» Все о MDaemon (#5)

akbr1k У тебя на сервере какой-либо почтовый клиент настроен? Если да, удали его или учетку в нем удали. И запрети почтовику принимать сессии от себя самого.

Navigation: Setup Menu > Default Domain / Servers > Default Domain & Servers > Servers
птица Allow connections to own IP addresses - убрать пицу

When this option is enabled, MDaemon can connect to itself.


И проверяй сервер на вирусы и smtp трояны.

ipmanyak

Спасибо за внимание.

Почтовые клиенты ms outlook, настройки у всех дефалтные.

Так же юзается apop (мобильные оси), у меня (только) настроен ouloock connector.

Птицу убрал. Сегодня в безопасном прогоню на наличие зловредов. Подскажи пожалуйста чем (free) лучше пройтись по smtp троянам?

P.s. Смущает этот момент. Получается что то пытается закидывать команды?


Ваше письмо для не содержит команд для обработки данным почтовым сервером. Никаких действий не выполнено. Чтобы получить сведения о доступных командах, отправьте письмо на адрес с пустым полем темы и словом "HELP" в теле письма. (Чтобы создать такое письмо, можно щелкнуть по ссылке <mailtoBody=HELP>)

Message-ID: <MDAEMON1311201603101201.AA0121533@mail.brizol.ru>
От : Postmaster@brizol.ru
Кому : MDaemon@brizol.ru
Дата : Thu, 10 Mar 2016 12:01:21 +0300
Тема : MDaemon Notification -- Attachment Removed

(Исходное сообщение прикреплено в виде вложения)

Цитата:

Подскажи пожалуйста чем (free) лучше пройтись по smtp троянам?

Dr.Web CureIt в безопасном режиме винды, бесплатная тулза. Брать всегда свежую версию тут: https://www.freedrweb.com/download+cureit+free/?lng=ru
После запуска жди минуты 1-2, не сразу стартует, так как сначала распаковывает сигнатуры. Натрави на весь диск.

ipmanyak

Спасибо за внимание.

Да ей и пользуюсь, еще avz прохожу сканирование системы.

На данный момент проблема устранена.

Убрал птицу принимать сессии от самого себя на сервере.

Перезапустил pop протокол.

Удалил криво вставшего kes10.

Сегодня вечером пройдусь в безопасном режиме. Итоге напишу.

Добавлено:
ipmanyak

Поднялся еще один момент.

С одного домена сервер не принимает почту, ругается на 554 Message is not RFC compliant

Убирать птицу по требованиям rfc на моей сервере или нет?

P.s. проблема только с одного конкретного домена.

P.p.s. На том почтовом сервере крутится несколько доменов, с другого приходит все ок.

akbr1k
Цитата:

С одного домена сервер не принимает почту, ругается на 554 Message is not RFC compliant

Это их проблема.
Цитата:

Убирать птицу по требованиям rfc на моей сервере или нет?

А это твоя проблема. Зависит от приоритетов. Я криворуких блочу.
У тебя ситуация может быть иная, типа лучше пропустить 100 писем спама,
чем потерять одно письмо от важных, но криворуких клиентов.

vlary

Блочить нельзя((

Буду с их админом общаться, говорит что настройки для всех доменов одинаковые...

По факту, стандарт не обязателен. Рекомендован - да, обязателен - нет.

akbr1k RFC compliance
To pass the compliance test the message must:
1. Be greater than 32 bytes in size (the minimum size necessary to include all required parts).
2. Have a DATE: header.
3. Have either a FROM: or a SENDER: header.
4. Have no more than one FROM: header.
5. Have no more than one SUBJECT: header, though no subject header is required.

Чаще всего отсутствует ДАТА, особенно при использовании каких-либо кривых почтовых роботов. Прими письмо, посмотри заголовки писем. Далее думать.
у меня фича отключена.

akbr1k
если во внутреннюю сеть днс отдают такую запись mx mail.brizol.ru - 89.175.164.50 то троян может быть не только на сервере но на любой машине которая выходит наружу через {89.175.164.50}

Vadreg

Спасибо.

Пользователи ходят через проксю, через другой адрес.

Ребята, выручайте. Не могу найти заразу уже 3ий день.

Откуда то сопливит. Что можно поставить на шлюзы чтобы посмотреть весь трафик?

akbr1k выложи письмо из демона в формате .msg куда-нить в обменники, гляну хидеры.

akbr1k

Цитата:

ткуда то сопливит. Что можно поставить на шлюзы чтобы посмотреть весь трафик?

Запретите на коробочке, которая работает на интернет, всем кроме почтового сервера выход по 25-му порту, ну а потом смотри на коробочке логи и там сразу увидишь заблокированные IP'шники.

ipmanyak

Какое то конкретное письмо?

qxaszw12

Увы, коробочки нет. есть софтовый шлюз.


P.s. каспером увидел странную сессию с 84.39.152.31 на 1055 порт, вешается при старте почтовика. Теперь оно же лезет по 80 порту.

Я так понимаю оттуда меня и ломают.

akbr1k

Цитата:

Увы, коробочки нет. есть софтовый шлюз.

Вот на софтовом шлюзе и заблокируйте 25-й порт.

Цитата:

Возможно ли перенести настройки программы на другой сервер?

можно, читайте тут: http://forum.ru-board.com/topic.cgi?forum=8&topic=39356&start=4720#8

Цитата:

Еще у временного сервера адрес 192.168.0.1, у временного 192.168.0.4
Если я обменяю между серверами эти адреса, то не надо будет мне ходить и перенастраивать почтовые клиенты у всех?

в настройках МДемона - 127.0.0.1
за остальное отвечает ДНС!!!!!!
все клиенты настроены на (предположим) mail.domain.local
меняете в ДНС-записи IP-адрес и никто ничего не замечает

akbr1k
так зараза может быть не только на пользовательских машинах - закрывайте 25 порт всем кроме почтовика - как уже советовали
даже софтовый шлюз всеравно умеет логирование вести - так что быстро найдете

Vadreg

Есть подозрение что пропускает шлюз. При проверка куреитом выдало на каспер.ехе 35% вероятность подделки ехе файла.

На даемоне постоянно висит исходящая сессия, висела с одного адреса, сейчас висит с другого адреса, локальный порт меняется, удаленный один и тот же (80).

Сегодня (в офисе работало около 10 человек) smtp исходящих сеансов 7.5 тысяч, входящих 1.1, при этом сообщений входящих 530, исходящих 30.

В логах шлюза, закрытый адрес с которого висела сессия (вчера), долбится каждые 30 секунд. Сегодня сессия висит с другого адреса, но так же по 80 порту.

И возникает вопрос, а не шлюз ли дырявый?

подскажите руководство поставило задачу копировать вход. и исход. письма. Сейчас у нас сервер у провайдера хочу установить MDaemon чтоб он собирал письма из внешних адресов копировал себе и дальше отдавал пользователем, реально это на нем настроить?
правильно я понимаю это MultiPOP ?

У меня штатно, на всякий случай дубли создает и кидает их на свой ящик почтовый. И входящие там и исходящие.

Цитата:

У меня штатно, на всякий случай дубли создает и кидает их на свой ящик почтовый. И входящие там и исходящие.

есть мат. часть как и где прописать?

koosok22

Цитата:

реально это на нем настроить?

Реально.


Цитата:

подскажите руководство поставило задачу копировать вход. и исход. письма.

Называется "Архивирование почты". Как это сделать, почитайте вот здесь - http://help.altn.com/mdaemon/ru/archiving.htm


Цитата:

правильно я понимаю это MultiPOP ?

Да, вы понимаете правильно если собираетесь собирать почту с разных пользовательских email'ов - http://help.altn.com/mdaemon/ru/ae_multipop.htm

Если вы планируете забирать почту у вашего провайдеря для всего домена, то вам нужен DomainPop - http://help.altn.com/mdaemon/ru/domainpop_overview.htm

Цитата:

Называется "Архивирование почты". Как это сделать, почитайте вот здесь - http://help.altn.com/mdaemon/ru/archiving.htm

а подскажи как я понимаю там входящая и исходящая почта будет в один ящик сыпаться, а настроить по пользователям можно или это уже фильтры почтовой клиентской программы делается?

koosok22

Цитата:

а подскажи как я понимаю там входящая и исходящая почта будет в один ящик сыпаться

Да, всё правильно.


Цитата:

настроить по пользователям

Пользуйтесь MultiPop для каждой учётной записи.

Уважаемые гуру.
Подскажите идею.
Произвожу миграцию на демона, с почты на хосте.
Папку входящие заберу по встроенному мультипопу.
А вот как забрать папку отправленные с хоста?
Я придумал один способ, но это будет индивидуальный подход.
Предложите идею.
Благодарю.

Kamerton
Цитата:

А вот как забрать папку отправленные с хоста?

В случае сервера IMAP можно отправленные письма
из локальной папки мышкой перетащить на сервер.

vlary
Есть и такая идея, но большинство работает по web

akbr1k любое письмо с сессией от твоего почтовика к нему же, с заразой или спамом, выложи куда нить. Что непонятного?

Цитата:

На даемоне постоянно висит исходящая сессия, висела с одного адреса, сейчас висит с другого адреса, локальный порт меняется, удаленный один и тот же (80).

ну бывает - а 25 порт то здесь причем ? вроде речь шла о smtp коннектах или я потерял нить событий ?

С mail.ru,yandex.ru стали не доходить до меня письма. Появился 354 Enter mail, end with <CRLF>.<CRLF>


Код: Mon 2016-03-14 11:44:01.986: Session 800108; child 0001
Mon 2016-03-14 11:44:01.986: Accepting SMTP connection from 94.100.178.211:46219 to 192.168.2.10:25
Mon 2016-03-14 11:44:01.986: --> 220 мойдомен.org ESMTP MDaemon 16.0.0; Mon, 14 Mar 2016 11:44:01 +0300
Mon 2016-03-14 11:44:02.002: <-- EHLO f224.i.mail.ru
Mon 2016-03-14 11:44:02.002: EHLO/HELO response delayed 3 seconds
Mon 2016-03-14 11:44:05.004: --> 250-мойдомен.org Hello f224.i.mail.ru [94.100.178.211], pleased to meet you
Mon 2016-03-14 11:44:05.004: --> 250-ETRN
Mon 2016-03-14 11:44:05.004: --> 250-AUTH LOGIN CRAM-MD5 PLAIN
Mon 2016-03-14 11:44:05.004: --> 250-8BITMIME
Mon 2016-03-14 11:44:05.004: --> 250-ENHANCEDSTATUSCODES
Mon 2016-03-14 11:44:05.004: --> 250-STARTTLS
Mon 2016-03-14 11:44:05.004: --> 250 SIZE
Mon 2016-03-14 11:44:05.019: <-- STARTTLS
Mon 2016-03-14 11:44:05.019: --> 220 2.7.0 Ready to start TLS
Mon 2016-03-14 11:44:05.098: SSL negotiation successful (TLS 1.0, 3072 bit key exchange, 128 bit RC4 encryption)
Mon 2016-03-14 11:44:05.098: <-- EHLO f224.i.mail.ru
Mon 2016-03-14 11:44:05.098: --> 250-мойдомен.org Hello f224.i.mail.ru [94.100.178.211], pleased to meet you
Mon 2016-03-14 11:44:05.098: --> 250-ETRN
Mon 2016-03-14 11:44:05.098: --> 250-AUTH LOGIN CRAM-MD5 PLAIN
Mon 2016-03-14 11:44:05.098: --> 250-8BITMIME
Mon 2016-03-14 11:44:05.098: --> 250-ENHANCEDSTATUSCODES
Mon 2016-03-14 11:44:05.098: --> 250 SIZE
Mon 2016-03-14 11:44:05.113: <-- MAIL FROM:<brat@mail.ru> SIZE=4746
Mon 2016-03-14 11:44:05.113: Performing PTR lookup (211.178.100.94.IN-ADDR.ARPA)
Mon 2016-03-14 11:44:05.129: * D=211.178.100.94.IN-ADDR.ARPA TTL=(32) PTR=[f224.i.mail.ru]
Mon 2016-03-14 11:44:05.160: * D=f224.i.mail.ru TTL=(2) A=[94.100.178.211]
Mon 2016-03-14 11:44:05.160: ---- End PTR results
Mon 2016-03-14 11:44:05.160: Performing IP lookup (f224.i.mail.ru)
Mon 2016-03-14 11:44:05.176: * D=f224.i.mail.ru TTL=(1) A=[94.100.178.211]
Mon 2016-03-14 11:44:05.176: ---- End IP lookup results
Mon 2016-03-14 11:44:05.176: Performing IP lookup (mail.ru)
Mon 2016-03-14 11:44:05.176: * D=mail.ru TTL=(0) A=[94.100.180.200]
Mon 2016-03-14 11:44:05.176: * D=mail.ru TTL=(0) A=[94.100.180.202]
Mon 2016-03-14 11:44:05.176: * D=mail.ru TTL=(0) A=[217.69.139.202]
Mon 2016-03-14 11:44:05.176: * D=mail.ru TTL=(0) A=[217.69.139.201]
Mon 2016-03-14 11:44:05.191: * P=010 S=000 D=mail.ru TTL=(9) MX=[mxs.mail.ru]
Mon 2016-03-14 11:44:05.191: * D=mxs.mail.ru TTL=(0) A=[217.69.139.150]
Mon 2016-03-14 11:44:05.191: * D=mxs.mail.ru TTL=(0) A=[94.100.180.150]
Mon 2016-03-14 11:44:05.191: ---- End IP lookup results
Mon 2016-03-14 11:44:05.191: --> 250 2.1.0 Sender OK
Mon 2016-03-14 11:44:05.207: <-- RCPT TO:<мояпочта@мойдомен.org>
Mon 2016-03-14 11:44:05.207: Производится поиск DNS-BL (94.100.178.211 – соединение с IP)
Mon 2016-03-14 11:44:05.348: * zen.spamhaus.org - прошло
Mon 2016-03-14 11:44:05.348: ---- Конечные результаты DNS-BL
Mon 2016-03-14 11:44:05.348: --> 250 2.1.5 Recipient OK
Mon 2016-03-14 11:44:05.348: <-- DATA
Mon 2016-03-14 11:44:05.348: Creating temp file (SMTP): c:\mdaemon\queues\temp\md50000002054.tmp
Mon 2016-03-14 11:44:05.348: --> 354 Enter mail, end with <CRLF>.<CRLF>
Mon 2016-03-14 11:44:05.363: Message size: 4100 bytes
Mon 2016-03-14 11:44:05.363: Производится поиск DNS-BL (89.109.233.165 – заголовок ‘Получено’)
Mon 2016-03-14 11:44:05.426: * zen.spamhaus.org - не удалось - 127.0.0.11
Mon 2016-03-14 11:44:05.426: ---- Конечные результаты DNS-BL
Mon 2016-03-14 11:44:05.426: --> 550 5.6.0 Found known spam source in RECEIVED header
Mon 2016-03-14 11:44:05.426: <-- QUIT
Mon 2016-03-14 11:44:05.426: --> 221 2.0.0 See ya in cyberspace
Mon 2016-03-14 11:44:05.426: SMTP session terminated (Bytes in/out: 5139/2021)

regpalatamailru

Цитата:

С mail.ru,yandex.ru стали не доходить до меня письма

Цитата:

Mon 2016-03-14 11:44:05.363: Производится поиск DNS-BL (89.109.233.165 – заголовок ‘Получено’)
Mon 2016-03-14 11:44:05.426: *  zen.spamhaus.org - не удалось - 127.0.0.11
Mon 2016-03-14 11:44:05.426: ---- Конечные результаты DNS-BL  
Mon 2016-03-14 11:44:05.426: --> 550 5.6.0 Found known spam source in RECEIVED header
Mon 2016-03-14 11:44:05.426: <-- QUIT

Spamhaus блокирует эти письма как спам.
Ещё один уже даже не камень, а огромнейшая скала в огород DNS-BL технологии борьбы со со спамом.