Ru-Board.club
← Вернуться в раздел «В помощь системному администратору»

» Все о MDaemon (#5)

Автор: DizeLyaka
Дата сообщения: 29.04.2014 14:53
qxaszw12

Цитата:
Тогда пишите правила для входящей и исходящей почты для каждого конкретного пользователя с копированием на адрес шефа.

Не пойму зачем тогда "Просмотр папок и список ACL" , если не видно всей исходящей почты. Может где-то настроить можно?

Вот еще нашел Безопасность -> Фильтр содержания. Там можно прописать правила - наверно так и сделаю.
Автор: qxaszw12
Дата сообщения: 29.04.2014 15:18
DizeLyaka

Цитата:
если не видно всей исходящей почты.


А по какому протоколу у вас работают пользователи (POP/IMAP)?
Если IMAP, то как настроено хранение исходящей почты на клиенте (например, в Outlook'е по умолчанию она хранится на клиенте)?
Автор: alex070707
Дата сообщения: 29.04.2014 15:42
ipmanyak
Версия 14
ссылка на
настройку - Navigation: Setup Menu > Event Scheduling > Mail Scheduling Options
http://s019.radikal.ru/i629/1404/b3/40e183336269.jpg
С логом чуть позже выложу.
Автор: DizeLyaka
Дата сообщения: 29.04.2014 15:55
qxaszw12

Цитата:
А по какому протоколу у вас работают пользователи (POP/IMAP)?
Если IMAP, то как настроено хранение исходящей почты на клиенте (например, в Outlook'е по умолчанию она хранится на клиенте)?

Тестирую по IMAP, прога TheBat
Автор: qxaszw12
Дата сообщения: 29.04.2014 16:03
DizeLyaka

Цитата:
Тестирую по IMAP, прога TheBat


Посмотрите где у него хранится папка с отправленной почтой и если локально, то как и в случае с Outlook'ом, укажите что бы отправленная почта хранилась на сервере.
Автор: fly_indiz
Дата сообщения: 29.04.2014 16:36
Kamerton

Цитата:
Хм!
Все равно не помогает вписывание в скобочках!
Имеется в скрипте вот такая запись: Accept [#.#.#.#]
но на сколько я понимаю это записи с одним значением через точку!

В мдемоне важен порядок следования записей в hostscreen (и в ipscreen тоже). Более верхние перекрывают более нижние.
Запись:
all [#.#.#.#] accept
РАЗРЕШАЕТ helo/ehlo такого рода: [1.1.1.1], [192.168.0.1]. Т.е. # - это не одна цифра, а любое число. Поэтому даже если будут ниже записи типа:
all [192.168.2.*] refuse
то вышестоящиий accept всё равно разрешит.
В связи с этим крайне БЕСИТ нововведение в версиях старше 13.0 - автоматическая сортировка hostscreen/ipscreen - т.к. она нарушает нужный администратору порядок следования правил (ну не бред ли?).
поэтому конфиги правлю ручками в блокноте, а потом применяю их семафором, т.к. автосортировку производит именно GUI.
а про порядок правил в конфиге - всё просто. Если есть родственные по смыслу правила, то более частные должны стоять ВЫШЕ чем более общие.
Например: нужно запретить EHLO с любыми ip в скобках, но при этом для некоторых ip-ов (например для 192.168.2.#) оставить разрешение. Тогда порядок следования такой:
all [192.168.2.#] accept
all [#.#.#.#] refuse
тут главное что частное правило написано выше общего - и всё будет работать. Причём неважно что между этими правилами вполне могут быть и другие.

Смысл в том что когда МДемон анализирует ehlo на hostscreen - он читает конфиг сверху вниз. И как только обнаружит первое правило подходящее под этот ehlo - то это правило и сработает, дальнейшие правила читаться просто не будут.
Автор: Kamerton
Дата сообщения: 30.04.2014 07:44
ipmanyak
Ответил! Что писал в скобках - после применения правила результат не изменился - все равно не рубится, а срабатывает динамик скрин!
Поэтому пытаюсь сделать по другому!!!

Добавлено:
fly_indiz
Вооот ! Вот именно это скорее всего и влечет следствие неприменения правила - потому что они добавляется в конец списка!!
Буду пробовать!
Спасибо!

Добавлено:
Складывается впечатление что это хакер тусуется на форуме!
Как только появилось сообщение о правильной блокировке этого маньяка - сразу перестали подбор делать!!
Странно прям очень!!
Автор: ipmanyak
Дата сообщения: 30.04.2014 08:35
Kamerton копируешь hostsreen.dat в сторону, меняешь в нем порядок правил, копируешь обратно. После чего в каталог \app копируешь семафор - пустой файл с именем HOSTSCREEN.SEMю Заходишь в GUI и проверяешь правильность порядка правил. Возможно можно и на месте менять порядок правил, но в GUI в это время этот файл не должен быть открыт.

Автор: artclub
Дата сообщения: 30.04.2014 10:21
Добрый день!

Обновил Mdaemon до версии 13.0.4 все работает без ошибок но Activsinс не хочет запускаться.

Где копать, кто уже сталкивался с такой проблемой?
Автор: qxaszw12
Дата сообщения: 30.04.2014 10:30
ipmanyak
Kamerton
fly_indiz

Проблема в том, что Host Scrining срабатывает только на входящую почту!
И все другие попытки засунуть спам с хоста в виде [.....] убиваются как класс, а эта сессия почему-то продолжается.
В этой сессии идёт процедура авторизации и хотя по схеме представленной уважаемым ipmanyak SMTP AUTH идёт позже Host Scrining, но сессия почему-то не убивается. Может в строке EHLO идет какой-то кривой символ, из-за которого содержимое этой строки не совпадает со строкой в HostScreen.dat?
Гляньте пожалуйста кто-нибудь у кого есть UNIX/Linux, что там реально приходит в этой строке?
Автор: ipmanyak
Дата сообщения: 30.04.2014 10:35
artclub Посмотри в меню демона HELP - About Mdaemon
версия Activsynс тоже 13.0.4 ?


Добавлено:
qxaszw12 Kamerton У вас случаем своя локальная сеть не 192.168 ?
Если да, и она занесена в Trusted hosts типа как 192.168.2.* или 192.168.*.*, то Host Screening не будет работать, так как автоматом Trusted hosts исключаются из проверок, причем из большинства проверок.

Автор: qxaszw12
Дата сообщения: 30.04.2014 11:10
ipmanyak

В Trusted hosts у меня стоят только те сети, которые у меня реально существуют, т.е. строка 192.168.*.* там уже давно убрана.
Да и мне кажется, что в Host Scrining идёт тупое сравнение текста, а не анализ IP сетей (т.е. нельзя написать строку типа 192.168.1??.0).
Автор: ipmanyak
Дата сообщения: 30.04.2014 11:27
qxaszw12 * и # точно можно писать. Думаю. что все-таки IP чухает, я ранее проверял.
в EHLO/HELO в квадратных скобках по RFC пишется литеральный IP адрес. DNS имя без скобок.
[192.168.*.*] это точно можно писать
Автор: qxaszw12
Дата сообщения: 30.04.2014 11:52
ipmanyak

Цитата:
[192.168.*.*] это точно можно писать


Да в том-то и дело, что с входящей сессией со строкой типа Wed 2014-04-30 12:47:56: <-- EHLO [193.178.203.161] проблем нет и сессия убивается, а строка [192.168.2.33] - нет. Ещё раз проверил - вроде как везде указаны только существующие сети 192.168......

Буду дальше копать.
Автор: vlary
Дата сообщения: 30.04.2014 12:39
qxaszw12 Интересно, а кто это стучится вам в Mdaemon из сетей 192.168.*.* ?
Автор: qxaszw12
Дата сообщения: 30.04.2014 13:18
vlary

Цитата:
Интересно, а кто это стучится вам в Mdaemon из сетей 192.168.*.* ?


Да в том-то и дело, что подбирают пароль из сетей с разными IP-шниками.

Вот пример лога

[more]
Wed 2014-04-30 13:55:43: ----------
Wed 2014-04-30 13:57:33: Session 528; child 1; thread 0
Wed 2014-04-30 13:57:33: Accepting SMTP connection from [82.204.191.194:3082] to [192.168.1.251:25]
Wed 2014-04-30 13:57:33: --> 220 mx.ppz7.com ESMTP MDaemon 11.0.0; Wed, 30 Apr 2014 13:57:33 +0400
Wed 2014-04-30 13:57:33: <-- EHLO [192.168.2.33]

Wed 2014-04-30 13:57:33: EHLO/HELO response delayed 15 seconds
Wed 2014-04-30 13:57:48: --> 250-mx.ppz7.com Hello [192.168.2.33], pleased to meet you
Wed 2014-04-30 13:57:48: --> 250-ETRN
Wed 2014-04-30 13:57:48: --> 250-AUTH=LOGIN
Wed 2014-04-30 13:57:48: --> 250-AUTH LOGIN CRAM-MD5
Wed 2014-04-30 13:57:48: --> 250-8BITMIME
Wed 2014-04-30 13:57:48: --> 250 SIZE
Wed 2014-04-30 13:57:48: <-- AUTH LOGIN amlt
Wed 2014-04-30 13:57:48: --> 334 UGFzc3dvcmQ6
Wed 2014-04-30 13:57:48: <-- ******
Wed 2014-04-30 13:57:48: --> 535 Authentication failed
Wed 2014-04-30 13:57:48: <-- AUTH LOGIN amlt
Wed 2014-04-30 13:57:48: --> 334 UGFzc3dvcmQ6
Wed 2014-04-30 13:57:48: <-- ******
Wed 2014-04-30 13:57:48: --> 535 Authentication failed
Wed 2014-04-30 13:57:48: SMTP session terminated (Bytes in/out: 71/295)
Wed 2014-04-30 13:57:48: ----------
[/more]

И как задушить эти попытки подбора - пока не знаю.
Автор: ipmanyak
Дата сообщения: 30.04.2014 13:22
vlary стучатся снаружи с разных белых IP , это в HELO/EHLO - [192.168.2.33] одно и тоже пишется, вот по нему и хотят забанить.


Добавлено:
qxaszw12 сделай поиск в файлах *.dat на 192.168. Подозреваю, что в одном из них эта сеть стоит в исключениях, у себя нашел в ReverseXcpt.dat, возможно влияет, поскольку в каментах host screen пишется - Refuse EHLO/PTR value.
Автор: fly_indiz
Дата сообщения: 30.04.2014 18:00
qxaszw12

Цитата:
Проблема в том, что Host Scrining срабатывает только на входящую почту!

Почта идущая от клиентов из локальной сети - для МДемона - такая же входящая как и из инета. Несрабатывание скринов не из-за того что входящая, а из-за того что адреса 192.168.*.* уже по умолчанию внесены в список trusted/доверенные. IP указанные в этом списке исключаются из всех типов проверок, не только от скрининга. Если нужно проверки распространить и на 192.168.... то нужно исключить эту запись из trusted.
Автор: artclub
Дата сообщения: 01.05.2014 13:06
ipmanyak

Добрый день!

Вроде 13.0.4

MDaemon Server:

SMTP/POP/IMAP server: v13.0.4
WorldClient HTTP server: v13.0.4
WorldClient DLL: v13.0.4
ComAgent client: v13.0.4
Content filter server: v13.0.4
Content filter DLL: v13.0.4
Content filter GUI: v13.0.0

Calendar API (MDCalendar.dll): v13.0.4
Mailing list API (MDList.dll): v13.0.4
Original "Flat-File" API (MDUser.dll): v13.0.4
COM/DCOM API (MDUserCOM.dll): v8.0.0
LDAP API (MDUserLDAP.dll): v13.0.4
ODBC/SQL API (MDUserODBC.dll): v13.0.4
SyncML (MDSyncML.dll): v13.0.4
ActiveSync (MDAirSync.dll): v13.0.4.221




ActiveSync (MDAirSync.dll): v13.0.4.221
Автор: ipmanyak
Дата сообщения: 01.05.2014 16:34
artclub что пишет в лог демона и в логи винды?
Автор: artclub
Дата сообщения: 02.05.2014 09:29
ipmanyak

Log Name: System
Source: hpqilo3
Date: 5/2/2014 11:28:00 PM
Event ID: 57
Task Category: None
Level: Warning
Keywords: Classic
User: N/A
Computer: TEST23
Description:
GetBMCGlobals failed: 0x50
Event Xml:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="hpqilo3" />
<EventID Qualifiers="33026">57</EventID>
<Level>3</Level>
<Task>0</Task>
<Keywords>0x80000000000000</Keywords>
<TimeCreated SystemTime="2014-05-02T19:28:00.000000000Z" />
<EventRecordID>1890462</EventRecordID>
<Channel>System</Channel>
<Computer>TEST23</Computer>
<Security />
</System>
<EventData>
<Data>
</Data>
<Data>GetBMCGlobals failed: 0x50 </Data>
</EventData>
</Event>

Добавлено:
ipmanyak

Добрый день!

Перестали идти письма на gmail.com. Как можно это исправить?

--------------------------------------------------------------------------
Уведомление о состоянии доставки MDaemon - http://www.altn.com/MDaemon/dsn/
--------------------------------------------------------------------------
Прикрепленное сообщение Failed address: user@gmail.com
--- Session Transcript ---
Fri 2014-05-02 11:37:43: Parsing message <xxxxxxxxxxxxxxxxxxxxxxxx\pd35000374229.msg>
Fri 2014-05-02 11:37:43: * From: user1@domen.us Fri 2014-05-02 11:37:43: * To: user@gmail.com Fri 2014-05-02 11:37:43: * Subject: test Fri 2014-05-02 11:37:43: * Size (bytes): 3006 Fri 2014-05-02 11:37:43: * Message-ID: <000f01cf65d1$194c6140$4be523cuser1@domen.us>
Fri 2014-05-02 11:37:43: Attempting SMTP connection to [gmail.com] Fri 2014-05-02 11:37:43: Resolving MX records for [gmail.com] (DNS Server: 8.8.8.8)...
Fri 2014-05-02 11:37:43: * P=005 S=004 D=gmail.com TTL=(31) MX=[gmail-smtp-in.l.google.com] Fri 2014-05-02 11:37:43: * P=010 S=003 D=gmail.com TTL=(31) MX=[alt1.gmail-smtp-in.l.google.com]
Fri 2014-05-02 11:37:43: * P=020 S=001 D=gmail.com TTL=(31) MX=[alt2.gmail-smtp-in.l.google.com]
Fri 2014-05-02 11:37:43: * P=030 S=000 D=gmail.com TTL=(31) MX=[alt3.gmail-smtp-in.l.google.com]
Fri 2014-05-02 11:37:43: * P=040 S=002 D=gmail.com TTL=(31) MX=[alt4.gmail-smtp-in.l.google.com]
Fri 2014-05-02 11:37:43: Attempting SMTP connection to [gmail-smtp-in.l.google.com:25] Fri 2014-05-02 11:37:43: Resolving A record for [gmail-smtp-in.l.google.com] (DNS Server: 8.8.8.8)...
Fri 2014-05-02 11:37:43: * D=gmail-smtp-in.l.google.com TTL=(1) A=[74.125.136.26] Fri 2014-05-02 11:37:43: Attempting SMTP connection to [74.125.136.26:25] Fri 2014-05-02 11:37:43: Waiting for socket connection...
Fri 2014-05-02 11:37:43: * Connection established (55.55.55.55:56473 -> 74.125.136.26:25) Fri 2014-05-02 11:37:43: Waiting for protocol to start...
Fri 2014-05-02 11:37:44: <-- 220 mx.google.com ESMTP l41si720233eef.38 - gsmtp Fri 2014-05-02 11:37:44: --> EHLO domen.us Fri 2014-05-02 11:37:44: <-- 250-mx.google.com at your service, [55.55.55.55] Fri 2014-05-02 11:37:44: <-- 250-SIZE 35882577 Fri 2014-05-02 11:37:44: <-- 250-8BITMIME Fri 2014-05-02 11:37:44: <-- 250-STARTTLS Fri 2014-05-02 11:37:44: <-- 250-ENHANCEDSTATUSCODES Fri 2014-05-02 11:37:44: <-- 250 CHUNKING Fri 2014-05-02 11:37:44: --> MAIL From:< user1@domen.us> SIZE=3006 Fri 2014-05-02 11:37:44: <-- 250 2.1.0 OK l41si720233eef.38 - gsmtp Fri 2014-05-02 11:37:44: --> RCPT To:< user@gmail.com> Fri 2014-05-02 11:37:44: <-- 250 2.1.5 OK l41si720233eef.38 - gsmtp Fri 2014-05-02 11:37:44: --> DATA Fri 2014-05-02 11:37:44: <-- 354 Go ahead l41si720233eef.38 - gsmtp Fri 2014-05-02 11:37:44: Sending <xxxxxxxxxxxxxxxxxxxxxxxx\pd35000374229.msg> to [74.125.136.26] Fri 2014-05-02 11:37:44: Transfer Complete
Fri 2014-05-02 11:37:44: <-- 550-5.7.1 [55.55.55.55 12] Our system has detected that this message is
Fri 2014-05-02 11:37:44: <-- 550-5.7.1 likely unsolicited mail. To reduce the amount of spam sent to Gmail, Fri 2014-05-02 11:37:44: <-- 550-5.7.1 this message has been blocked. Please visit Fri 2014-05-02 11:37:44: <-- 550-5.7.1 http://support.google.com/mail/bin/answer.py?hl=en&answer=188131 for Fri 2014-05-02 11:37:44: <-- 550 5.7.1 more information. l41si720233eef.38 - gsmtp Fri 2014-05-02 11:37:44: --> QUIT
--- End Transcript ---
Автор: ipmanyak
Дата сообщения: 02.05.2014 11:57
artclub Читать то, что написано на сайте по указанной урле и по ссылкам с нее. В частности, посмотреть логи своего почтовика. слал ли он спам. Подумать, закрыт ли NAT по 25 порту всем кроме почтовика ?
https://support.google.com/mail/answer/69585?hl=en&ref_topic=3407174
читать тему Encountering '550-5.7.1 Our system has detected that this message is likely unsolicited mail'
там же есть ссылка для контактов с gmail
https://support.google.com/mail/contact/gtag_headers?hl=en&bug_topic=69585&ctx=gtag_headers


Добавлено:
artclub hpqilo3 это не приложение от mdaemon
это проблема ILO от хулипаккарда.
http://h30499.www3.hp.com/t5/ITRC-Remote-Lights-Out-Mgmt-iLO/HPQILO3-Issues-with-Windows-2008-R2-x64/td-p/4776259#.U2NeLaKU6ZQ
Проверь что дрова ILO и версия соответсвующие. Лучше качни с сайта HP посвежее, если юзаешь ILO, а юзать его очень желательно. Часто помогает решать проблемы с железом в случае сбоев.
P.S.
Соблюдай правила форума, листинги выкладывай с тэгом code или more.

Код: 3.9. Запрещена публикация листингов (логов, конфигурационных и прочих файлов, выводов команд и так далее), если длина такого листинга превышает 15 (пятнадцать) строк, а также изображений (картинок) размером более 40 кБ. При необходимости публикации объёмных сообщений используйте тег more.
Автор: artclub
Дата сообщения: 02.05.2014 14:19
ipmanyak

Cспасибо, буду иметь в виду! "Соблюдай правила форума, листинги выкладывай с тэгом code или more. "


Да, у нас спам был одно время, но сейчас все наладил с помощью рассылки, но на gmail почта не идет!


"Подумать, закрыт ли NAT по 25 порту всем кроме почтовика ? " а как это сделать, и не будет от этого еще больше проблем?


Автор: vlary
Дата сообщения: 02.05.2014 14:26
artclub
Цитата:
а как это сделать, и не будет от этого еще больше проблем?
Проблем не будет точно, а как сделать, зависит от шлюза, на котором у тебя поднят НАТ.
Автор: Victor VM
Дата сообщения: 04.05.2014 08:27
[more]
Цитата:
Почему у вас версия WC и других модулей (11.0.3) отличается от версии Mdaemon 13.0.0. Это некошерно, сделайте  все модули одинаковыми. Полагаю при обновлении версии модули WC, WEBADMIN, sYNCML сидели в памяти и потому не обновились. Остановите демона, убейте в памяти все процессы, касающиеся демона. Сделайте бэкап папки C:\Mdaemon. Накатите поверх в тот же каталог  C:\Mdaemon  версию 13.0.0. А еще лучше посвежее 13.0.4 или 13.0.5 , если для вас это еще возможно по лицензии.  
Хотя есть 13.5.x, 13.6.x и  14-я. Но я бы не советовал, но решать вам.  Все версии с индексами 0.0 ноль как правило сырые, никогда не ставь их, и дожидайся следующей с  индексом 0.1, а лучше 0.2. Если посмотреть  
http://archive.altn.com/MDaemon/Archive/13.0.1/RelNotes_en.html
то список пофиксеных багов 13.0.0 огромен, 60 штук!  


Спасибо огромное! Все сделал как Вы сказали.
1. Остановил все процессы.
2. Скопировал MDaemon в другую папку, только рабочие каталоги.
3. Обновил по верх версию на 13.0.5 из архива форума. Лицензию он подхватил нашу.
Теперь WC работает исправно!
[/more]
Автор: mightu86
Дата сообщения: 05.05.2014 12:55
Help, люди добрые!
Почтовый сервер Mdaemon 10.0.2.
Перестала приходить почта с внешних адресов, причём от нас уходит, и внутр. почта без проблем тоже ходит. Не приходит только к нам...

Не давно компьютер где стоит почтовые сервер и прокся словил БСОД. После переустановки ОС, всё было удачно восстановлено, и проблем с почтой не было. И тут на тебе.

Куда рыть, что смотреть? Какие логи нести? =)
Автор: ipmanyak
Дата сообщения: 05.05.2014 13:02
mightu86 смотри логи своего демона SMTP-IN или ALL. Проверь телнетом снаружи 25 порт на твой почтовик и на своем фаере проверь, что он открыт на вход.. Скажи твой почтовый домен и IP, проверим снаружи. Отправь письмо себе с халявных почтамптов - получи ответ.
Автор: vlary
Дата сообщения: 05.05.2014 13:04
mightu86
Цитата:
всё было удачно восстановлено, и проблем с почтой не было. И тут на тебе.
"Отродясь такого не было, и вот опять!" (с) В.С. Черномырдин.
Как подключен сервер? Слушает 25 порт на интерфейсе с "белым" айпи? Или 25 порт
через что-то проброшен наружу?

Автор: mightu86
Дата сообщения: 05.05.2014 13:09
ipmanyak
Почту посылал с халявных почтовиков(mail.ru, gmail.com) - не доходит, ответа ни какого в обратку не приходит. Поиск по логам, по адресу отправителя не дал результатов, послед. запись показывает только переадресованную почту, на этот же адрес, которую я посылал на свою почту внутр, с такого же внутр. адреса для проверки.
В спам листах, нас тоже нету, проверил.
Сервер POP3 включен. Кстати говоря в спам-фильтре висят несколько писем совсем свежих, действительно спам, с внешних адресов ...
vlary
KWF 6.7.1

P.S. Такая ситуация может возникнуть из-за провайдера к примеру?
Автор: ipmanyak
Дата сообщения: 05.05.2014 13:45
mightu86 Мужик вы не проплатили продление своего домена, потому ваш домен никто не может отрезолвить! 4 мая ваш домен закончился!

Код: по данным WHOIS.NIC.RU:
domain: SIBESNV.RU
nserver: ns1.ihc.ru
nserver: ns2.ihc.ru
state: domain expired
admin-contact:https://www.nic.ru/cgi/whois_webmail.cgi?domain=SIBESNV.RU
org: OOO "SPK SibEnergoStroy"
registrar: RU-CENTER-REG-RIPN
created: 2009.05.04
paid-till: 2014.05.04
free-date: 2014.06.04

Страницы: 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108109110111112113114115116117118119120121122123124125126127128129130131132133134135136137138139140141142143144145146147148149150151152153154155156157158159160161162163164165166167168169170171172173174175

Предыдущая тема: RDP-клиент не видит разрыв связи.


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.