» FAQ по Exim MTA #2

Alukardd
Цитата:

Меня интересовало именно то, что я спросил.
За сколько присестов уходят письмо из MUA к своему MTA.

Так за один, ессно.
Дабы не быть голословным, вот дебаг сессии. Я со своего эккаунта me@domain.ru
отправляю письмо на два моих эккаунта me1@mail.ru и me2@gmail.com,
в поле Кому: через запятую.
Клиент Птичка Мозилла, сервер Коммунигейт.

Цитата:

11:31:20.752 5 SMTPI-145607([10.1.2.40]) out: 220 domain.ru ESMTP Mail Server is glad to see you!\r\n
11:31:20.767 5 SMTPI-145607([10.1.2.40]) inp: EHLO [10.1.2.40]
11:31:20.767 5 SMTPI-145607([10.1.2.40]) out: 250-domain.ru we trust you [10.1.2.40]\r\n
250-DSN\r\n250-SIZE 10485760\r\n250-STARTTLS\r\n
250-AUTH LOGIN PLAIN CRAM-MD5 DIGEST-MD5 GSSAPI\r\n
250-ETRN\r\n250-TURN\r\n250-ATRN\r\n250-NO-SOLICITING\r\n
250-8BITMIME\r\n250-HELP\r\n250-PIPELINING\r\n250 E
11:31:20.783 5 SMTPI-145607([10.1.2.40]) inp: MAIL FROM:<me@domain.ru> SIZE=392
11:31:20.783 5 SMTPI-145607([10.1.2.40]) out: 250 me@domain.ru sender accepted\r\n
11:31:20.799 5 SMTPI-145607([10.1.2.40]) inp: RCPT TO:<me1@mail.ru>
11:31:20.799 5 SMTPI-145607([10.1.2.40]) out: 250 me1@mail.ru accepting mail from a client address\r\n
11:31:20.799 5 SMTPI-145607([10.1.2.40]) inp: RCPT TO:<me2@gmail.com>
11:31:20.799 5 SMTPI-145607([10.1.2.40]) out: 250 me2@gmail.com accepting mail from a client address\r\n
11:31:20.877 5 SMTPI-145607([10.1.2.40]) inp: DATA
11:31:20.877 5 SMTPI-145607([10.1.2.40]) out: 354 Enter mail, end with "." on a line by itself\r\n
11:31:20.892 2 SMTPI-145607([10.1.2.40]) [2482527] received, 786 bytes
11:31:20.892 5 SMTPI-145607([10.1.2.40]) out: 250 2482527 message accepted for delivery\r\n
11:31:20.892 2 QUEUE([2482527]) from <me@domain.ru>, 786 bytes (<502CA217.1020309@domain.ru>)
11:31:20.892 2 QUEUE([2482527]) enqueued
11:31:20.892 5 SMTPI-145607([10.1.2.40]) inp: QUIT
11:31:20.892 5 SMTPI-145607([10.1.2.40]) out: 221 domain.ru SMTP Server closing connection\r\n
11:31:20.892 4 SMTPI-145607([10.1.2.40]) closing connection
11:31:20.892 4 SMTPI-145607([10.1.2.40]) releasing stream

Все ушло за одну сессию

Господа ткните пожалуйста носом или помогите советом.
История такова - в данный момент на предприятии стоит Kerio Connect планируется переезд на Exchange. И я думаю поставить связку Debian+Exim+SA+ClamAV в качестве DMZ сервера-релея. С чего начать, мануалы покурил - ничего не понял. Уж слишком много настроек а куда копать - глаза разбегаются. Гугль на предмет какой - нить пошаговой установки - умалчивает.

Цитата:

Уж слишком много настроек а куда копать - глаза разбегаются.

Читайте:
http://www.lissyara.su/articles/freebsd/mail/exim+exchange/

также можете посмотреть соседние статьи по Exim на этом сайте - все разжевано дальше некуда

Здравствуйте. Помогите, пожалуйста, разобраться.
На почтовый сервер расположенный на VDS сервере, не приходит почта. MX запись ссылается именно на тот адрес сервера, который собственно и нужен, но при отправке писем откуда угодно я вижу :

#550 all relevant MX records point to non-existent hosts ##

Вот тут адрес почты
http://pastebin.com/ZjqhTKpB

Laterport
Ну фиг знает... Я смог подключиться к вашему почтовому серверу на 465 порт...

Alukardd
Спасибо Но только же это Secure SMTP !?
В общем заработало Видимо записи на ДНСах пока на всех обновились....

Подскажите как и где можно увидеть подробный лог SMTP сессии со внешним клиентом.
log_selector выставлен в +all.
Собственно увидеть хочется если не такую подробность как при команде -bh, то хотя бы полный лог SMTP команд, которые посылались в обе стороны.

Я нашёл решение в виде останова демона и запуска его в shell'е: exim4 -bd -d. Потом этот процесс прерываем и стартуем демона как обычно.
Но это не удобно, я хотел бы получить тот же эффект правкой конфига и перезапуском службы, что бы сообщения валились мне в обычный mainlog.

Alukardd Ну в принципе в Exim можно определить туеву кучу акцесс-листов:

Код: acl_not_smtp    ACL for non-SMTP messages
acl_not_smtp_mime    ACL for non-SMTP MIME parts
acl_not_smtp_start    ACL at start of non-SMTP message
acl_smtp_auth    ACL for AUTH
acl_smtp_connect    ACL for start of SMTP connection
acl_smtp_data    ACL after DATA is complete
acl_smtp_etrn    ACL for ETRN
acl_smtp_expn    ACL for EXPN
acl_smtp_helo    ACL for HELO or EHLO
acl_smtp_mail    ACL for MAIL
acl_smtp_mailauth    ACL for the AUTH parameter of MAIL
acl_smtp_mime    ACL for content-scanning MIME parts
acl_smtp_notquit    ACL for non-QUIT terminations
acl_smtp_predata    ACL at start of DATA command
acl_smtp_quit    ACL for QUIT
acl_smtp_rcpt    ACL for RCPT
acl_smtp_starttls    ACL for STARTTLS
acl_smtp_vrfy    ACL for VRFY

vlary
Ух... Т.е. по сути все(ну или большинство) упомянутых ACL'ей отправлять с проверкой через acl_smth, в котором реализовать с condistion = *(ну или только конкретных индивидов), запись всех $smtp_command...
Так?

Alukardd
Цитата:

Так?

В общем, да. Сам не проверял, но человеку заинтересованному проверить не сложно
И еще. Скрипт использует AUTH LOGIN. Сервер же объявляет только AUTH PLAIN.
Может, в этом проблема?

vlary
оО
А скрипт PLAIN не умеет?(хотя вопрос не к Вам, да ещё и не в той теме).. Сейчас проверю насчёт LOGIN...А вот про логирование попозжа, сейчас занят немного...

Alukardd Попробовал скриптом отправить через свой Эксим, он у меня AUTH вообще не объявляет. Соответственно, скрипт даже не пытался авторизоваться.

Цитата:

А вот про логирование попозжа

Собственно, зачем мучиться с настройкой лога на сервере, если всю сессию можно легко посмотреть с помощью Wireshark на клиенте?

vlary
Ну если только SMTP, то да... Но это не всегда удобно. Вывод exim'а в режиме debug конечно ни что не покажет, кроме него самого. Иногда есть необходимость посмотреть об какой именно ACL споткнулось письмо или как пошла авторизация в базу, что сейчас меня и спасло, т.к. LOGIN аутентификацию я забыл изменить после того как перевёл пароли в базе и PLAIN метод на md5 пароли.

Alukardd
Цитата:

Но это не всегда удобно.

Конечно. Я же говорю о данном конкретном случае.
Цитата:

LOGIN аутентификацию я забыл изменить

Так теперь заработало? Или по причине хранения всех паролей в md5 AUTH LOGIN теперь не просто прикрутить?

vlary
Цитата:

по причине хранения всех паролей в md5 AUTH LOGIN теперь не просто прикрутить

Почему не просто?) Не сложнее чем AUTH PLAIN, они ведь оба plaintext методы.

Всё работает как надо, скрипт сразу вкурил, что появился его любимый LOGIN, между прочим, даже не имеющий rfc, но тем не менее CDO.Message как я понял только его и реализует.
Ну а после взгляда на то почему пароль не подходит в режиме debug, увидел что в базу он лезет проверять его не взяв md5. Что и было моментально исправлено.

Мне кажется это самый безопасный вариант аутентификации: в базе хранить хэши (хоть какие — sha100500), аутентификация только по ssl или tls, ну и как следствие plaintext передача логина/пароля.

Alukardd
Цитата:

Всё работает как надо, скрипт сразу вкурил, что появился его любимый LOGIN

Ну, я рад, что смог помочь и что моя догадка оказалась верна

Цитата:

Мне кажется это самый безопасный вариант аутентификации: в базе хранить хэши

По сути дела, да. Это сейчас стандарт де-факто. Открытым текстом пароли уже давно никто не хранит. Кроме некоторых идиотов. Типа LinkedIn, у которых не так давно уперли 6 с половиной миллионов паролей.

DJs3000
Цитата:

Мне нужно чтобы почта со всех ящиков сливалась в один ящик который контролирует нашальнике. может быть есть нативный способ?

Есть и нативный, через роутер, ставишь его самым первым.

Код: ................
begin routers
catch_all_mail:
driver = redirect
data = nasyalnika@firma.ru
unseen

доброго времени суток. есть проблема- недавно (пару дней как) мой почтовый сервер exim появился в спамлистах. предыстория: у меня мало опыта- вообще-то я виндовый админ и имел дело с почтовиками Mdaemon, Kerio, вот -решил приобщиться к миру опенсорса- но спросить, особо, не у кого. до этого почтовый сервер настраивали фрилансеры, теперь буду я. предыстория заканчивается на сервере крутятся тестовые вебсайты и редмайн(из того, что может использовать почтовик) для отправки. начал читать русский мануал по exim от lissyara, но пока туговато идёт. смотрю в логи /var/log/exim4/mainlog есть такое

2012-12-26 21:11:10 1TnuVa-0000CX-0f <= nataliegeltrudeb@bertrand-russell.it H=localhost (мой MX для домена) [127.0.0.1] P=smtp S=1162 id=20121226232030.53288.qmail@rackii.мой MX для домена
2012-12-26 21:11:10 1TnuVa-0000CX-0f ** dieterg@dgcser.com: all relevant MX records point to non-existent hosts
2012-12-26 21:11:10 1TnuVa-0000CZ-5s <= <> R=1TnuVa-0000CX-0f U=Debian-exim P=local S=2055
2012-12-26 21:11:10 1TnuVa-0000CX-0f Completed

меня "правильно" смущает, что отправитель "20121226232030.53288.qmail@rackii.мой MX для домена" ? значит ли это, что открыт релей для внешних отправителей? если так, то почему раньше спам не шёл а начал сыпаться только сейчас? вообще-то или спама через меня идёт немного или он не отображается в /var/log/exim4/mainlog? вобщем, если у кого-то есть дельные мысли или что-то нужно глянуть (какой-нибудь кусок конфига)- посоветуйте, плз, с меня пиво
P.S.народ, я понимаю, что нужно читать мануал , чем сейчас и занимаюсь, но проблема всех начинающих в том, что мануал "большой", а проблему нужно решать "уже сейчас". спасибо за понимание.

нашёл в конфиге /etc/exim4/conf.d/main/01_exim4_config_listmacrosdefs параметр
hostlist relay_from_hosts= MAIN_RELAY_NETS что это за параметр и чему равно его значение -пока не могу понять.

sergeyashikhmin
У lissyara шикарный сайт в плане настройки exim'а и перевода документации по нему, да и вообще отличный сайт и дельный форум.
Странно здесь то, что Ваши сервисы, т.к. письмо от localhost'а, шлют письма от имени чужих доменов (bertrand-russell.it).
И почему Вы отрезали часть лога? Там должно быть в первой строке в конце for user@domain.com.
Вообще письмо-то вроде как не уходит, у Вас как мне кажется косяк с настройкой DNS, либо в системе в целом, что вряд ли, либо в конфиге exim'а.

не убирал "в первой строке в конце for user@domain.com. " -в логе нет такой записи. за это время понял, что проверить на открытый релей можно в онлайн сервисах. пока ни один сервис не сказал мне, что релей открыт. вот скопипастил кусок лога "без маскарада"

2012-12-26 21:11:10 1TnuVa-0000CX-0f <= nataliegeltrudeb@bertrand-russell.it H=localhost (dev.i-d-web.com) [127.0.0.1] P=smtp S=1162 id=20121226232030.53288.qmail@rackii.dev.i-d-web.com
2012-12-26 21:11:10 1TnuVa-0000CX-0f ** dieterg@dgcser.com: all relevant MX records point to non-existent hosts
2012-12-26 21:11:10 1TnuVa-0000CZ-5s <= <> R=1TnuVa-0000CX-0f U=Debian-exim P=local S=2055
2012-12-26 21:11:10 1TnuVa-0000CX-0f Completed
2012-12-26 21:11:10 1TnuVa-0000CZ-5s ** nataliegeltrudeb@bertrand-russell.it R=dnslookup T=remote_smtp: SMTP error from remote mail server after RCPT TO:<nataliegeltrudeb@bertrand-russell.it>: host bertrand-russell.it [93.95.218.14]: 550
2012-12-26 21:11:10 1TnuVa-0000CZ-5s Frozen (delivery error message)
2012-12-26 21:11:37 1TnuW1-0000Cc-ME <= stevieq@mat.univie.ac.at H=localhost (dev.i-d-web.com) [127.0.0.1] P=smtp S=1141 id=20121226235015.7500.qmail@dispatchds.dev.i-d-web.com
2012-12-26 21:11:37 1TnuW1-0000Cc-ME ** anna.toro@wanadoo.com: all relevant MX records point to non-existent hosts
2012-12-26 21:11:37 1TnuW1-0000Ce-Rk <= <> R=1TnuW1-0000Cc-ME U=Debian-exim P=local S=2004
2012-12-26 21:11:38 1TnuW1-0000Cc-ME Completed
2012-12-26 21:11:38 1TnuW1-0000Ce-Rk zidmx2.univie.ac.at [2001:62a:4:25::25:101] Network is unreachable
2012-12-26 21:11:38 1TnuW1-0000Ce-Rk zidmx1.univie.ac.at [2001:62a:4:25::25:100] Network is unreachable
2012-12-26 21:11:39 1TnuW1-0000Ce-Rk ** stevieq@mat.univie.ac.at R=dnslookup T=remote_smtp: SMTP error from remote mail server after RCPT TO:<stevieq@mat.univie.ac.at>: host zidmx2.univie.ac.at [131.130.3.101]: 550 unknown user/Adresse existiert nicht <stevieq@mat.univie.ac.at>
2012-12-26 21:11:39 1TnuW1-0000Ce-Rk Frozen (delivery error message)
2012-12-26 21:12:42 1TnuX4-0000Cq-CY <= marisabenediktl@utopia.knoware.nl H=localhost (dev.i-d-web.com) [127.0.0.1] P=smtp S=1155 id=20121226183225.44722.qmail@officeoo.dev.i-d-web.com
2012-12-26 21:12:42 1TnuX4-0000Cq-CY ** shiboyy37@blackplanet.com: all relevant MX records point to non-existent hosts
2012-12-26 21:12:42 1TnuX4-0000Cs-Pr <= <> R=1TnuX4-0000Cq-CY U=Debian-exim P=local S=2053
2012-12-26 21:12:43 1TnuX4-0000Cq-CY Completed

не могу понять - если релей закрыт- откуда эти сообщения берутся? Может где-то на тестовых сайтах "дырки"? и, кто понимает- каким образом формируются жирные части id сначала-дата,потом -?время? -не похоже, в конце-доменное имя сервера, а между ними?... (может я как-то смогу это использовать и понять "откуда" лезет спам)

sergeyashikhmin Ну а если самому почитать, что в лог пишется и немного головой подумать ?
Код: nslookup -type=mx dgcser.com
Server: ns.soft.ru
Address: 10.1.1.1

Неофициальный ответ:
dgcser.com MX preference = 0, mail exchanger = mailgw.ns36.de

dgcser.com nameserver = b.ns36.de
dgcser.com nameserver = a.ns36.de
a.ns36.de internet address = 91.195.240.163
b.ns36.de internet address = 91.195.241.163

nslookup mailgw.ns36.de
Server: ns.soft.ru
Address: 10.1.1.1

Неофициальный ответ:
Name: mailgw.ns36.de
Address: 127.0.0.1


nslookup -type=mx wanadoo.com
Server: ns.soft.ru
Address: 10.1.1.1

Неофициальный ответ:
wanadoo.com MX preference = 2, mail exchanger = blackhole.wanadoo.com

wanadoo.com nameserver = ns11.wanadoo.fr
wanadoo.com nameserver = ns10.wanadoo.fr
blackhole.wanadoo.com internet address = 127.0.0.1

nslookup blackhole.wanadoo.com
Server: ns.ru
Address: 10.1.1.1

Неофициальный ответ:
Name: blackhole.wanadoo.com
Address: 127.0.0.1


nslookup -type=mx blackplanet.com
Server: ns.soft.ru
Address: 10.1.1.1

Неофициальный ответ:
blackplanet.com MX preference = 10, mail exchanger = blackplanet-com.mr.outblaze
.com
blackplanet.com MX preference = 20, mail exchanger = blackplanet-com-bk.mr.outbl
aze.com

blackplanet.com nameserver = b.ns.arces.net
blackplanet.com nameserver = c.ns.arces.net
blackplanet.com nameserver = a.ns.arces.net
a.ns.arces.net internet address = 208.76.88.130
b.ns.arces.net internet address = 208.76.88.131
c.ns.arces.net internet address = 184.73.198.166

nslookup blackplanet-com.mr.outblaze.com
Server: ns.soft.ru
Address: 10.1.1.1

Неофициальный ответ:
Name: blackplanet-com.mr.outblaze.com
Address: 127.0.0.1

sergeyashikhmin
Странные все домены у Вас в логах, те что ошибки MX, там вообдще такое чудо, что запись ссылается на ip 127.0.0.1.
Домен, который типа Ваш (web.com), вообще без MX записи. Тот от чьего имени пытаетесь отослаться письмо (.it) имеет MX запись, но при этом 25 порт закрыт, что очень странно, хотя 465 работает норм и open relay'я там вроде нету.

Добавлено:
vlary
Неплохо меня на работе отвлекли) Кнопку отправить нажал минут 40-50 спустя

Единственный актуальный вопрос на который хочется найти ответ.
Как запретить RELAY на адреса которые имеются в данном домене?
Т.е.
helo host
mail from: <test@test.ru>
rcpt to: <admin@test.ru>

Вот такого плана проходит команда, если получателя указываешь другого, из другого домена, запрет на RELAY срабатывает, который наверняка по дефолту прописан в конфиге.
Как запретить посылку сообщений посредством rcpt to: (через telnet) на адреса домена, к которому подключился по 25 порту?

FreeBSD, EXIM

Добавлено:
Сам разобрался в общем, добавил строку в конфиг, всё работает.

deny !authenticated = *
sender_domains = +local_domains : +relay_to_domains
message = Warning! Authentication required!

ты вообще-то просто включил принудительно аутентификацию. Хотя конечно, от этого хуже не будет

tankistua
угу )

главное что проблема решена. почта то хоть ходит ?

Laterport

Цитата:

Как запретить RELAY на адреса которые имеются в данном домене? Т.е.
helo host
mail from: <test@test.ru>
rcpt to: <admin@test.ru>

Это не называется RELAY Это обычная отправка письма на локальный адрес. RELAY - это когда чужой хост через ваш сервер отправляет письма на адреса, которые не принадлежат local_domains и relay_to_domains.
Причем не важно, что он там ставит в mail from:., test@test.ru столь же хорош, как и любой другой, попытка релея будет все равно отбита в правиле для rcpt to:
А с точки зрения того, что противно получать спам с собственным обратным адресом, решение было вполне правильным. У меня, поскольку сервер получает почту только от внешних адресов, mail from: с адресами своих доменов с чужих хостов просто забанен .

vlary
Спасибо буду знать.

tankistua
Конечно, всё отлично. )

Добрый день!
Прошу не большого совета.
Вервые столкнулся с exim и сразу возник вопрос
ЧТо нужно отредактировать в конфиге ексима, чтобы при отправке письма он не вставлял в служебные заголовки следующие данные:
Received: from ********* ([2*.60.173.**] helo=*******.ru)
    by ******.ru with esmtpsa (TLS1.0:DHE_RSA_AES_256_CBC_SHA1:32)
    (Exim 4.72)
    (envelope-from <postmaster@*******>)

Хотелось бы убрать из заголвком метод авторизации то есть вторую строчку и версию ексима третью строчку!

Заранее большое спасибо!