» FAQ по Exim MTA

vlary

Цитата:

rusik_gluk
Цитата:
Хотелось бы еще исключение для получателя.
А в чем проблема? Ставишь для таких user , user2 и так далее прямо после acl_check_rcpt:
accept
domains = +local_domains
local_parts = user : user2

Спасибо, но как понять что это работает?

rusik_gluk
Цитата:

Спасибо, но как понять что это работает?

отправить то, что заведомо должно отфильтроваться на этот ящик и еще на другой в вашем домене...

rusik_gluk
Цитата:

Спасибо, но как понять что это работает?

По резко возросшему количеству СПАМа

А может подскажите еще как создать запрет для приема писем от определенного e-mail?
Это мне для проверки разрешения...
Спасибо )

rusik_gluk
пишите аналогичное правило.
ставьте его соответственно перед новеньким accept.
и меняете значению у domains и local_parts на необходимые для запрета.

rusik_gluk Я обычно анализирую отправителей в секции acl_check_from:
Но не делаю нежелательным отлуп там, а записываю зуб на них в какую-нибудь из переменных сессии acl_c1 - acl_c9
А в acl_check_rcpt: ее учитываю, скажем, после правила для user : user2
Посему для user и user2 письмо от субчиков пройдет, а для остальных - нет.
deny
message = fuck off you bloody spamer
condition = ${if {eq {$acl_c8}{2}}}

доброго времени суток.

есть сервачок с exim:

[root@mail_server ~]# exim -bV
Exim version 4.69 #1 built 06-Jun-2008 15:46:02
Copyright (c) University of Cambridge 2006
Probably Berkeley DB version 1.8x (native mode)
Support for: use_setclassresources Perl
Lookups: lsearch wildlsearch nwildlsearch iplsearch dbm dbmnz mysql
Authenticators:
Routers: accept dnslookup ipliteral manualroute queryprogram redirect
Transports: appendfile autoreply pipe smtp
Fixed never_users: 0
Size of off_t: 8
Configuration file is /usr/local/exim/configure

судя по всему он собран без поддержки TLS.
а мне нужно засекурить почтовые сообщения между своим и другим доменом, то есть сделать email TLS между ними...

вобщем на данный момент понятно что для начала нужно пересобрать exim с поддержкой TLS (openssl установлен)
вроде в гугле полно материалов на эту тему - нужно в файле Makefile раскоментировать некоторые строчки.
Это нетрудно, но... сервачок боевой и если после финального make install exim откажется запускаться будет ОЙ.

каким образом можно "забекапить" существующие бинарники и модули, чтобы в случае чего "откатиться" на них ?
Это возможно вобще сделать ? Если да, прошу рассказать как...
Так же было б гуд если бы рассказали, как и что добавить в конфиг екзима, чтобы реализовать этот TLS между нужным мне доменом и собой..
Спасибо..

GaDiNa
Цитата:

если после финального make install exim откажется запускаться

Совершенно не обязательно делать make instal. Достаточно простого make.
После того, как эксим соберется, запустить его тем же ./exim -bV (внутри директории, где он лежит, разумеется)
Потом, сделав для него отдельный конфиг с другими портами, запустить как демона и потестить. Если все ОК, забэкапить старые бинарники (директория /usr/local/exim/bin или типа того), и поместить туда новые скомпиленные.
Запустить в штатном режиме. Если откажется работать, вернуть все взад и чесать репу над причинами.

vlary
то есть можно поставить его собираться, не останавливая работу текущего сервиса ?

GaDiNa
ну если сменить порты на не стандартные то мб и запустится параллельно... если конфликтов не будет с монопольным доступом к файлам каким-нить...

GaDiNa
Цитата:

то есть можно поставить его собираться, не останавливая работу текущего сервиса ?

Да конечно же, кто мешает? Это ведь вещи разного порядка, и собирать можно любую прогу, хоть ядро системы. И даже работать проги могут потом параллельно, если не будут конфликтовать за одинаковые порты, файлы на запись и т.д. Кроме ядра, ессно

Может кто подскажет, нужно чтобы exim при невозможности проверить отправителя

Цитата:

require verify = sender

не временно отказывал с 4** ошибкой

Цитата:

temporarily rejected RCPT <****@******.ru>: Could not complete sender verify

,
а либо делал отлуп либо просто дропал или отказывал.

PS Понимаю, что нарушение RFC и все такое.

Цитата:

и все такое

Ага, допустим попал ты в черный список (а с проверкой отправителя нефиг делать)
У отправителя стоит проверка по RBL.
В результате твоя проверка по отправителю рубится RBL и письмо не доходит.
Юзеры с обоих сторон напрягают админов.

PhoenixUA
что-то я вас не понял...

attaattaatta
у меня проверяется так - в acl_check_rcpt: есть следующий блок
deny
message = Sender verification failed
!acl = acl_local_deny_exceptions
!verify = sender
не считая всевозможных проверок DNS, SPF.

p.s. правда такая проверка DNS напрягает лишний раз - так что если он и так еле воротится, то лучше так не делать

Цитата:

Ага, допустим попал ты в черный список (а с проверкой отправителя нефиг делать)

допустим тебе на голову упал кирпич - тогда уже совсем пофигу какую ошибку генерит экзим. Это была конечно шутка.
адрес отправителя проверять конечно надо, потому как это на 99% спам.

что касается попадания в блеклисты - то это даже хорошо, что юзера почту не получают - ты хоть об этом узнаешь и примешь меры.


Цитата:

Юзеры с обоих сторон напрягают админов.

тебе ж зарплату платят


Добавлено:

Цитата:

p.s. правда такая проверка DNS напрягает лишний раз - так что если он и так еле воротится, то лучше так не делать

религия не позволяет у себя поднять днс-сервер ?

Alukardd
Спасибо. Очень помог.
PhoenixUA
По поводу черных списков пусть напрягают, вроде за 5 лет проблем не было =)

Добавлено:
Может кому пригодится, куча примеров с верификациями

Verification - Exim Wiki

Добавлено:
И еще куча примеров =)

всем спасибо за советы ) exim собрался нормально, поддержка TLS добавлена.
теперь подскажите - как реализовать TLS между моим и другим отдельным доменом domain.ru. где бы почитать, чтоб быстрее сделать..

Цитата:

допустим тебе на голову упал кирпич

Кирпичи мне на голову не падают, а разгребать проблемы юзеров из-за таких проверок периодически приходится. Особенно радует, когда это надо "еще вчера".

Цитата:

то это даже хорошо, что юзера почту не получают

0_0 ну если больше заняться нечем...

Цитата:

тебе ж зарплату платят

вот и разгребаю (слава богу это бывает не очень часто), в ущерб другим делам.

Поэтому видя последствия применения таких проверок отправителя и призываю использовать другие методы.

GaDiNa
Какие цели преследуете ? Если только mta настроить то вот маленькая статейка (тут про сертификаты и их создание), а если ssl между доменами внутри одной организации, то это уже в другуй ветку.

GaDiNa
Цитата:

теперь подскажите - как реализовать TLS между моим и другим отдельным доменом

Да пребудет с тобой Гугл, и ныне, и присно, и вовеки веков!
Вот здесь настройка Эксима для приема клиентских соединений: Ссылка
А здесь настройка Эксима, чтобы он мог сам выступать как клиент: Ссылка

спасибо.. вкуриваю доки.

вот только есть вопрос - я при сборке не раскомментировал этот параметр

# TLS_INCLUDE=-I/usr/local/openssl/include/

собралось нормально

# exim -bV
Exim version 4.69 #2 built 14-Oct-2010 00:14:54
Copyright (c) University of Cambridge 2006
Probably Berkeley DB version 1.8x (native mode)
Support for: use_setclassresources Perl OpenSSL

а вот только что начал проверять, выяснилось, что /usr/local/openssl/include/ не существует, а есть /usr/include/openssl :

# ls -la /usr/include/openssl/
total 2256
drwxr-xr-x 2 root wheel 1536 Jun 5 2008 .
drwxr-xr-x 47 root wheel 5632 May 5 2009 ..
-r--r--r-- 1 root wheel 4854 Jan 16 2008 aes.h
-r--r--r-- 1 root wheel 3461 Jan 16 2008 aes_locl.h
-r--r--r-- 1 root wheel 40292 Jan 16 2008 asn1.h
-r--r--r-- 1 root wheel 18383 Jan 16 2008 asn1_mac.h
-r--r--r-- 1 root wheel 26671 Jan 16 2008 asn1t.h
-r--r--r-- 1 root wheel 27580 Jan 16 2008 bio.h
-r--r--r-- 1 root wheel 5073 Jan 16 2008 blowfish.h
-r--r--r-- 1 root wheel 20395 Jan 16 2008 bn.h
-r--r--r-- 1 root wheel 4229 Jan 16 2008 buffer.h
-r--r--r-- 1 root wheel 4315 Jan 16 2008 cast.h
....................

вот и думаю - может надо пересобрать, указав нужный путь ?

или как проверить, что сейчас exim нормально работает с TLS ?
например если телнетом на 25 порт к нему стучусь и говорю STARTTLS то получаю :


# telnet eximhost 25
Trying *.*.*.30...
Connected to eximhost (*.*.*.30).
Escape character is '^]'.
STARTTLS
554 SMTP synchronization error
Connection closed by foreign host.

GaDiNa TLS_INCLUDE - это путь к директории, где лежат хидеры опенссл.
Если все собралось нормально, и ругани на неопределенные переменные/функции не было, значит, пересобирать ни к чему.
А поставил эксим уже новой сборки?


Добавлено:

Цитата:

Connected to eximhost (*.*.*.30).
Escape character is '^]'.
STARTTLS

Ну ведь предварительно EHLO надо выполнить...

vlary
да все в порядке
отдает
250-SIZE 52428800
250-8BITMIME
250-PIPELINING
250-STARTTLS
250 HELP

GaDiNa И после STARTTLS по прежнему выдает ошибку?

говорит вот так


250-SIZE 52428800
250-8BITMIME
250-PIPELINING
250-STARTTLS
250 HELP
starttls
220 TLS go ahead

GaDiNa Ну так прекрасно, он правильно отвечает. Теперь осталось проверить его реальную работу, но вручную этого уже не сделать. Нужно настроить клиента, например Thunderbird, и попробовать с ним.

Не осилю все посты пробежать.
Вопрос по настройки exim.

Хочу создать почтовы ящики на сервере вида.
mail@pupkin.local
mail1@pupkin.local

тяну почту fetchmail с майл ру она пока падает root.

Как правильно настроить exim чтобы он знал куда маршрутизировать почту локальным пользователям?

phandorin
Цитата:

Не осилю все посты пробежать.

Ну осиль хотя бы руководство, если не все, то главу 23, про транспорт.

снова вынужденно обращаюсь к знатокам екзима.
мне нужно сделать так, чтобы вся входящая и исходящая почта между моим доменом и доменом заказчика шифровалась. Для этого екзим был пересобран для подддержки TLS.

теперь нужно его правильно отконфигурировать.
насколько я понимаю, сейчас, стандартные опции применяются, если екзим работает как сервер, то есть при приеме почты:

# grep tls /usr/local/exim/configure
tls_advertise_hosts = *
tls_certificate = /usr/local/exim/certs/exim.crt
tls_privatekey = /usr/local/exim/certs/exim.key

и даже в таком случае почту от домена заказчика можно отправить в незашифрованом виде. мне же нужно запретить такой режим. приниматься должно только в защищенном режиме.
а еще остается нерешенным вопрос отправки почты на домен заказчика. в этом случае мой екзим будет работать в режиме клиента (?) и тоже надо както настроить, чтобы почта передавалась в зашифрованном виде.
затрудняюсь даже что искать в гугле. пока читаю доки на сайте лисяры.
подскажите куда копать..

нагуглил следующее

в роутерах:

tls_domains:
driver = dnslookup
domains = securedomain.tld
transport = tls_smtp


в транспортах:

tls_smtp:
driver = smtp
hosts_require_tls = *


вроде работает..
но это только от меня.. а от securedomain.tld наверняка смогут прислать незашифрованное письмо. надо бы еще както это запретить..