postfix: levelet feladók szűrése

Mutasd meg a konfigodat, hogyan is nez k az aktualisi. A szabalyok kozott osszefugges nem nagyon lehet, a sorrendjuk a fontos, valamint az, hogy be van-e allitva az smtpd_delay_reject, vagy sem (fontos, hogy az SMTP session melyik reszeben all rendelkezesre az az adat, amely alapjan donteni akarsz). A sarge-os postfixnek vannak ugyan hibai, de ennek mukodnie kell.

# See /usr/share/postfix/main.cf.dist for a commented, more complete version

smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
biff = no

# appending .domain is the MUA's job.
append_dot_mydomain = no

# Uncomment the next line to generate "delayed mail" warnings
#delay_warning_time = 4h

##
soft_bounce = yes
##

myhostname = proxy.cégesdomain.hu
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
myorigin = /etc/mailname
mydestination = proxy.cégesdomain.hu, cégesdomain.hu, localhost
relayhost =
mynetworks_style = subnet
mynetworks = 127.0.0.0/8, 172.11.1.0/24
mailbox_size_limit = 0
recipient_delimiter = +
inet_interfaces = all

###
smtpd_sender_restrictions =
    check_sender_access hash:/etc/postfix/sender_access,
    permit_mynetworks,
    reject_unknown_sender_domain,
    warn_if_reject, reject_unverified_sender,
    address_verify_map = hash:/var/mta/verify
###

sender_access:

cégesdomain.hu DUNNO
*@ REJECT

Megjegyzés: Ha a permit_mynetworks-öt kiszedem, akkor 451: server configuration error keletkezik és semmilyen levelet nem továbbít, azt se amit kellene.

[quote:b6d632701f="Mik"]
Megvan.
check_sender_access hash:/etc/postfix/sender_access,
pcre:/etc/postfix/senders.pcre,

sender_access:
cégesdomain.hu OK
senders.pcre:
/@/ REJECT

apt-get install postfix-pcre

regexpel 1 file-ban is meg lehetne csinálni, most az egyszerűség kedvéért szétszedtem.

Mik

Ezer Hála és Köszönet Mester! MŰKÖDIK!
Két apró kérdésem volna még a jelen felállással kapcsolatban:
- Az engedélyezettek közé vehetek-e fel még több domaint is, ha a szükség úgy hozza, persze új sorban OK-val a végén?
- Tudok-e a sender_access-ben hasonlóna a domainekhez konkrét címeket is engedélyezni még?
Még1x THX!

[quote:e583127344="Mik"]
Persze. Nem tudom mennyi a korlát, de gondolom pár 1000 db domaint simán tud kezelni :D
Igen. Egyszerűen kicseréled a domain-t pontos címre. Vagy olyat is lehet, hogy mondjuk 1 domain-t engedsz, de bizonyos konkrét emailcímeket nem... Ha van valami sql/ldap adatbázisod, akkor meg lehet azt is csinálni, hogy az adatbázisból szedje ki a címeket.
Egyébként nálatok miért fontos az, hogy csak adott címekkel lehessen emailt küldeni?

Mik

Köszönöm, ki fogom próbálni. Nem sql/ldap nincs alatta, ez csak egy mezei kimenő MTA.
Utolsó kérdésedre a válasz egyszerű: a főnököm mániája a szigorú szabályozás.:lol:

[quote:f0899aec75="Mik"]
Persze. Nem tudom mennyi a korlát, de gondolom pár 1000 db domaint simán tud kezelni :D
Igen. Egyszerűen kicseréled a domain-t pontos címre. Vagy olyat is lehet, hogy mondjuk 1 domain-t engedsz, de bizonyos konkrét emailcímeket nem... Ha van valami sql/ldap adatbázisod, akkor meg lehet azt is csinálni, hogy az adatbázisból szedje ki a címeket.
Egyébként nálatok miért fontos az, hogy csak adott címekkel lehessen emailt küldeni?
Mik

Egy S.O.S. kérdésem volna még: miylen opcióra cseréljem le a REJECT-et, hogy ne dobálja vissza a nem elfogadott leveleket, csak nyelje el. A gond az, hogy a nyomorult Exchange SMTP konnektora bedugul emiatt és az elutasított leveleket a kimenő queue-ban tartja, ráadásul Retry állapotban, emiatt aztán az összes kimenő levél megáll, ráadáslu a folyamtos újraküldözgetés rettenetesen terheli a hálózatot!
S.O.S., Thx előre is!

[quote:9c229b06ed="Vales"]
Egy S.O.S. kérdésem volna még: miylen opcióra cseréljem le a REJECT-et, hogy ne dobálja vissza a nem elfogadott leveleket, csak nyelje el. A gond az, hogy a nyomorult Exchange SMTP konnektora bedugul emiatt és az elutasított leveleket a kimenő queue-ban tartja, ráadásul Retry állapotban, emiatt aztán az összes kimenő levél megáll, ráadáslu a folyamtos újraküldözgetés rettenetesen terheli a hálózatot!
S.O.S., Thx előre is!

Pontosítanám az előzőt: meg tudom-e csinálni azt, hogy az elutasított "sender address rejected" állapotú leveleket egy külön queue-ban elrakja nekem a Postfix, és ne terhelje a küldő SMTP-t azzal, hogy reject-álja és amaz meg folyamatosan próbálkozik, mert abból lett a baj! Esetleg átverhetném-e valahogy az Exchange-t, mondjuk, hogy a rejectált levelekre is 250 OK állapotkódot adjon vissza, de közben ne küldje tovább?
Ezt tényleg fontos lenne, plz. help!

Üdv!

Van egy SMTP gateway (Debian Sarge, Postfix 2.1.5-9), ami a belső hálóról továbbítja a leveleket a nagyvilág felé.
Azt kellene megoldanunk, hogy csak olyan leveleket dolgozzon fel, aminek a feladója egyetlen, általunk megadott domain lehet (a céges domain), más pedig nem. Tehát ne tudjon továbbítani olyan levelet, ami pl. xyz@freemail.hu, xyz@hotmail.com, etc... Tehát konkrétan egy _fehér lista_ alapján fogadja vagy utasítsa el a feldolgozandó leveleket a küldő alapján.
A hangsúly a küldő email címében lévő domain-en van, nem pedig a küldő kliens hoszt domain nevén, tehát a "mail from: yxz@akármi.hu" amire szűrnöm kell, hogy csak az engedélyezett domain lehessen a kukac után, más levelet utasítson el.
A Postfix doksi alapján - ha jól értelmeztem - az smtpd_sender_restrictions =... opcióval kell megoldani.
Én az alábbi módon csináltam meg, (address_verification_readme):
main.cf:
[code:1:2c1c8f8048]
myhostname = proxy.cégesdomain.hu
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
myorigin = /etc/mailname #ez a cégesdomain.hu
mydestination = proxy.cégesdomain.hu, cégesdomain.hu, localhost
relayhost =
mynetworks_style = subnet
mynetworks = 127.0.0.0/8, 172.11.1.0/24
mailbox_size_limit = 0
recipient_delimiter = +
inet_interfaces = all
###
smtpd_sender_restrictions =
permit_mynetworks
check_sender_access hash:/etc/postfix/sender_access
reject_unknown_sender_domain
warn_if_reject reject_unverified_sender
address_verify_map = hash:/var/mta/verify
###
[/code:1:2c1c8f8048]

sender_access:
[code:1:2c1c8f8048]
cégesdomain.hu OK
[/code:1:2c1c8f8048]

Megjegyzés: az address_verify_map-et létrehoztam üresen, majd postmap-pel legeneráltam a hash táblát, ez az egyik, ami nem derül ki a leírásból, hogy mit kell beleírni.
Természetesen nem felejtetem el a postmap-et a sender_access-en sem, és a postfix reload-ot sem. :lol:
Viszont sajnos enne semmi hatása sincs, vagyis továbbra is bármilyen feladó nevében elfogadja a levelet, nem csak a @cégesdomain.hu feladójúakat... :cry:
Mit kelene még megtenni, beállítani, mit felejettem ki (esetleg mit nem találtam meg a doksiban: unfortunately, my english is poor :( )

Előre is Köszönöm a Segítséget!

Vales

[quote:a72017dce4="wildy"]Nem a postqueue, es nem is a postsuper, hanem a postcat valo erre, a maildir-be lerakasra meg ott a procmail, aztan ha ez sikerult, akkor lehet a postsuper-rel kiszedni a queue-bol.

Kösz, ezzel már kezd alakulni a dolog, jobban emészthető formában lehet látni a sorban ragadt üzeneteket és ha egy fájlba irányítom, behelyezem manuálisan egy maildir-be, akkor már a mutt is megnyitja.
Már csak azt kellene megoldani, hogy a postcat kimenete normális email üzenetté konvertálódjon, tehát pl. a mellékletek is mellékletek legyenek, etc.
Ha jól vágom a dolgot, akkor a procmail ezt meg tudja csinálni?!

[quote:c17590460e="Ago"]
Ismeri az, csak szarul :) Másként ismeri az authot. "Természetesen."

Tapasztalat: pl. az Invitel mail relay-ére biztosan nem fog tudni bejelentkezni csak, ha beszéli az RFC2554-et! :lol:
Érdekes, hogy egy nyomi Outlook Express meg be tud jelentkezni de, hogy a "Nagy Exchange" nem, az igencsak szöget ütött a fejembe. 8O

[quote:1331079aae="bandy"]Bár nem konkrétan erre találták ki, de megadhatod milyen domainektől fogadsz levelet:

http://www.chains.ch/docs/postfix-UCE-HOWTO-hu.html

Thx, igen hasznos olvasmány, mitöbb magyarul ennyire jól összefoglalva még nem olvastam!
Azt szeretném még megkérdezni, hogy megoldható-e a HOLD sorban maradt levelek kiküldése egy lokális Maildir-be egy adott usernek, ahol mondjuk Mutt-tal meg tudnám nyitni az üzeneteket, és mint levelet tudnám kezelni?

[quote:e755b73f50="Mik"]
Szia!
postqueue a te barátod. Hogy hogy működik azt nem tudom, még sosem használtam, de postfix oldalán találsz róla információkat...

Mik

Thx, ennek is utánajárok!

[quote:cfca03ddfc="Mik"]
Jogos, bar nekem nem derult ki, hogy fogadasrol, kuldesrol, vagy mindkettorol beszelunk e? Mert ugye nem mindegy...

Szasztok!
Most néztem fel, Köszönöm az eddigieket, holnap át fogom szerkeszteni a konfigokat...
Csak _küldésről_ van szó, ahogy írtam ez a gép csak kifelé küld a nagyvilágba bentről, nem fogad kintről (nem ide mutat az MX rekord, egy másik helyre).

Még1x Thx, holnap megcsinálom a fentieket!

Jóéjt:
Vales

[quote:cfa6d11742="Ago"]
Ez valami 5-ös Exchange javítás nélkül? Ha jól emlékszem akkor ennél volt ilyen hiba, meg az Outlook Express is AUTH= előtaggal ismeri amit AUTH-tal kellene. Emlékeim szerint. PErsze a doksi és a teszt mondja meg az éppen aktuális állapotot.

Nem, ez Exchange 2003 és egy Windows 2003 Small Business szerveren fut. :wink:

[quote:5e37f71441="Mik"]
Ill javítanám magam:
postsuper a parancs neve. Bocs, de mondom még nem használtam...

Mik

A postsuper manlapján nem találtam sajna olyan opciót, ahol meg lehetne adni egy lokális címzettet, aminek a maildir-jébe lerakná mondjuk a hold sorban álló üzeneteket. :cry:
Olyat nem lehetne csinálni ezekszerint, valami kis progival, hogy a hold sorban lévő üzeneteket konvertálni rendes, levelezőprogram által olvasható üzenetté és szkriptből átmásolni a megadott Maildir-be? Nyilván ez már a sufnituning kategória, de a problémát valszeg megoldaná. :oops:

[quote:dfa26a1fc7="Mik"]
Szerintem a DISCARD -ra es a HOLD -ra gondoltal...
Mik

Hála és Köszönet, úgy néz ki, hogy a HOLD-os megoldás működi fog (DISCARD-ot nem próbáltam), ez azért is jó, mert legalább így megmaradnaka tiltott levelek és főnököm kedvére böngészhet bennük. :lol:
Teszteljük ezerrel, egyelőre az Exchange nem dugult be tőle.

[quote:7da03edeed="Ago"]Mondjuk én lapvetően megértem a főnököt. Volt olyan esetem, mikor cégen belülről, bérelt vonalon keresztül kezdett el spameket küldeni a user és ki is küldte. Ráadásul pont szabin voltam akkoriban és egy ismerős hívott fel, hogy a cég, aki alkalmaz menjen a picsába. A levél fejlécéből látszódott, hogy honnan jött. Nem haszontalan kérés volt. Egyébként a user verify miért fontos? Azzal azt nézed meg, hogy adott mailszerveren tényleg létezik-e ilyen user. Egyébként pcre és minden regexp varázslat nélkül is működhet a dolog, ha saját restriction classt csinálsz. Meg millió másik módon. Egyébként sok userrel is működhet a dolog, csak kell csinálni egy LDAP alapú listát vagy SQL-ben tárolni, onnan meg, ha nem is kérdezed le, akkor ki tudod dumpolni szóval a lehetőségek száma végtelen. Engem az Exchange döbbent meg a leginkább. Szerintem ott sem százas valami, azért ma már RFC szerint is képes működni többé kevésbé.

Ago Bácsi!
Az Exchange RFC szerinti működését inkább hagyjuk, mert az RFC2554-es autentikációt sem ismeri, amivel a szolgáltató mail relay-ére kellene bejelentkeznie. Egy másik ügyfélnél többekközött ezért került Postfix az Exchange és a külvilág közé, mert a Postfix - és feltételezem a többi normális MTA - legalább tudja!
SQL vagy LDAP azért nincs, mert nem láttam értelmét 8 emberre/gépre, bár még megfontolom hosszabb távon. :lol:
OFF: A mostani munkahelyemen _szabad_ a HUP-on kérdeznem, akár láma butaságokat is, főnököm csak örül, ha valamit így is meg tudunk oldani, mert mi is tanulunk belőle és a közösség is. ON

[quote:4f66a3dcbe="Mik"]
Hmm, ezt azért lehet nem kellene népszerűsíteni! :) De egyébként azt sem tudom megérteni, hogy miért nem lehet más domain névvel küldeni? (költői kérdés) Az a szerencsétlen user úgyis elfogja küldeni, felmegy freemail/yahoo/gmail-re aztán onnan levelezik...
Arról már nem is beszélek, hogy ezt azért ugye elmondjátok a felhasználóknak??? Márminthogy a leveleiket visszatartjátok... (HOLD-nál erről a user SEMMIT sem fog tudni, ő csak annyit lát, hogy elment a levele...)

Remélem nem nézegeti az adatvédelmi ombudsman a HUP-t. :lol: Természetesen mindeniki tájékoztatva van a dolgoról, és persze a webmailt sem lehet így megkerülni. A dolognak viszont igazán egy célja van: nem a cégen belüli userek "büntetése" a cél, hanem annak elkerülése, hogy pl. egy féreg/trójai program ne küldhessen a külvilágba más feladótól, de a mi IP címünkről spameket. A HOLD-ban pedig megmaradnak az ilyen "gyanús" levelek és utána tudonk nézni, hogy honna/miért/kinek a nevében akartak ezek kimenni és mi van bennük. A felhasználók által óhajtott privát címeket pedig felvettük az engedélyezett küldők közé!
Persze ha a szemfüles worm/trojan a cégesdomain.hu címről kezd küldeni, akkor az már másik kérdés.

[quote:e69cdd4cda="ezrider"][quote:e69cdd4cda="Mik"]
Így hírtelen nekifutásra ami feltűnt, hogy nincsenek vesszőid:

A vesszo nem szukseges, izles kerdese.

[quote:e69cdd4cda="Mik"]
Ill. a sender_access-be én ezt írnám:
cégesdomain.hu DUNNO
*@ REJECT

es ne felejtse el a permit_mynetworks-ot a check_sender_access-es kifejezes *utan* rakni.

Üdv!
Mindent megcsináltam, amit írtatok, de sajnos még mindig nem műxik. :cry:
Arra gondoltam, hogy egy-egy ilyen restrikciós szabály osztály nincs-e függőségben egy másiktól, és ezért nem működik?
Esetleg hiányzik-e valamilyen csomag a Postfix-hez, bár ezt nem jelzi a logban. Pl. amikor az SMTP autentikációval szívtam, akkor jelezte, hogy a SASL könyvtárak hiányoznak, de ennél nem...
Talán hibás lenne a 2.1.5-9 verzió a Debian Sarge-ban?