» Почтовый сервер postfix документация и FAQ

redson юзаем платный Kaspersky Security 8.0 for Linux Mail Server, из бесплатных народ прикручивает CLAMAV

ipmanyak

Цитата:

юзаем платный Kaspersky Security 8.0 for Linux Mail Serve

установка дистрибутива легкая? у него есть удобная веб админка? и как в целом оценка продукта?

кто какие анализаторы логов использует для просмотра логов postfix? Не удобно постоянно лазит в консоль и парсить логи, хочется удобного веб интерфейса с фильтрами)

не могу решить проблему.
postfix check выдаёт


Код: postfix/postfix-script: warning: damaged message: corrupt/0F9F7E0458
postfix/postfix-script: warning: damaged message: corrupt/E0656E1C56
postfix/postfix-script: warning: damaged message: corrupt/D12FCE224B
postfix/postfix-script: warning: damaged message: corrupt/02A16E28CB
postfix/postfix-script: warning: damaged message: corrupt/354BCE3E84
postfix/postfix-script: warning: damaged message: corrupt/6D5C1E3CED
postfix/postfix-script: warning: damaged message: corrupt/7C690E3CFA
postfix/postfix-script: warning: damaged message: corrupt/2825AE3EB9
postfix/postfix-script: warning: damaged message: corrupt/91DA73FD997
postfix/postfix-script: warning: damaged message: corrupt/B298C3FCC2A
postfix/postfix-script: warning: damaged message: corrupt/6188E3FCC48
postfix/postfix-script: warning: damaged message: corrupt/95E423FCC49
postfix/postfix-script: warning: damaged message: corrupt/940C6412569
postfix/postfix-script: warning: damaged message: corrupt/A08BA41CC7D

Belua

Цитата:

connect to telecon.asv.ru[62.177.43.187]:25: Operation timed out

ну нет там ничего на 25 порту, вот и некуда доставлять


Цитата:

каждую секунду идёт ссобщение

секунду? судя по куску - там 1.5 часа разницы


Цитата:

я так понимаю, это какое то ппимо, которое не может уйти.

вполне возможно, смотрите сколько времени ваш почтовик по настройке будет пытаться доставлять
посмотрите письмо, что у вас часто на alert@ пытается отправляться?


Цитата:

Во втором случае, я так понимаю, письма пытаются уйти но их не пускают до адресата различные BL

да, IP считается спаммером в некотором количество BL (аж в 7)
http://www.anti-abuse.org/multi-rbl-check-results/?host=62.177.43.174
https://rblwatcher.com/


Цитата:

не могу понять, как от этого избавиться и на что это может повлиять

причина.. некоторые пишут, что такое возможно при обновлении работающего постфикса. возможно повредил сторонний софт - антивирь, амавис и тд и тп.

загляните в /var/spool/postfix/corrupt

самый простой способ "починки" - попробовать снова поставить в очередь на доставку
postsuper -r corrupt

если же ничего стоящего в поврежденных нет - почистить
postsuper -d corrupt

можно удалить выборочно.

но посадка в BL уже не очень хороший признак

С очередью разобрался, стало хорошо. Правила в main.cf поправил, сильно ужесточил и на отправку и на получение, + добавил использование грейлистов. (не однозначное решение, но понаблюдаю). Но побитые письма так и не смог удалить postsuper -d corrupt . Они остались. Можно ли удалить их "руками"?

Цитата:

Можно ли удалить их "руками"?

можно, просто очистить содержимое папки.


Цитата:

Но побитые письма так и не смог удалить postsuper -d corrupt

с sudo то запускали?

Цитата:

с sudo то запускали?

Да
просто удалил
спасибо


Добавлено:
в /var/log/maillog каждый 20 сек. сыплются сообщения

Код: May 3 14:02:22 smtp postfix/smtpd[51472]: connect from unknown[62.177.43.146]
May 3 14:02:22 smtp postfix/smtpd[51472]: lost connection after EHLO from unknown[62.177.43.146]
May 3 14:02:22 smtp postfix/smtpd[51472]: disconnect from unknown[62.177.43.146]
May 3 14:02:33 smtp postfix/smtpd[51345]: connect from unknown[62.177.43.172]
May 3 14:02:33 smtp postfix/smtpd[51345]: lost connection after EHLO from unknown[62.177.43.172]
May 3 14:02:33 smtp postfix/smtpd[51345]: disconnect from unknown[62.177.43.172]

Belua

Цитата:

Два хоста пытаются подключится и их отшибает еще на этапе проверки EHLO, я так понимаю еще до правил. Как по подробнее разобраться с ситуацией?

я бы не сказал, что отшибает постфикс - они сами отрубаются или проблемы с сетью (необязательно у вас).

смотрим что за сеть

Цитата:

inetnum: 62.177.42.0 - 62.177.43.255
netname: INTURAL-CLNT-PERMTELECON
descr: LTD Telecon
descr: Russian Federation
descr: Perm
country: RU

почтовиками не являются, так что может либо просто скан портов, либо у клиента файерволл, к примеру, срабатывает. для подробного анализа уже нужно сниффить через tcpdump и смотреть что там происходит
http://www.postfix.org/DEBUG_README.html#sniffer

ps: да, я бы еще рекомендовал поставить и настроить fail2ban - если в логах есть попытки брутфорса )))

Belua
Цитата:

May 3 14:02:22 smtp postfix/smtpd[51472]: connect from unknown[62.177.43.146]
May 3 14:02:22 smtp postfix/smtpd[51472]: lost connection after EHLO from unknown[62.177.43.146]
May 3 14:02:22 smtp postfix/smtpd[51472]: disconnect from unknown[62.177.43.146]
May 3 14:02:33 smtp postfix/smtpd[51345]: connect from unknown[62.177.43.172]
May 3 14:02:33 smtp postfix/smtpd[51345]: lost connection after EHLO from unknown[62.177.43.172]

у вас стоят рестрикшины на HELO/EHLO, в частности
reject_non_fqdn_helo_hostname, что-то типа:

smtpd_helo_restrictions =.
<------>permit_mynetworks,
<------>reject_unknown_helo_hostname,
<------>reject_invalid_helo_hostname,
<------>reject_non_fqdn_helo_hostname,
<------>check_helo_access regexp:/etc/postfix/helo_regexp,
<------>permit

или разрешайте non_fqdn_helo_hostname (по RFC разрешено писать литеральный адрес - ip адрес в квадратных скобках) или плюйте на это.

ipmanyak

Цитата:

у вас стоят рестрикшины на HELO/EHLO, в частности

тогда бы постфикс высказался об этом, как я думаю - выдал бы SMTP ошибку.
connection lost означает именно неожиданный обрыв подключения.

Mavrikii Ты прав, обычно другое сообщение идет.
450 4.7.1 <pravowed>: Helo command rejected: Host not found;
lost connection - такие сообщения еще бывают, если некорректно настроены разрешения tls/sasl

Belua насчет 62.177.43.172:

IP Address 62.177.43.172 is listed in the CBL. It shows signs of being infected with a spam sending trojan, malicious link or some other form of botnet.
It was last detected at 2016-04-27 10:00 GMT (+/- 30 minutes), approximately 6 days, 19 hours, 30 minutes ago.
This IP is infected (or NATting for a computer that is infected) with the Conficker botnet.

62.177.43.146 наверно тоже бот или зараза.

Не много не по теме, но прошу Вас ответить, ибо Вы точно знаете ответ. Возможна ли такая ситуация как на скриншоте http://rgho.st/8pHy8sBCY (я сколько моделировал максимум одна минута разницы). Ситуация такая, получается, что письмо пришло в 14.00, а вложения 14.50 (+2 часа). Может ли такое быть?

ddv75
а какое отношение название архива имеет к фактическому времени доставки? это ваш почтовый вебинтерфейс предлагает сохранить все в архиве, а то, как и какое время он берет для названия файла - откуда нам знать? приложения не "путешествуют" отдельно от письма, так как являются частью его )) к почтовому серверу (тем более к постфиксу) это вообще не имеет никакого отношения.

Прочитал, что postfix по умолчанию настроен как open relay, и спамеры могут использовать его в своих коварных целях, что в свою очередь приведет к попаданию ip-адреса сервера в черные списки.
В качестве решения этой проблемы предлагалось добавить в файл /etc/postfix/main.cf следующие строчки:

Код: mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
smtpd_recipient_restrictions = permit_mynetworks, reject_unauth_destination
smtpd_sender_restrictions = reject_unknown_sender_domain

RuPurple
Цитата:

mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128

Здесь полная фигня, думаю, что IPv6 у вас пока не используется,
поэтому должно быть что-то типа
mynetworks = 127.0.0.0/8 192.168.1.0/24 1.2.3.32/27
(адреса самого сервера, внутренней и внешней сети)
Цитата:

А могут ли при таких настройках спамеры отправлять почту от имени пользователей сервера?

Нет, почтовые сервера не верят обратным адресам,
так как их легко подделать. Поэтому при таком обратном адресе, если клиент не из своей
сети пытается отправить письмо в чужой домен, ему предлагают пройти SMTP Authentication
А нормальная практика, когда прикидываться местным адресом вообще запрещено.
Меня, например, раздражает, когда мне пытаются всучить спам с моим же обратным адресом.

RuPurple

Цитата:

smtpd_recipient_restrictions = permit_mynetworks, reject_unauth_destination
smtpd_sender_restrictions = reject_unknown_sender_domain

вы почту принимаете только с localhost?

vlary

Цитата:

mynetworks = 127.0.0.0/8 192.168.1.0/24 1.2.3.32/27

Имеется ввиду, что 1.2.3.32/27 - адрес внешней сети почтового сервера? А зачем он нужен в mynetworks?

Цитата:

Нет, почтовые сервера не верят обратным адресам, так как их легко подделать. Поэтому при таком обратном адресе, если клиент не из своей сети пытается отправить письмо в чужой домен, ему предлагают пройти SMTP Authentication

То есть, если, предположим, спамер попытается через мой сервер отправить письмо от имени root@myserver.ru, то posfix попросит у него пароль от учетной записи root? А откуда postfix знает какой пароль у root, и есть он вообще или нет?

Mavrikii
Я не совсем понял вопрос. Я подключаюсь к серверу по ssh, набираю mail, и смотрю что пришло. Отправляю также.

RuPurple
Цитата:

А откуда postfix знает какой пароль у root, и есть он вообще или нет?

Postfix не знает, но может спросить у тех, кто знает. Читай про SASL
Цитата:

Я подключаюсь к серверу по ssh, набираю mail, и смотрю что пришло. Отправляю также.

Да, стрельба из пушки по воробьям...

vlary

Цитата:

Читай про SASL

Я почитал про Postfix и SASL. Не всё, там довольно много. Но пока вывод такой.
Если в main.cf отсутствует smtpd_sasl_auth_enable = yes , то гипотетический спамер просто не сможет пройти аутентификацию, и соответственно не сможет ничего отправить от имени пользователей сервера. Это правильно?

Цитата:

Да, стрельба из пушки по воробьям...

Понимаю. А как должно быть, чтобы не из пушки по воробьям, то есть нормально?

RuPurple
Цитата:

Если в main.cf отсутствует smtpd_sasl_auth_enable = yes ,
то гипотетический спамер просто не сможет пройти аутентификацию, и соответственно не
сможет ничего отправить от имени пользователей сервера. Это правильно?

Первая часть - да, вторая - нет.
Он не сможет отправить ничего наружу, но сможет отправить внутреннним пользователям.
Поскольку подделанный внутренний адрес с точки зрения чисто SMTP протокола
ничем не отличается от фальшивого внешнего.
Поэтому наряду с отключением sasl_auth надо еще отключить прием извне писем с
обратными локальными адресами. Кстати, от фальшивых локальных адресов
в поле From:, которые мы видим в почтовом клиенте, это не защитит.
Цитата:

А как должно быть, чтобы не из пушки по воробьям, то есть нормально?

Ну, у меня например почтовик принимает и раздает письма в локальной сети центрального офиса,
а также сетей нескольких филиалов, несколько сот человек.
Это явно не из пушки по воробьям.

Настраиваю postfix на отправку исходящей почты через внешний почтовый сервер, например, через smtp.yandex.ru.
В интернете есть довольно много публикаций с инструкцией по настройке, но, к сожалению, в большинстве своём они без пояснений. Кроме того, сами инструкции немного отличаются. Поэтому возникло несколько вопросов. В основном, они касаются файла main.cf
1. Нужен ли параметр smtp_tls_CAfile = /etc/postfix/cacert.pem и для чего? Где взять сертификат cacert.pem?
2. В чем различие между параметрами sender_canonical_maps = и smtp_generic_maps = ? Я почитал официальную документацию postfix, но так и не понял в чем разница.
3. Нужны ли параметры smtp_sender_dependent_authentication = и sender_dependent_relayhost_maps = и для чего?

Цитата:

Настраиваю postfix на отправку исходящей почты через внешний почтовый сервер, например, через smtp.yandex.ru

Дальше можно не читать. Яндекс у тебя почту не возьмет - с чего бы ему быть релеем то? Если есть доступ до smtp.yandex.ru, то и настраивать особо ничего не надо. Твой postfix и сам почту разошлет

кто какие анализаторы логов postfix использует? интересует с веб интерфейсом, что бы удобно просматривать. Я использую _http://kirsenn.ru/postfix-log-parser-php/ . Есть его исходники на _https://github.com/kirsenn/SimplePosfixLogAnalyzer
Но он сыроват и не доделан. Переписывал его под себя, но это не очень удобно. Хочется что нибудь на подобие exilog для Exim

Sadok
Ну хорошо, пусть будет не Яндекс, пусть будет mail.ru или gmail.com или любой другой внешний почтовый сервер. Причины настроить релей могут быть разные. Вы бы лучше на вопросы ответили.

Цитата:

Ну хорошо, пусть будет не Яндекс, пусть будет mail.ru или gmail.com

да с какого карлика другие сервера вашу почту релеить будут? если есть у вас дырка в интернет - ваш постфискс и сам все отправит. при выполнении некоторых условий, не связанных с вашим вопросом

Sadok
А почему внешний сервер не будет релеить почту? Если у меня есть на нем учетная запись, если postfix проходит авторизацию и заменяет локальный from на учетную запись внешнего сервера?
Хорошо, давайте поставим вопрос по-конкретнее. Как отправить почту postfix`ом, если провайдер закрыл 25 порт?

Через релей провайдера

RuPurple
обычно там ограничения стоят на количество сообщений, поэтому свой активный сервер использовать при этом не совсем удобно.
Цитата:

Нужен ли параметр smtp_tls_CAfile = /etc/postfix/cacert.pem и для чего? Где взять сертификат cacert.pem?

cacert.pem это набор корневых сертификатов (Certification Authorities)
взять - да хоть отсюда https://curl.haxx.se/docs/caextract.html
нужен для проверки сертификатов серверов
но, в принципе, используется /etc/ssl/certs/ca-certificates.crt


Цитата:

В чем различие между параметрами sender_canonical_maps = и smtp_generic_maps = ?

насколько понимаю - smtp просто преобразует адреса, а вариант с canonical может преобразовать либо получателя, либо отправителя - поэтому их две похожих директивы
могу и ошибаться.


Цитата:

Нужны ли параметры smtp_sender_dependent_authentication = и sender_dependent_relayhost_maps = и для чего?

первое - у разных доменов могут быть разные способы аутентификации через релей
второе - разные домены могут релеиться через разные сервера
https://swientek.me/2013/11/27/postfix-smtp-sender-dependent-authentication/

Mavrikii
Благодарю Вас за развернутый ответ!
Где можно почитать подробнее про корневые сертификаты?

Sadok
А если у провайдера нет релея? Или же провайдер не предоставляет к нему доступа. Что тогда делать?