postfix backup MX

Debian GNU/Linux

Sziasztok,

Egy backup MX-et uzemeltem be, Postfix segitsegevel, es mukodik is rendesen, de egy hibat eszrevettem: barki csatlakozhat ra, es hasznalhatja levelkuldo szervernek - ami ugyebar nagyon nem jo.

A konfig jelenleg igy nez ki:

queue_directory = /var/spool/postfix
command_directory = /usr/local/sbin
daemon_directory = /usr/local/libexec/postfix
mail_owner = postfix
myhostname = [HOSZTNEVE A GEPNEK]
inet_interfaces = all
biff = no
mynetworks = [IPCIMEM/32]
smtpd_recipient_restrictions = permit_mynetworks, reject_unauth_destination
relay_domains = hash:/usr/local/etc/postfix/relays
transport_maps = hash:/usr/local/etc/postfix/transport
maximal_queue_lifetime = 1d
bounce_queue_lifetime = 1d
unknown_local_recipient_reject_code = 450

A relays es transport fajlokban pedig beleirtam a domain-eket, az alabbi formaban:

relay:
domainnev.xy OK

trasport:
domainnev.xy smtp:elsodleges.mx

A kerdes, hogyan tilthatnam mindenki szamara, hogy ezen szervert hasznalja SMTP kiszolgalonak a levelezo programjabol?

Koszi.

  • 2522 megtekintés

( ScOut3R | 2009. 06. 25., cs – 09:14 )

A mynetworks az a publikus IP cimed? Ha igen, akkor miert? Nekem a backup mx-en a localhost van beallitva.

Nem kapcsolodik szorosan a problemahoz, de az smtpd_recipient_restrictions is eleg laza. Nalam az alabbi van felkonfigolva (a helo_checks file tartalma regexp a kulso IP cimre es hostnevre): 


smtpd_recipient_restrictions =
        permit_mynetworks,
        check_helo_access pcre:/etc/postfix/helo_checks,
        reject_unauth_destination,
        reject_invalid_hostname,
        reject_non_fqdn_sender,
        reject_non_fqdn_hostname,
        reject_non_fqdn_recipient,
        reject_unknown_recipient_domain,
        reject_unknown_sender_domain,
        reject_unlisted_recipient,
        reject_rbl_client zen.spamhaus.org,
        reject_rbl_client bl.spamcop.net,
        #reject_rbl_client list.dsbl.org,
        reject_rbl_client cbl.abuseat.org,
        reject_rbl_client dul.dnsbl.sorbs.net,
        reject_rhsbl_client rhsbl.sorbs.net,
        reject_rhsbl_sender rhsbl.sorbs.net,
        permit_mx_backup

--
http://www.modernbiztonsag.org

( cilimpo | 2009. 06. 25., cs – 16:21 )

check_helo_access pcre:/etc/postfix/helo_checks,

a helo_cheks-nek mi a szintaktikája?
Mi kell szerepeljen a file-ban?

Ennel pcre, vagyis Perl regexp, de olyat valasztasz ami szimpatikus es tamogatja az adott Postfix telepites.

A fajl tartalma jelen esetben pedig a szerver publikus ip-je es hostneve tiltva, vagyis ezzel azt erem el, hogy ha a kuldo fel az en ip-mel vagy hostnevemmel helo-zik, akkor azt elutasitja a Postfix.

--
http://www.modernbiztonsag.org

( cilimpo | 2009. 06. 25., cs – 16:30 )

Leírnál egy példát
ip cím legyen 192.168.0.10
domain név legyen domain név

hogyan kell kitölteni?

( mozsaf | 2009. 06. 26., p – 08:44 )

Valami meg mindig nem koser, csinaltam egy tesztet, leallitottam az elsodleges szervert, szepen fogadta is a backup mx a leveleket, de miutan visszainditottam most mar 14 oraja az elsodlegest, a levelek meg mindig ott hevernek a backup-on.

(delivery temporarily suspended: connect to elsodleges.mx[elsodleges_mx_ip]:25: Operation timed out

Pesig az mar megy szepen, ha telnet-el megnezem a backup-rol az elsodleges szerver 25-os portjat, szepen valaszol is. Posftix flush-al sem mennek tovabb a levelek.

Otlet?

Inkabb a DoS!
Szerintem ezt meg lehetne finomabban is fogni... pl a ket gepbe berakni plusz egy halokarit es direktbe osszekotni oket. Igy nem kellene a szolgaltato DoS elleni vedekezeset lenyomni, cserebe megis 100mbittel szaladnanak a backup mx-rol at a levelkek.
-- 


()=() Ki oda vagyik,
('Y') hol szall a galamb
C . C elszalasztja a
()_() kincset itt alant.

( mozsaf | 2009. 06. 26., p – 13:43 )

További kérdés:

A backup MX fogad egy mail-t, majd továbbítja az elsődleges levelezőnek. Az elsődleges levelező viszont válaszul azt adja hogy az általa kezelt domain-hez nincs ilyen email cim. Ezek után az backup MX-en ott vár a levél:

host elsodleges.mx[elsodleges_mx_ip] said: 450 4.1.1 : Recipient address rejected: User unknown in local recipient table (in reply to RCPT TO command))

Ez a level igy gyakorlatilag felesleges... mivel a domaint ugyan a szerverek kezelik, de nincs ilyen cimzett.