» FAQ по Exim MTA

sergeyboltenkov Если в конфиге эксима есть акцесс-лист проверки HELO (acl_smtp_helo), настрой его на то, чтобы запросы из локальной сети принимались в любом случае. Типа так:

Код: acl_smtp_helo = acl_check_helo
..........................................
acl_check_helo:
accept hosts = :
accept hosts = +local_hosts : +relay_from_hosts

Спасибо из локальной сети все ок уже настроено, а вот не с локальной не работает

sergeyboltenkov
Цитата:

а вот не с локальной не работает

Пропиши ее в relay_from_hosts. И exim -bh тебе в помощь. Эмулируешь сессию с проблемного хоста, смотришь, на каком акцесс-листе затыкается, и правишь доступ.

Спасибо большое попробую

Еще один вопрос в общую кучу:

Настроил отправку почты через Exim, привязав его к Google-аккунту. Сразу скажу, что DNS настроены именно на Google (типа корпоративная почта и все дела).

Все бы хорошо, НО: Google, с…обака, переписывает заголовки From, Return-Path и т.п. на оригинальный адрес отправителя.

Ни переписывание хеадеров при отправке письма, ни даже параметр “-f{$from}” не помогают.

При этом Exim обрабатывает всё правильно:


Код:
2011-02-02 10:24:02 1PkX4M-0001Nk-FJ <= from@bk.ru U=www-data P=local S=661
2011-02-02 10:24:03 1PkX4M-0001Nk-FJ => to@domain.ru R=smarthost T=remote_smtp_smarthost H=gmail-smtp-msa.l.google.com [209.85.225.109] X=TLS1...
2011-02-02 10:24:03 1PkX4M-0001Nk-FJ Completed

Srum Отправляй через сервер bk.ru или mail.ru с авторизацией, и не будет этих заморочек.

Привет всем.
Прошу совета - через мой сервер непонятным для меня образом ночью рахослали тонну спама. Письма уходили от
<= аdmin@domain.соm U=mailnull P=local S=626
где аdmin@domain.соm это действующий почтовый ящик на сервере и domain.соm указан в domainlist relay_to_domains
меня смщуает что почта уходила от mailnull, как будто зашли локально этим пользователем и отправляли
в конфиге указано
exim_user = mailnull
user = mailnull
но в /etc/master.passwd
mailnull:*:26:26::0:0:Sendmail Default User:/var/spool/mqueue:/usr/sbin/nologin
то есть зайти им не могли. Или это какая-то уязвимость ексима? стоит достаточно старая версия 4.66, ОС freebsd 6.2
Буду благодарен за любые мнения-советы.

Цитата:

версия 4.66, ОС freebsd 6.2

вот это в любом случае ооочень хреново! софт надо держать в актуальном состоянии.

Уже обновляю, но гарантии что поможет к сожалению нет (

ZnatnayaZveruga Скорее всего сломали пароль на аdmin@domain.соm. Покажи логи отправки. И срочно меняй пароль на более стойкий.

Вот такого рода логи
1PrkSX-000FFC-1t <= admin@domain.com U=mailnull P=local S=650
1PrkSX-000FFC-1t => servizisociali@cert.comune.avellino.it R=dnslookup T=remote_smtp H=mx.postacert.it.net [151.1.194.101] X=TLSv1:RC4-SHA:128
1PrkSX-000FFC-1t Completed

Добавлено:
Но вообще-то там нет аутентификации по СМТП, он только от локалхоста почту принимает.

ZnatnayaZveruga Тогда возможно это какая-то почта через веб-интерфейс, или вирус, или что-либо еще. Во всяком случае, смотри логи. Не думаю что там только это
1PrkSX-000FFC-1t <= admin@domain.com U=mailnull P=local S=650
1PrkSX-000FFC-1t => servizisociali@cert.comune.avellino.it R=dnslookup T=remote_smtp
Наверняка должны быть записи, откуда этот фрукт появился.

Вебпочта уходит с U=nobody, а тут U=mailnull

Цитата:

U=mailnull

Потому что exim запущен под пользователем mailnull.

relay_to_domains, а не relay_from_domains.
Разницу улавливаешь?

Cpanel присутствует?

Cpanel отсутствует. Разницу чувствую, то что ексим запущен под mailnull понимаю, он не понимаю каким образом это получается.
Собственно, я грешу на старую версию ексима, в которой есть уязвимость, ексим обновил, надеюсь поможет.

Всем привет, увы, я - новичёк.

Просьба подсказать куда копать :

Есть exim4 , он должен отправлять письма как на внутренние ящики так и на внешние.
Но работает только внутренняя отправка , на внешние ящики почта не идет .
При отправке на внешние ящики ругается Unrouteable address:

Кусок конфига :

dnslookup_relay_to_domains:
debug_print = "R: dnslookup_relay_to_domains for $local_part@$domain"
driver = dnslookup
domains = +local_domains : +relay_to_domains
transport = remote_smtp
same_domain_copy_routing = yes
no_more




dnslookup:
debug_print = "R: dnslookup for $local_part@$domain"
driver = dnslookup
domains =! +local_domains
transport = remote_smtp
# ignore private rfc1918 and APIPA addresses
ignore_target_hosts = 0.0.0.0 : 127.0.0.0/8
no_more

Народ подскажите чутка по авторизации плз...
Использую связку exim+dovecot+mysql+roundcube всё на debian squeeze.

Как максимально защитить авторизацию? 1 - при использовании web-интерфейса. 2 - при использовании MUA.
Мои мысли таковы: что web-морду упаковываем в https ну и используется imaps(хотя это вроде побоку ибо они у меня на одном физическом сервере). Тут вроде как больше творить нечего. С roundcube тут вроде проблем быть не должно.
А что с MUA? Мне не нравится то, что в базе лежит пароль в открытом виде и в жалком crypt. Хотелось бы оставить там только 1 поле с чем-нить солидным типа SHA-256. Dovecot вроде такое поддерживает, но вот что делать с exim? Полагаю, что всё что остаётся это пустить exim через dovecot:
Код: begin authenticators

auth_plain:
driver = dovecot
public_name = PLAIN
# вроде так в debian
server_socket = /usr/lib/dovecot/dovecot-auth
server_set_id = $auth1

Немного запутался в конфигах Exim'а.
OS Debian 5.0
После установки тяжелой версии эксима не оказалось файла /etc/exim4/configure. Соответственно несколько раз делал переконфигурацию стандартным sudo dpkg-reconfigure exim4-config, четко говорил не разбивать конфиг на кучу мелких. Файлик все равно пришлось создать ручками. Далее прописал все необходимое в этот самый /etc/exim4/configure, но после рестарта exim (/etc/init.d/exim restart) все настройки слетают, видимо эксим цепляет какой-то другой конфиг. Пробовал сконфигурировать через exim4.conf.template, так же фигня.
Пришлось запускать с параметром -С, но постоянно летят ошибки exim user lost privilege for using -C option (что вполне логично).
Как посмотреть какой конфиг эксим цепляет по дефолту? И где указать какой конфиг цеплять при рестарте?

AdikL Я долгое время работал с Эксимом на другой операционке, с единым конфигом. Потом поставил Дебиан, и столкнулся с этим безобразием. Да и релиз стоял далеко не последний. В результате я снес стоявший Эксим, скомпилил из исходников последний релиз и получил нормальную знакомую систему.

Цитата:

Как посмотреть какой конфиг эксим цепляет по дефолту?

Возможно, путь к дефолтному конфигу у него был задан при компиляции. Это можно посмотреть вызвав с параметром exim -bV

vlary
ну хз, хз... у меня debian на 3 серверах, почта крутится только на 1 конечно, но на всех имеется конфиги exim'а и в виде директорий и в виде единого файла(мне это нравится больше).

p.s. Не подскажите и мне что-нить хорошее?

AdikL
Не уверен, но вроде за конфиги отвечает пакет exim4-config.

Спасибо!
vlary

Вывод exim -bV выдал самое главное:
Configuration file is /var/lib/exim4/config.autogenerated
А может подскажите чем и как он генерируется и с каким интервалом?

Alukardd
На сколько понимаю конфигурировать данный пакет можно только с помощью dpkg-reconfigure? я просто тоже достаточно долго работал на FreeBSD и что-то там как-то все нативней, чтоли))) Намного удобнее все таки именно конфиг поправить, чем через эту псевдографигескую оболочку. Да и пробовал уже 3 раза - результат один и тот же.

Может есть тогда какой-нить способ автоматом разбить большой единый конфиг на много маленьких? Все таки есть подозрение что эксим обращается именно к ним. А то 700 срок переносить ручками совсем руки опускаются.

Или может есть возможность сгенерировать мелкие конфиги из config.autogenerated?

AdikL
Цитата:

А может подскажите чем и как он генерируется и с каким интервалом?

каждый раз при запуске exim'а. Из файлов конфигурации, смотря каким образом вы настроили exim (либо из единого файла, либо из директорий)
У вас стоит пакет exim4-config?

Да, конечно установлен.

Ну вот как можно посмотреть его конфигурационные файлы? И как вообще им управлять если не из dpkg-reconfigure?
Может один из этих файлов и есть его конфига?
/etc/exim4/conf.d/main/01_exim4-config_listmacrosdefs
/etc/exim4/conf.d/main/02_exim4-config_options

Кстати! Просмотрел файл /etc/exim4/update-exim4.conf.conf (странно почему два раза .conf)
Есть строка dc_use_split_config='false'.
Как считаете, может есть смысл попробовать переименовать его в /etc/exim4/update-exim4.conf ?

AdikL
Цитата:

Кстати! Просмотрел файл /etc/exim4/update-exim4.conf.conf (странно почему два раза .conf)
Есть строка dc_use_split_config='false'.
Как считаете, может есть смысл попробовать переименовать его в /etc/exim4/update-exim4.conf ?

тту всё ок, это значит, что конфиг считывает из единого файла.
Вот нашёл вам "сырой" конфиг который как в сырцах. При установке из репов вроде как конфиг уже слегка подпилен и готов к минимальной работе...
Лежит он в /usr/share/doc/exim4/examples/example.conf.gz
Распаковывать так: gunzip -c /usr/share/doc/exim4/examples/example.conf.gz > /etc/exim4/exim4.conf.template
Его же потом и меняете и просто рестартите exim. Всё что ему не понравится уйдет в stderr и /var/log/exim4/paniclog.


Вы exim-то хоть рестартили с такими настройками? Есть подозрение что он при первом старте с указанным dc_use_split_config='false' соберет сам файл exim4.conf.template из директории conf.d/

Ага! То есть получается что я зря создал файл configure! И надо было сразу править exim4.conf.template! Вот БСДшные привычки)))

Попробую сегодня просто скопировать мой configure в exim4.conf.template.

Вот только опять небольшая нестыковка наших систем: у меня он лежит просто в /etc/exim4, а в /etc/exim4/conf.d несколько папок (вот как раз для мелкого разбитого конфига). А не могли бы вы еще посмотреть наличие файла update-exim4.conf.conf в /etc/exim4 ? Что-то мне кажется что должен быть все таки update-exim4.conf. А то как-то совсем не логично получается..

AdikL
я же вам написал уже, читайте внимательно пожалуйста.
Цитата:

тту всё ок

Цитата:

Вот только опять небольшая нестыковка наших систем

ну где не стыковка-то???
Цитата:

gunzip -c /usr/share/doc/exim4/examples/example.conf.gz > /etc/exim4/exim4.conf.template

Ну не может у нас быть различий. У меня стоит тот же Debian Lenny, правда апнутый до Squeeze (меня удивляет, что вы этого еще не сделали).
Да имеются у меня и единый конфиг и конфиг разбитый по директориям, лично я пользуюсь единым, так проще и быстрее править.

Alukardd
Цитата:

p.s. Не подскажите и мне что-нить хорошее?

Да у меня два эксима крутятся исключительно как фронт-энды ко внутреннему КоммуниГейту. Они у меня режут спам. Посему конфиг минималистский и заточен исключительно на это. Выполнили различные проверки, черные и белые списки, СПФ, коллбэк, грейлистинт - и прошедшие через эту гребенку письма передали на сервер. Ни раскладкой по почтовым ящикам, ни авторизацией юзеров они не занимаются.

vlary
печаль(
а что скажите вообще про авторизацию? У меня было и пару общих вопросов, они просто там косвенно выражены: какие типы аутентификации требуют хранения пароля в открытом виде? Для остальных я полагаю, что абсолютно не важно как шифруются пароли в базе, хоть XOR'ятся??? Ибо пароль от клиента идет в открытом виде (по защищенному/или нет) каналу и уже на стороне сервера хэшируется и сверяется с имеющимся?

Alukardd Я полагаю, что для Exim варианты, где пароли не передаются открытым текстом, это CRAM-MD5 или SPA, в этом случае пароли в открытом виде должны храниться на самом сервере Exim. Если Exim авторизует юзеров через Dovecot SASL или Cyrus SAS, или через системный /etc/shadow, пароли должны передаваться открытым текстом, поэтому перед передачей пароля необходимо обеспечить шифрование сессии средствами TLS.

vlary
вопрос задавался на оборот))) но ответ я вроде как получил)
Цитата:

CRAM-MD5 или SPA

значит только для этих 2-х типов авторизации требуется пароли в открытом виде в базе.
Я именно от открытых паролей в базе хочу избавится.