
    permit_sasl_authenticated,
    reject_non_fqdn_hostname,
    reject_non_fqdn_sender,
    reject_non_fqdn_recipient,
    reject_unauth_destination,
    reject_unauth_pipelining,
    reject_invalid_hostname,
    reject_unknown_recipient_domain,
    check_recipient_access hash:/etc/postfix/maps/recipient,
    check_policy_service inet:127.0.0.1:60000,  
    permit

Ez a config, es szeretnek whitelistat csinalni bizonyos domainekre meg cimekre. Illetve hogy bizonyos domaineket ne greylisteljen. Beraktam ezeket a check_.. sorokat, de ugyan ugy tovabb megy a dolog a rejectes sorokra.

A check fileba ezt irom
domain.hu PERMIT

postmap, restart megvolt.
Nem jol csinalom?
--
"Tedd vagy ne tedd, de ne probáld"

( Celtic v | 2008. 07. 15., k – 14:04 )

Na, egesz jol atragtam magam par szopason, forditottam libpam-mysql-t, igy mar hasznalja az MD5 hash jelszavakat.
Arra lennek kivancsi, hogy az
smtpd_sender_restrictions
vagy
smtpd_recipient_restrictions
sorokba hogyan rakhatok tobb feltetelt. Pontosabban:

smtpd_recipient_restrictions =
check_sender_access mysql:/etc/postfix/db/blacklist,
check_recipient_access mysql:/etc/postfix//db/pm_nomail,
check_recipient_access mysql:/etc/postfix/db/user_mail,
# permit_mynetworks,
permit_sasl_authenticated,
reject_rbl_client zen.spamhaus.org,
reject_rbl_client sbl.spamhaus.org,
reject_rbl_client sbl-xbl.spamhaus.org,
reject

check_sender_access OKE
check_recpient_access viszont tobb is van, de ha az elsore stimmel, engedi, ha nem, eldobja.
Tehat a "check_recipient_access mysql:/etc/postfix//db/pm_nomail," oke, akkor mehet, ha nem jo, mar
nem nezi meg a "check_recipient_access mysql:/etc/postfix/db/user_mail," sort, hatha ott jo lesz.

Sajnos, 4 ilyen recipient_access sor lenne, ha az egyiken nem stimmel, nezhetne tovabb, de nem nezi.

Kiegeszites:

pm_nomail:
dbname = hosting
query = SELECT zone FROM dns_records WHERE zone='%d' AND type='SOA' AND '%u'!='postmaster'
result_format = REJECT

user_mail:
dbname = hosting
query = SELECT login FROM mail_account WHERE domain='%d' AND login='%u'
result_format = OK

UPDATE: hat, lehet,hogy megis mukodik....Tehat hasznalhato tobb check_recipient_access sor is.

Es meg is van....
EGyszereun csak meg kellett forditani, a legszukebb felteteltol a legtagabb fele haladva...
Tehat ha a
"check_recipient_access mysql:/etc/postfix//db/pm_nomail,
check_recipient_access mysql:/etc/postfix/db/user_mail,"

helyett

"check_recipient_access mysql:/etc/postfix/db/user_mail,
check_recipient_access mysql:/etc/postfix//db/pm_nomail,"

van, akkor maris jo minden... Tahat lehet nyugodtan tobb "check_recipient_access" maps vagy "check_sender_access " maps vagy akarmi.