Sziasztok!
Debian/Postfix pároson futottam bele a következő problémába:
Az géphez tartozó cím felkerül spam listákra, ami miatt jópár szolgáltató visszadobja a kiküldött maileket.
Megnéztem a postfix logját, és látom, hogy próbál küldözgetni mindenféle irányban maileket, olyan időpontokban és helyekre amikor és ahova senki nem küld elvileg.
Kérdésem lenne, hogy vajon mitől lehet ez?
Valószínűleg valamilyen módon tudják használni az smtp szervert.
main config fájlom:
command_directory = /usr/sbin
daemon_directory = /usr/lib/postfix
program_directory = /usr/lib/postfix
smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
biff = no
append_dot_mydomain = no
myhostname = myhostname.hu
mydomain = mydomain.hu
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
myorigin = /etc/mailname
mydestination = mydomain, localhost.localdomain, localhost
#relayhost =
mynetworks = 192.168.1.0/24, 127.0.0.0/8
home_mailbox = Maildir/
mailbox_size_limit = 0
recipient_delimiter = +
content_filter=smtp-amavis:[127.0.0.1]:10024
Úgy tudom a mynetworks határozza, meg, hogy honnan enged mailt küldeni. Csak a belső hálóról engedem, és localhostról.
Tűzfalon oda vissza engedve van az smtp port.
Jól tudom, hogy így csak belső hálózatról enged mailt küldeni?
Akkor viszont az az egy öteletem van, hogy a belső hálón lévő gép valamelyike vírusos és az küldözget.
Erre milyen megoldást javasoltok?
Elvileg van mindenhol vírusírtó, de sajna a userek időnként kilövik, mondván lassítja a gépet. Szóval ez elég nehezen kontrollálható. Arra gondoltam, hogy autentikálnám a belső hálózatról is az smtp hozzáférést. Ez segíthet?
Milyen megoldást javasoltok erre? Nem szeretnék titkosítani, csak egyszerű felhasználónév jelszó párossal védeni a hozzáférést. Talán ez is elég lehet.
Hogyan lehet a már meglévő tiltólistákról leszedni a címünket?
Előre is köszi a segítséget.
- 1689 megtekintés
Hozzászólások
Szia!
A helyedben először betelnetelnék a mailszerverre kintről 25-ös portra és
próbálnék küldeni egy levelet. Ha engedi akkor rossz a postfix config.
Ekkor nagy valószínűséggel nem kell vírustkergetni a belsőhálón, mert valószínű
hogy kintről lépegetnek be.
Üdv: Chris
- A hozzászóláshoz be kell jelentkezni
a leiratkozáshoz én ezeket találtam:
http://www.blacklist.ie/ (itt lehet ellenőrizni, hogy az ip szerepel-e valamelyik blacklisten).
Itt is lehet keresni és leiratkozni, egy kérdőív kitöltésével.
http://cbl.abuseat.org/
- A hozzászóláshoz be kell jelentkezni
Ha csak egy címet szeretnék tiltani a belső hálózatról, ami egyébként engedélyezve van, azt hogyan tudnám megtenni?
Pl: minden gépet engedjen a 192.168.1.0/24-ből kivéve a 192.168.1.22-t.
- A hozzászóláshoz be kell jelentkezni
Az a helyzet, hogy nem találtam ilyen parancsot postfix-hez, de nézdd meg a következő oldalt:
http://www.postfix.org/postconf.5.html
Én a helyedben csomagszűrőből letiltanám a kérdéses gépet.
Üdv: Chris
- A hozzászóláshoz be kell jelentkezni
a helyzet az, hogy ez egy router. Ezen keresztül elérhetőnek kellene lennie az smtp szervernek, hogy tudjunk ezen keresztül leveleket fogadni (port forwardinggal van átirányítva a 25-ös port). A routernek viszont belső lába van. Magyarán az rendben van, hogy ezen keresztül bejöjjenek a mailek, meg tudjunk rajta keresztül küldeni, de a router címéről ne engedjen küldeni a postfix.
- A hozzászóláshoz be kell jelentkezni
Szóval összefoglalva a problémám az, hogy egy router mögött van a mail szerver. A router belső ip-n van, így ha valaki kívülről jön, a postfix azt is belső címen látja.
Azt szereteném, ha lehetne levelet küldeni és fogadni, de a router felől érkezők ne küldhessenek mailt.
- A hozzászóláshoz be kell jelentkezni
smtpd_client_restrictions, azon belul is a check_client_access jo erre. Kell az inet iranybol authentikalt gepeknek/ felhasznaloknak relay?
- A hozzászóláshoz be kell jelentkezni
köszi. Közben én is ezzel próbáltam.
A kérdésem az, hogy ebben az esetben, ha a check_client_access-ben REJECT-re teszem a routert, attól még a mail-ek bejönnek és kimennek a routeren keresztül?
Nem szeretném, ha ettől meg nem jönnének meg a levelek, vagy nem lehetne küldeni a kliensekről.
- A hozzászóláshoz be kell jelentkezni
Hmm, jobban belegondolva nem. Hogy nez ki pontosan a levelezes? Kivulrol kozvetlenul a gep kapja meg a leveleket a router IP cimevel (eddig ugy tunik, igen), vagy fut mondjuk egy fetchmail? Elobbi esetben a relay-t kell tiltani a router IP cimenek, es akkor a neked cimzett levelek megerkeznek. Az smtpd_recipient_restrictions-ben lehet peldaul megoldani, az alapertelmezett permit_mynetworks helyett beraksz egy permit_auth_destination opciot (igy megjonnek a neked szant levelek), majd egy kliens ellenorzessel kitiltod a router IP-jet, vegul johet egy permit_mynetworks.
- A hozzászóláshoz be kell jelentkezni
Kintről nem kell hogy tudjanak küldeni, csak a belső hálózatról,de kintről küldenek nekik e-mailt.
- A hozzászóláshoz be kell jelentkezni
> port forwardinggal van átirányítva a 25-ös port
Ha nem NAT-olna a router befelé, akkor nem lenne gond.
- A hozzászóláshoz be kell jelentkezni
> minden gépet engedjen a 192.168.1.0/24-ből kivéve a 192.168.1.22-t.
A 192.168.1.0/24 tartományt fel lehet osztani kisebb tartományokra, és ki lehet venni a tartományok közül a legkisebb, 192.168.1.22-t tartalmazó tartományt:
mynetworks = 192.168.1.0/28, 192.168.1.16/30, 192.168.1.20/32, 192.168.1.21/32, 192.168.1.23/32, 192.168.1.24/29, 192.168.1.32/27, 192.168.1.64/26, 192.168.1.128/25, 127.0.0.1/8
Ronda, de ..., szóval ronda :-)
- A hozzászóláshoz be kell jelentkezni
nekem is eszembe jutott, de fentebbi megoldás jobbnak tűnik. Na jó inkább szebbnek :)
- A hozzászóláshoz be kell jelentkezni
Én mondjuk a Postfixet futtató gép iptables-ébe tenném be a szűrést. Egyébként meg:
smtpd_client_restrictions =
check_client_access hash:/etc/postfix/access/client_access
/etc/postfix/access/client_access tartalma:
192.168.1.22 REJECT
kell még egy
postmap /etc/postfix/access/client_access
is.
Mik
- A hozzászóláshoz be kell jelentkezni
Ez egy elég jó open relay teszt, bár a konfigurációt nézve nem erről van szó.
- A hozzászóláshoz be kell jelentkezni