Üdvözlök Mindenkit!
Valami perverz aberrációm miatt úgy határoztam, hogy az itthoni vasamból levelező szervert (is) csinálok. Ebben a témában amatőr vagyok. Nagyon. Segítséget szeretnék kérni, hogy jó legyen.Körülmények:
OS: Debian Sarge, 2.6.22-es kernel.
Levelező: Postfix
POP3: ipopd
spamassasin később...
Levelet küldeni tudtam rögtön az
apt-get install postfix
után. A levelek fogadásán dolgozom...
Ezen segítség alapján csináltam meg, +manlapok +gugli +postfix-gyári-doksi +"Tannenbaum-biblia"
Szóval szedett-vetett, de megy :)
Megy szépen a dolog, de valamit nem értek:
mindenhol azt írták, hogy a postfix alapból nem open relay.
Ennek ellenére én rácsattantam telnettel a 25-ös portra, és úgy elküldte a fake mailt hogy csak úgy suhant...
Ha valaki megmondaná hogyan lőhetem ezt ki, de úgy hogy az autentikált user azért tudjon relay-t, akkor hálás lennék.
Valamint szívesen fogadok minden olyan tanácsot ami szebbé/jobbá teszi a leveezőmet.
Előre is köszönöm!
PtR
Hozzászólások
Elso korben azt kedeznem, mi van a mynetworks es smtpd_recipient_restrictions -nal megadva?
(Ertelem szeruen nem a szerveren levo cimekre probaltal kuldeni, ugye?)
Persze hogy nem, sőt nem is ottani feladóval...
mynetworks-ben a belső háló tartománya... huppsz! Ilyen sor nem is volt benne...
Most már van, a saját belső tartományom. Működés ugyanaz.
smtpd_recipient_restrictions sincs benne :(
ehhez guglizok kicsit aztán kitöltöm.
Lehet hogy azért engedi ilyen készségesen a relay-t mert a belső hálóról mindent szabad? Valóban. Ha kintről hívom akkor nem engedi.
Köszönöm.
De vannak további kérdéseim is. Csak menjünk egyenként:
miért nem kapom meg az ide küldött leveleket?
MX-rekordom megvan. Igaz hogy Dyndns-es, de van, beállítva hozzá dyndns-éknél a mailroute is. Szóval csak küldeni tudok. 25-ös és 110-es portok routeren NAT-olva TCP-vel is meg UDP-vel is. Mi nem jó?
Továbbra is köszi!
---
"A megoldásra kell koncentrálni nem a problémára."
Routeren port forward, vagy virtual server neven fut az atiranyitas altalaban, ezt erted nat-on? Lokalizalni kellene a jelenseget...szerintem sorrend: kivulrol a domain 25-osere be tudsz-e telnetelni, ha nem, ip 25-osre be tudsz-e.. aztan jon, hogy jo-e a forward.., mit mutat a mail.log..
Routeren Virtual server néven fut az átirányítás. Telnetelni tudok domain-re is, meg IP-re is a 25-ön, tehát átirányítás OK. Viszont most valamiért minden küldendő levélre azt kapom, hogy "Relay access denied;". Ez van most a logban. Meg az hogy autentikáció OK, meg az, hogy
Pedig ott van. Istenbizony!
Azt hiszem megfordult a probléma. :D
Tudom, tudom... Röhöghettek, én is röhögök magamon.
---
"A megoldásra kell koncentrálni nem a problémára."
Ahogy irja is, nem rakhatod mindket helyre a domain-odat. vagy mydestination legyen, vagy virtual_mailbox_domain, ha virtualisnak is akarod, vedd ki mydest sorvbol.
Ha sajat halot is ki akarod tiltan az open relaybol, akkor mynetworks= 127.0.0.0/8
Na! Alakul...
Most már küldök is, meg kapok is leveleket, ehhez köszönöm a segítséget. Legalábbis a naplo szerint. A küldés rendben van, de a fogadásra azt kapom hogy "permission denied" a
-en. Csak akkor meg ha 777-re teszem a jogosultságait, de azt ugye nem akarjuk ;). Szóval a kérdés:
ki akarja írni a /var/mail-t? Postfix már a míil-csoportban, levelezni akaró user már a mail csoportban. szal nem érteni...
Mit tegyek?
---
"A megoldásra kell koncentrálni nem a problémára."
Már csak egyetlen kérdés, és békénhagyom a közösséget, istenuccse...
Amikor kapok egy levelet, akkor ki akarja létrehozni a
file-t, és ki akarja módosítani a
file-t? A logban az szerepel, hogy ebbe a 'postfix' bukott bele, de ha neki megadom a csoport-jogokat akkor is ez a helyzet. Tehát nem a postfix. Nem is az a juzer akinek a levelet küldtem, mert már neki is adtam minden féle jogot. Persze a saját mail-file-ja végig az övé maradt. Ha azt mondom hogy
akkor megy minden, de látjuk hogy ez nem az exakt megoldás.
Valaki legyen szíves nekem elárulni hogy milyen user, vagy csoport akarja írni a var/mail-t...
Köszönöm!
PtR
---
"A megoldásra kell koncentrálni nem a problémára."
És a /var/mail -el mi a helyzet, van joga írni - akár csoportként?
Igen, van. Sőt a mail csoportba beraktam a postfixet, a fetchmailt, meg magamat is, de így sem megyen... Asszongya hogy "permissön dinájd" :(
És nem tudom hogy ki az aki írni akarja. A log szerint a postfix esik hasra ezen a ponton, de neki van joga...
---
"A megoldásra kell koncentrálni nem a problémára."
Ez is benne volt a googli-paklidban?
Utazás a Postfix körül (1. rész) http://linuxvilag.hu/content/files/cikk/07/cikk_07_66_67.pdf
Utazás a Postfix körül (2. rész) http://linuxvilag.hu/content/files/cikk/08/cikk_08_54_55.pdf
Az elõzõ részben megismertük a Postfix szerkezetét, a levélfogadást és -továbbítást.
Az elmélet után hasznos, ha tudásunkat a gyakorlatban is kipróbáljuk.
Nem néztem meg, hogy segít-e rajtad, csak tudom, hogy még fent van a neten.
Ezt nem néztem, kimaradt. Éjjel megsasolom, hátha okosabb leszek.
Köszi
---
"A megoldásra kell koncentrálni nem a problémára."
Megkukkoltam a cikkeket, köszönöm. Volt bennük jó ötlet, de az én problémámra nem hoztak megoldást. Továbbra is hozzáférés megtagadva! Csak akkor megy ha a mailfile jogosultsága 666 (user:'én',group:mail). Kínomban már a nobody-t is beraktam a mail csoportba hátha segít, de (nem meglepő módon) nem segített.
Ez az
jelenlegi eredménye, csak így megy:
Így már "hozzáférés megtagadva" (pedig így kellene nem?):
<én> a mail csoportban, postfix a mail csoportban.
Megnéztem a
kimenetét a file-ra, de az csak azt mondja meg hogy kié (erre az ls is képes), azt nem hogy ki piszkálta (volna).
Ötletek? Kit tegyek még a mail csoportba?
---
"A megoldásra kell koncentrálni nem a problémára."
postconf -n kimenetet tudnál adni?
szerk.
relayteszt: http://www.abuse.net/relay.html
Ez jött ki:
Ennyi. Nekem úgy szaglik mintha az az
okozná a bajomat. De nem tudom mit csináljak ellene, vagy mit írjak a helyére.
---
"A megoldásra kell koncentrálni nem a problémára."
"virtual_mailbox_base = /var/mail"
csak egy 5let! :)
Mi lenne ha /var/mail/vmail-ba raknád a leveleket és ezt a "vmail" id 5000 user birtokolná 700 jogokkal! :)
"Nekem úgy szaglik mintha az az static:5000 okozná a bajomat."
Van ilyen id-vel usered?
Eddig nem volt. Most csináltam:
Csoprtot is természetesen:
Őt is betettem a mail csoportba, de nem hozta el a megváltást...
---
"A megoldásra kell koncentrálni nem a problémára."
Ez a Falco szerinti virtual boxos leirasbol szarmazik, ha jol sejtem.Az eredeti szerint a mail csoportba nem kell senkinek lenni pluszban, annyi kell csak, hogy az 5000-es vmail user legyen a /var/mail tulajdonosa es csoportja is. Masnak nem is kell hozzafernije. Az eredeti ugy mukodik is.
lehet akár a /home/vmail könytárral is próbálkozni! :)
szerintem csináld meg a vmail könytárat a /var/mail-ban.
Hallelujah!!!
Imigyen már müxik. :)
Gondolom ha a mail user csoport-ID -t átírnám 5000-re akkor is menne. De ezt most nem merem tesztelni. Majd később.
Köszönöm a segítséget mindenkinek!
---
"A megoldásra kell koncentrálni nem a problémára."
"Gondolom ha a mail user csoport-ID -t átírnám 5000-re akkor is menne. "
Ne tedd!
Ha fokozni akarod a security-t, akkor inkább csinálj egy alkönytárat!
Amit csak vmail user birtokol.