Postfix GMail relay - gyorsan es egyszeruen

Ez most ilyen quick-and-dirty, minimalis kommenttel.

/etc/postfix/main.cf:
[code]

queue_directory = /var/spool/postfix

inet_interfaces = all
myhostname = azenkicsigepecskem.dev.hron.me
mydomain = $myhostname
myorigin = $myhostname
mydestination = $myhostname, $mydomain, localhost.$mydomain, localhost

unknown_local_recipient_reject_code = 550

alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases

## A LENYEG KOVETKEZIK, FIGYELEM... TADAM!

relayhost = [smtp.gmail.com]:587

smtp_use_tls = yes
smtp_tls_CAfile = /etc/postfix/googleia.crt
smtp_sasl_auth_enable = yes
smtp_sasl_password_maps = hash:/etc/postfix/saslpasswd
smtp_sasl_security_options = noanonymous

transport_maps = hash:/etc/postfix/transport
[/code]

/etc/postfix/transport: (mindent dobj at a GMailnek)


*       smtp:[smtp.gmail.com]:587

/etc/postfix/saslpasswd: (ide a GMailes account jon)
[smtp.gmail.com]:587 barki@gmail.com:sosetuddmeg
[/code]

Utolso simitasok:


wget -O /etc/postfix/googleia.crt http://www.gstatic.com/GoogleInternetAuthority/GoogleInternetAuthority.crt
for x in transport saslpasswd; do postmap /etc/postfix/$x; done
chmod 0400 /etc/postfix/saslpasswd*
newaliases
/etc/init.d/postfix restart

Ennek a legelso sorahoz fuznek magyarazatot csak: a legtobb howto - szamomra totalisan erthetetlenul - sajat CA-t gyartat szerencsetlen emberekkel, holott erre nincs szukseg, a postfix egyertelmuen leirja, mi a baja: a GMail certjen keptelen ellenorizni a kibocsato tanusitvanyt. A GMail certjet letoltve (pontosabban az "openssl s_client -starttls smtp -connect smtp.gmail.com:587" kimenetebol kimasolva), azt megjelenitve (celszeruen a "openssl x509 -text -noout -in " kezdetu paranccsal), abban lathato a google CA-janak certje (meg az URL, ahonnan leszedheto), amit letoltok, es berakok a postfixnek oromkodesre.

Hozzászólások

talán buta kérdés, ilyenkor a gmail-es cím lesz a feladó?
vagy az eredeti marad, és csak a fejlécben fog szerepelni a gmail szervere?

--
by Mikul@s

ugyes vagy, csak egyet nem ertek: miert jo az, ha a gmail relay-zik neked?

SPAMtelenül - MX spamszűrő szolgáltatás, ahogyan még sosem próbálta

azt nem tudom miért jó neki, de nekem azért lenne jó, ha nem én küldeném a leveleket, hanem egy "megbízható" SMTP, mert bár otthon fix IP-m van, de a PTR rekordom nem kóser (és a szolgáltatóm nem is fogja beállítani), ezért a szigorú szerverek nem veszik át a leveleket tőlem a PTR miatt... (amit fasságnak gondolok, a tartalom alapján döntsön, ne az "előítéletei" miatt dobjon vissza)

--
by Mikul@s

Nem is olyan nagy hulyeseg ez az eloiteletesseg a SMTP szerverek reszerol. Vedd figyelembe, hogy egy level beerkezese mindaddig eroforrasokat emeszt fel, amig a szerver fogadja a levelet. Megpedig annal tobbet, minel tobbet foglalkozik a levelet atado SMTP klienssel. Ha mar a HELO utan elhajtja a verbe, akkor sokkal kevesebb eroforrast pazarol el egy - jo esellyel spam - levelre, mintha fogadna, atkuldene ellenorizni, megint fogadna, es lerakna mint spam (mert ugye, bejovo levelet el nem dobunk). Egy legitim levelnel megeri, egy spamnal nem. Marpedig a dinamikus IP-rol jovo levelek donto tobbsege spam. Es mivel ma mar majdnem minden email szolgaltato biztosit SMTP szervert is, plusz ha valami komolyabb helyen van domained, akkor az is, igy teljesen felesleges felkeszulni az otthonrol direktben levelezo emberkek kicsiny taborara.
--


Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant.

részben egyet értek veled, de mivel pár éve üzemeltetek postfix-el SMTP gateway-eket/szervereket, nagyjából tisztába vagyok az erőforrás szükségletével egy ilyen rendszernek, és ilyenkor bizony mosolyogni szoktam, amikor erre hivatkozva dobják a el legitim levelem, mert a PTR rekordom tipikusan "home useres"...

azaz arra akarok kilyukadni, hogy szvsz nagyobb faszság egy jó levelet (HAM) visszadobni csak azért, mert nem felel meg minden feltételnek,
mint véletlenül beengedni egy SPAM-et olyan feladótól, aki átmegy az elő szűrőn!

pont ezért nem használok sehol sem semmilyen előfeltételt, se greylistet, mert eddig csak gondom volt vele, ha a drágalátos feladó SMTP-je nem tudta kezelni a 450-es kódot, és napokig nem próbálta újraküldeni, akkor jöttek a haragos ügyfelek, szóval köszönöm, nem kérek belőle...

--
by Mikul@s

azaz arra akarok kilyukadni, hogy szvsz nagyobb faszság egy jó levelet (HAM) visszadobni csak azért, mert nem felel meg minden feltételnek, mint véletlenül beengedni egy SPAM-et olyan feladótól, aki átmegy az elő szűrőn!

Korrekt.

a clapf contrib konyvtaraba kerult egy modositott postgrey, ami azt tudja, hogy ha a PTR alapjan "home user" vagy, akkor szurkelistaz, kulonben elsore atenged (nem szeretjuk, ha elkesik egy level a greylisting miatt). Ha valoban ham leveled van, akkor ez nem nagy ervagas (szamodra), ha viszont megis zombi vagy, akkor 99+% esellyel megszabadultam toled. Ezidaig ilyen jo hatasfokkal mukodik a dolog.

Amugy mi az, hogy az isp-d nem allit be egy _fix_ IP-hez egy kivant PTR rekordot? (nem is ertem a jelenseget....) Csak kivancsisag: melyik ISP ez?

SPAMtelenül - MX spamszűrő szolgáltatás, ahogyan még sosem próbálta

az ISP-m a PR Telecom
azért van fix IP-m, mert 24/7-ben csüngök rajta, így ugyanazt az IP címet kapom vissza, ha lejár
tehát eredendően nem fix IP-s szolgáltatásért fizetek, ez csak amolyan ajándék
éppen ezért nem várhatom el tőle, hogy bármit is állítson nekem, mert jelenleg 1600- Ft-ot fizetek a netért, és a fix IP szolgáltatásuk 2100- Ft/hó :-)

szóval eddig 1-2 szerver pattintott csak le, tehát nem erőlködtem a relay-ezéssel sokat, de most már nem is kell utána olvasnom, hála ennek a topicnak!

--
by Mikul@s

Ha mar a HELO utan elhajtja a verbe

Hat, remelem jo vagy, es tudod mit csinalsz, mert van egy halom _legitim_ szerver, ahol az admin keptelen egy korrekt, FQDN-t beallitani.

Egy legitim levelnel megeri, egy spamnal nem.

Ok, de honnan tudod, hogy spam? Azert bator egy helo alapjan eldobni...

teljesen felesleges felkeszulni az otthonrol direktben levelezo emberkek kicsiny taborara.

Ez egy vedheto allaspont, bar vannak, akiknek jobban szivugyuk az FP-hibak. Amugy a level eldobassal az a legnagyobb gond, hogy a cimzett nem ertesul rola, es nem tudja felulbiralni. Ha viszont egy fix meretu (ido, MB, db, ... alapjan) karantenba teszed, akkor a user felulbiralhatja a 'dobd el' policy-det.

Ami az eroforrasok felemesztese dolgot illeti, msandorral ertek egyet. (Tenyleg nem e-poszorot akarok fenyezni, de ) tavaly ilyenkor csinaltam egy clapf benchmark-ot, es egy atlag desktop vason (core2duo E7200, 2G RAM) napi ~5M levelet at tudtam preselni (ugy szamolva, mint a pulzust...). Ti amugy mekkora vas(ak)on mennyi levelet (fogadott+eldobott spam + ham) kaptok egy atlagos nap, hogy ennyire orzod az eroforrasaidat?

Felreertes ne essek, nekem 8, ha te egy csomo levelet eldobsz, csak azt akarom mondani, hogy nem lenne muszaj, ha nem akarnad. Egyebkent eszrevettetek, hogy par napja kilottek a waledac botnetet? Mar szinte bantoan keves spamet kapok ... :-)

SPAMtelenül - MX spamszűrő szolgáltatás, ahogyan még sosem próbálta

Tekintve, hogy alapvetoen webhostingot szolgaltatunk, viszonylag kis postafiokokkal, igy a inkabb arra megyunk ra, hogy minel kevesebb problemas levelet tegyunk le. Ha mar bejutott a level, nem dobatom el, de a kuldo szervernek mindenkepp meg kell felelnie bizonyos elvarasoknak.

Termeszetesen en is tudom, hogy a vilag nem feketebol meg feherbol all, van egy csomo problemas legitim (vagy kozel legitim) kuldo is, es ha ilyennel talalkozom, felveszem a feher listara.

--


Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant.

Ez akkor jo, ha
- A szolgaltato SMTP szervere egy halom tragyafos, finoman fogalmazva. Ilyen peldaul a Digikabel-e, ami minden, linket tartalmazo levelet spamkent kezel. Bovebben keress ra a forumban.
- Ha emelle meg a 25-os port is tiltva vagyon kifele, maris kesz a GMail-relay igeny.

--


Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant.

En a Cert beemelesenek reszet nem igazan ertem. Addig tiszta, hogy az elso paranccsal letoltom a cert et, aztan egy kicsit kusza...Pedig ertheto es egyszeru az amit irtal, ennyire egyszeruen talan sehol sincs leirva, ezert nem allitom, hogy nem bennem van a hiba.