Ru-Board.club
← Вернуться в раздел «В помощь системному администратору»

» Все о MDaemon (#5)

Автор: gp7
Дата сообщения: 20.11.2014 08:21
Можно ли запретить SMTP извне (WAN) для локальных(авторизованых) пользователей, разрешив только прием от других MTA ?
По дефолту сервак не видит разницы откуда приходит запрос от пользователей.
Автор: ipmanyak
Дата сообщения: 20.11.2014 08:33
gp7 В св-вах самих учеток.
Navigation: Accounts Menu > Account Manager > Account Editor > Restrictions

This account can't receive messages from the outside world
Click this checkbox if you want this account to be prevented from receiving email messages from non-local domains.
...except if from one of these addresses

This account can't send messages to the outside world
Click this checkbox if you want the account to be prevented from sending email messages to non-local domains.
...except if to one of these addresses






Автор: gp7
Дата сообщения: 20.11.2014 09:49
ipmanyak
глядя на лог SMTP сервера вижу что MTA не сразу дает отлуп отправителю, а только в момент проверки авторизации, т.е. как вы и сказали - настройка не локальная а персональная для каждого пользователя.
По сути это подарок для ддоса) Хотелось бы глобально запретить, чтобы отлуп был сразу на первых этапах сесии.
Может, такое можно сделать используя промежуточный MTA как frontend ?

Хотя постойте, разве указанная вами опция не полностью запрещает прием писем для пользователя извне?
Может я неверно выразился, но есть три варианта SMPT:
1) от другого MTA извне , письмо адресовано локальному пользователю - принимать
2) от авторизованного пользователя локальной сети - принимать
3) от попытки переслать изве используя авторизацию (по сути релей для авторизованных) - резать сразу.

3-й вариант для одного МДемона неосуществим?
Т.е. чтобы MTA в приветствии для сессиий извне не предлагал и не обрабатывал AUTH LOGIN
Прохо что для MUA и MTA используется один и тот же порт 25, хотя ведь зачем то есть 587(MSA) но я еще ни разу не видел его использование
Автор: qxaszw12
Дата сообщения: 20.11.2014 10:30
gp7

Цитата:
По сути это подарок для ддоса)


Мне кажется, что вы пытаетесь найти кошку с темной комнате.


Цитата:
1) от другого MTA извне , письмо адресовано локальному пользователю - принимать

Почтовый сервера не различают, кто им шлёт почту, другой сервер или какая-то клиентская программа. Протокол один - SMTP и всё зависит только от того, как вы настроите свой сервер.


Цитата:
3) от попытки переслать изве используя авторизацию (по сути релей для авторизованных) - резать сразу.


Зачем? Причина?
Если сессия авторизована, то её однозначно используют свои пользователи (ну или админ используя слабый пароль разрешил её подломить и это уже его проблемы). Сколько коннектов одновременно нужно что-бы завалить ваш сервер?
Я когда-то приводил примеры основанные на личных экспериментах в различных конфигурациях. Проблемы даже на самых дохлых компах начнутся если одновременно будет открыто сотня сессий, до этих величин - можете спать спокойно падения серверов вам не грозят.
Хотя нет, недавно один из манагеров засунул на рассылку какую-то фигню весом мегабайт на 30-ть штук на 100 адресов. Сам сервер справился без проблем, но только остальные долго ждали пока дойдёт до них очередь.

Автор: gp7
Дата сообщения: 20.11.2014 10:40
qxaszw12

Цитата:
Зачем? Причина?

Написал уже, чтобы AUTH LOGIN был только для подключений из локали, подключения извне оставить только для работы с другими MTA. Вполне разумное требование, и если вы не понимаете зачем это надо то не стоит говорить что и другим это не надо
Автор: ury_dankov
Дата сообщения: 20.11.2014 10:51
Не могу понять почему срабатывает контент-фильтр
В логах:


Код: Thu 2014-11-20 10:26:59: Content Filter processing c:\mdaemon\queues\local\md50000528940.msg...
Thu 2014-11-20 10:26:59: * Message return-path: zakupki.komos@zakupkikomos.ru
Thu 2014-11-20 10:26:59: * Message from: zakupki.komos@zakupkikomos.ru
Thu 2014-11-20 10:26:59: * Message to: vet@medo.ru
Thu 2014-11-20 10:26:59: * Message subject: Закупки КОМОС ГРУПП: Комплексная уборка офисных помещений
Thu 2014-11-20 10:26:59: * Message ID: <20141120072611.3772CD41232@zakupkikomos.ru>
Thu 2014-11-20 10:26:59: Start Content Filter results
Thu 2014-11-20 10:26:59: * Message matched rule: Копии всех входящих vet@ на gmail (исключения)
Thu 2014-11-20 10:26:59: * Matched 1 of 14 active rules
Thu 2014-11-20 10:26:59: End of Content Filter results
Thu 2014-11-20 10:26:59: ----------
Автор: qxaszw12
Дата сообщения: 20.11.2014 11:22
gp7

Цитата:
подключения извне оставить только для работы с другими MTA


Включите "Защиту по группе IP адресов" сопоставив нужные вам домены с используемыми внутренними сетями. Я думаю это решит вашу проблему.


Добавлено:
ury_dankov

Цитата:
Подскажите, плиз, что я упустил?


С применением правил сложно разбираться не видя всей ситуйции.
Первое, с чего бы я посоветовал начать - посмотреть последовательность их применения.

Если совсем не понятки будут, то посмотрите внимательно содержимое файла cfrules.dat.
Автор: ury_dankov
Дата сообщения: 20.11.2014 11:58

Цитата:
Добавлено:
ury_dankov

Цитата:
Подскажите, плиз, что я упустил?


С применением правил сложно разбираться не видя всей ситуйции.
Первое, с чего бы я посоветовал начать - посмотреть последовательность их применения.

Если совсем не понятки будут, то посмотрите внимательно содержимое файла cfrules.dat.

то есть само условие в именно этом правиле составлено верно?

Во всех остальных правилах в списке больше нет вообще упоминания ящика vet@medo.ru, то есть срабатывает именно оно.
в файле cfrules.dat тоже вроде все ок по этому правилу
Сейчас изменил правило немного. Поменял местами в нем порядок проверки условий:
теперь сначала проверяются отправители из списка (Condition01), потом получатель (Condition02). Может в этом дело.
Подожду письма


Код: [Rule019]
RuleName=Копии всех входящих vet@ на gmail (исключения)
Enable=Yes
ThisRuleCondition=All
ProcessQueue=BOTH
Condition01=FROM|does not contain|OR|zakupki.komos@zakupkikomos.ru|tender@chpt.ru|tyagunova@bico.su|system@magelan.pro|reply@expocentr.net|
Condition02=TO|contains|AND|vet@medo.ru|
Action01=copy to|"900@gmail.com"
Автор: qxaszw12
Дата сообщения: 20.11.2014 12:18
ury_dankov

Цитата:
[Rule019]


А в правильной последовательности правил вы уверены?


Цитата:
то есть само условие в именно этом правиле составлено верно?

А бог его знает!
Я одно время пытался создавать какие-то сложные правила, но потом забил.
На мой взгляд, не благодарное это дело. Глючно там как-то всё сделано.

Автор: ury_dankov
Дата сообщения: 20.11.2014 12:42

Цитата:
А в правильной последовательности правил вы уверены?

Что еще можно проверить в плане последовательности применения правил?
в файле правил вся нумерация идет верно:
[Rule001]
[Rule002]
[Rule003]
...

Лог контент-фильтра показывает название правила, которое сработало. По времени совпадает с отправкой письма на gmail в логе smtp(out).
В фильтре, конечно, есть еще правила, отправляющие копии писем на этот gmail, но здесь отправляется именно это письмо (отправитель zakupki.komos@zakupkikomos.ru получатель vet@medo.ru), именно с этой темой письма, именно этим правилом. В других правилах нет ничего про закупкикомос и ветмедо. И последовательность их применения не может влиять на отправку или не отправку именно этого письма.


Кстати, вопрос: еще в настройках ящика есть перенаправление всех входящих.
Его я не использую, отключено. Так как мне фильтровать нужно входящие, не все их копировать.
Оно срабатывает перед контент-фильтром или после?
Автор: qxaszw12
Дата сообщения: 20.11.2014 12:57
ury_dankov

Цитата:
Оно срабатывает перед контент-фильтром или после?

Совсем недавно (5-6-7 страниц тому назад) ipmanyak выкладывал алгоритм работы MDaemon'а. Там всё очень чётко видно и понятно.
Автор: Geshas
Дата сообщения: 20.11.2014 15:19
Так что, граждане маньяки-демонологи, как заставить почтовик игнорировать все коды ответов, кроме 127.0.0.0/8, по запросу DNS-BL? Или указать, что на определенный код ответа (xx.xxx.5.82) не реагировать?
Провайдер пока молчит...
Автор: qxaszw12
Дата сообщения: 20.11.2014 15:38
Geshas

Цитата:
как заставить почтовик игнорировать все коды ответов, кроме 127.0.0.0/8, по запросу DNS-BL?


У меня совет про DNS-BL всегда только один - не использовать этот глючный и абсолютно не поддающийся контролю сервис.
Автор: Geshas
Дата сообщения: 20.11.2014 16:28

Цитата:
У меня совет про DNS-BL всегда только один - не использовать этот глючный и абсолютно не поддающийся контролю сервис.

Спорное утверждение, уж такое вот мое мнение. Навскидку пару-тройку вопросов.
1. Почему он должен поддаваться вашему/моему/чьему-либо контролю?
2. Я глюков от spamhaus не встречал. ПодЕлитесь опытом?
3. По моей собственной глупости как-то давным-давно от меня перестала отправляться почта НИКУДА, причем на всех принимающих серверах отлуп был один и тот же - "...ваш IP... blacklisted... spamhaus.org". Они все тупые, да?

Но у меня вопрос был не об этом.

Добавлено:
ury_dankov
Попробуйте поискать ошибки в синтаксисе правила. Точно не помню, но была полу-документированная заморочка с подстановкой служебных символов. То ли *, то ли +.
Автор: qxaszw12
Дата сообщения: 20.11.2014 16:47
Geshas


Цитата:
Спорное утверждение, уж такое вот мое мнение.

Вы спросили совета, я высказал своё мнение.
А уж прислушиваться к нему или нет - вы решаете сами.


Цитата:
1. Почему он должен поддаваться вашему/моему/чьему-либо контролю?

Вы знаете, я несу ответственность за работоспособность почтовой системы, и если кто-то с какого-то перепуга заносит в какую-то базу IP'шник и поэтому моя почтовая система перестаёт принимать с этого IP'ника почту, а не полученное или не вовремя полученное письмо это потеря денег, то мне кажется если начальство оторвёт мне башку, то оно будет право.


Цитата:
2. Я глюков от spamhaus не встречал. ПодЕлитесь опытом?

Хм..... а мы сейчас что обсуждаем?


Цитата:
Но у меня вопрос был не об этом.

И правда, использовать данный сервис, это ваше решение.


Автор: Geshas
Дата сообщения: 20.11.2014 17:14

Цитата:
Хм..... а мы сейчас что обсуждаем?


вероятно, не совсем внимательно прочитанный мой первый пост на предыдущей странице. Это не глюк spamhaus, это жадность ISP. Нате вам http://www.spamhaus.org/faq/section/DNSBL%20Usage#243


Цитата:
Вы знаете, я несу ответственность за работоспособность почтовой системы


аналогично! У меня седых волос в два раза прибавилось и жена обещает из дома выгнать!


уй, мусью, вы лучше перечитайте мой пост на предыдущей странице. Большой такой. С логами.
Автор: ipmanyak
Дата сообщения: 21.11.2014 09:31
Geshas Ты юзаешь нэймервера провайдера на почтаре? Попробуй юзать гуглевские 8.8.4.4 и 8.8.8.8

Автор: romanauscas
Дата сообщения: 24.11.2014 17:07
В шапке ссылка на проблему
Устранение ошибки 'Could not initialize KLAV!' для SecurityPlus 4.1.x , инструкция от ALTN
не рабочая!
Можете подсказать, как она решается?
Автор: WAndrey
Дата сообщения: 25.11.2014 07:00
romanauscas, возможно поиском этой инструкции на сайте ALTN?
Автор: romanauscas
Дата сообщения: 25.11.2014 09:25
WAndrey, если бы находилось, я бы сюда не написал. Это профильная тема, а проблема частая, написал в надежде что кто-то помнит как лечить...
Автор: ipmanyak
Дата сообщения: 25.11.2014 09:39
romanauscas ALTN похерил ссылки на статью в базе знаний и на их форум тоже. Так как сейчас у них 4.1.5, а может и еще свежее.
Что и как делать я писал тут
http://forum.ru-board.com/topic.cgi?forum=8&topic=39356&start=80#21
урла на их FTP еще живая
Вопрос - будет ли вообще твой антивир с новыми базами от 4.1.5 ? 4.1.5 они вроде кардинально изменили.
Сообщи результат.
После сноса старых баз - приготовься к тому, что будет качать новые часа 2 как минимум.
Автор: WAndrey
Дата сообщения: 25.11.2014 09:45
romanauscas, профильная тема не отменяет поисковики.
А проблема в свое время решалась обновлением до SecurityPlus 4.1.3.
Автор: romanauscas
Дата сообщения: 25.11.2014 11:21
ipmanyak
Антивирус базы с FTP "скушал", дата обновилась с 2010г. до 19.01.2011 но обновляться кнопкой отказывается с той самой ошибкой 'Could not initialize KLAV!'
Автор: ipmanyak
Дата сообщения: 25.11.2014 11:23
romanauscas попробуй все снести и поставить 4.1.3 - дистриб в архиве, в шапке, перейди там на ftp на самый верх, впрочем вот урла - http://archive.altn.com/antivirus/Archive/
Автор: romanauscas
Дата сообщения: 25.11.2014 11:52
ipmanyak, WAndrey
Все получилось, обновляется на ура!
Большое человеческое Спасибо!
Автор: AlexaKiev
Дата сообщения: 26.11.2014 16:45
Добрый день. Столкнулся с проблемой с gmail периодически недоходят письма :
Delivery to the following recipient failed permanently:

user@domain.ua

Technical details of permanent failure:
Google tried to deliver your message, but it was rejected by the server for the recipient domain internews.ua by mail.domain.ua. [IP].

The error that the other server returned was:
550 <user@domain.ua>, Recipient unknown

но такой пользователь существует !!!

Как решить проблему.

Стоял v12 обновил до v13.6.3 проблема не пропала...

Хелп
Автор: qxaszw12
Дата сообщения: 26.11.2014 17:10
AlexaKiev

Цитата:
550 <user@domain.ua>, Recipient unknown


Однозначно и без вариантов такого пользователя <user@domain.ua> не существует, а чего там в адресе написано - одному богу известно (например, латинские и русские буквы "а" на вид ни чем не различаются)
Проверяйте входящий лог на своем сервере для этой сессии и смотрите на какой реальный адрес идёт почта.
Автор: Kamerton
Дата сообщения: 27.11.2014 06:24
Уважаемые гуру.
Возникла маленькая задачка с которой я как админ конечно могу справить - но хочется сделать её красивее.
В общем нужно узнать пароль к учетной записи пользователя в демоне.
Есть ли какие то средства?
Не хочется менять пароль - хочется воспользоваться текущим паролем пользователя!
Благодарю!

Добавлено:
А ещё лучше - может кто подскажет способ как сохранить всю почту с сервера на локальный комп? Всю - это и входящие и отправленные!?
За ранее благодарю!
Варианты перебираю - но как то не нахожу приемлемого!
Автор: WAndrey
Дата сообщения: 27.11.2014 07:10
Kamerton, смотри в сторону экспорта списка пользователей - он делает его с паролями
Автор: qxaszw12
Дата сообщения: 27.11.2014 07:25
Kamerton

Цитата:
В общем нужно узнать пароль к учетной записи пользователя в демоне.


Давным давно я где-то видел программулинку показывавшую текст спрятанный под звёздочками. Я понимаю, что сейчас только полные лохи в программировании используют такой метод, но вдруг прокатит.


Цитата:
может кто подскажет способ как сохранить всю почту с сервера на локальный комп?

Не очень понятно что вы хотите.
Если для одного конкретного пользователя - сделайте какой-нибудь временный акаунт и скопируйте туда всю почту этого пользователя, а потом какой-нибудь клиентской программой по POP3 заберите её с сервера.
Если вы хотите сделать архивную копию сервера, есть масса софта позволяющего это делать. Например, я пользуюсь Acronis.
Если вы хотите делать архивацию всей приходящей/исходящей почты, то для этого есть штатные средства MDaemon'а.

Страницы: 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108109110111112113114115116117118119120121122123124125126127128129130131132133134135136137138139140141142143144145146147148149150151152153154155156157158159160161162163164165166167168169170171172173174175

Предыдущая тема: RDP-клиент не видит разрыв связи.


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.