Подскажите что делаю не так, вроде все должно работать по описанию, но postfix пропускает спам.
вот конфиг:
smtpd_recipient_restrictions =
permit_mynetworks,
permit_sasl_authenticated,
reject_unauth_destination,
reject_unauth_pipelining,
check_client_access hash:/usr/local/etc/postfix/access_client,
check_sender_access hash:/usr/local/etc/postfix/access_sender,
# check_client_access pcre:/usr/local/etc/postfix/access_client.pcre,
reject_unknown_client_hostname,
check_helo_access hash:/usr/local/etc/postfix/access_helo,
reject_invalid_helo_hostname,
reject_non_fqdn_helo_hostname,
reject_unknown_helo_hostname,
check_sender_access hash:/usr/local/etc/postfix/access_sender,
reject_non_fqdn_sender,
reject_unknown_sender_domain,
reject_unverified_sender,
reject_non_fqdn_recipient,
reject_unknown_recipient_domain
reject_unverified_recipient
reject_rbl_client cbl.abuseat.org,
reject_rbl_client combined.njabl.org,
reject_rbl_client dnsbl.njabl.org,
reject_rbl_client dul.ru,
reject_rbl_client dynablock.njabl.org,
reject_rbl_client opm.blitzed.org,
reject_rhsbl_client blackhole.securitysage.com,
reject_rhsbl_sender blackhole.securitysage.com,
reject_rhsbl_client rhsbl.sorbs.net,
reject_rhsbl_sender rhsbl.sorbs.net
smtpd_etrn_restrictions =
permit_mynetworks,
rejectвот содержимое файлов client_access и sender_access они одинаковые по содержимому.
axbag.ru REJECT
beijingrussian@ REJECT
kristall-v.ru REJECT
m_p_38@ REJECT
.co.ua REJECT
.eu REJECT
chaulan.ru REJECT
lexvov.ru REJECT
neggad.ru REJECT
qip.ru REJECT
deprivingctp@ REJECT
varnertop.ru REJECT
m.e.d.i.a.p.r.oo.2016@ REJECT
discorara@ REJECT
info@site.hh.ru REJECT
kirillevseevt64@ REJECT
fatema.ru REJECT
dupstbox.ru REJECT
eyepatch@ REJECT
today7@ REJECT
citecavl@ REJECT
yackushewa.nadia2016@ REJECT
doteka.ru REJECT
zotowa.na2017@ REJECT
ruslanv0x2gul@ REJECT
sagestg@ REJECT
inicasco@ REJECTpostmap естественно делал после изменения этих файлов, но не работает вот эти две строки:
.co.ua REJECT
.eu REJECT
по описанию должны отбрасывать все письма с поддоменов этих доменов, но спам с них все равно идет например вот с этого адреса info@exelozine.euвот заголовок письма
Return-Path: <info@exelozine.eu>
X-Original-To: office@mydomain.ru
Delivered-To: office@mydomain.ru
Received: from exelozine.eu (s1.exelozine.eu [85.25.15.251])
by mail.mydomain.ru (Postfix) with ESMTP id D13E86E3E422
for <office@mydomain.ru>; Tue, 30 Aug 2016 11:27:55 +0900 (IRKST)
Received: from exelozine.eu (unknown [185.118.167.44])
by exelozine.eu (Postfix) with ESMTPA id EBB242D24E63;
Tue, 30 Aug 2016 02:39:34 +0300 (EEST)
Message-ID: <fbf401d20267$c214b630$4f8f4919@info>
From: "=?windows-1251?B?w+vg4u376SDo7ebl7eXw?=" <info@exelozine.eu>
To: <zakaz@axbag.ru>
Subject: =?windows-1251?B?zOXy7uT7IPPv8ODi6+Xt6P8g8eXh5fHy7ujs7vHy/P4g6CD25e3u6Q==?=
Date: Tue, 30 Aug 2016 02:39:40 +0300
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----=_NextPart_000_0006_01D20266.32A26930"
X-MSMail-Priority: Normal
X-Mailer: Microsoft Windows Live Mail 14.0.8117.416
X-MimeOLE: Produced By Microsoft MimeOLE V14.0.8117.416This is a multi-part message in MIME format.
------=_NextPart_000_0006_01D20266.32A26930
Content-Type: text/plain;
charset="windows-1251"
Content-Transfer-Encoding: 7bit
Почему это письмо не отбрасывается? Может где то в другом месте надо вставить эту проверку? Видимо дело вот в этих строчках, вернее во второй строчке
From: "=?windows-1251?B?w+vg4u376SDo7ebl7eXw?=" <info@exelozine.eu>
To: <zakaz@axbag.ru>
В качестве адресата стоит какой то другой адрес в зоне ru, там видимо релей какой то стоит, но адрес отправителя то должен же отрабатываться. Почему не отрабатывается? подскажите куда вставить эту проверку, что бы подобные письма резались?
> Подскажите что делаю не так, вроде все должно работать по описанию, но
> postfix пропускает спам.
> вот конфиг:Поставь rspamd.
Привет из Томска.
> видимо релей какой то стоит, но адрес отправителя то должен же
> отрабатываться. Почему не отрабатывается?check_sender_access type:table
Search the specified access(5) database for the MAIL FROM address, domain, parent domains, or localpart@, and execute the corre-
sponding action.
Опять путаешь SMTP "MAIL FROM" ("надпись на конверте письма") и содержимое письма - заголовок From:
>> видимо релей какой то стоит, но адрес отправителя то должен же
>> отрабатываться. Почему не отрабатывается?
> check_sender_access type:table
>
> Search the specified access(5) database for the MAIL FROM
> address, domain, parent domains, or localpart@, and execute the corre-
>
> sponding action.
> Опять путаешь SMTP "MAIL FROM" ("надпись на конверте письма") и содержимое письма
> - заголовок From:Привет обратно в Томск )
Это сервер временный, мне там антиспам разворачивать не надо, можно как то через эти файлы все таки заблокировать эти письма со всех поддоменов этих доменов?
Вот записи из лога постфикса, там тоже этот адрес есть:
Aug 30 11:28:55 mail postfix/smtpd[58698]: D13E86E3E422: client=s1.exelozine.eu[85.25.15.251]
Aug 30 11:28:56 mail postfix/cleanup[30220]: D13E86E3E422: message-id=<fbf401d20267$c214b630$4f8f4919@info>
Aug 30 11:28:56 mail postfix/smtpd[58698]: disconnect from s1.exelozine.eu[85.25.15.251]
Aug 30 11:28:56 mail postfix/qmgr[54264]: D13E86E3E422: from=<info@exelozine.eu>, size=129129, nrcpt=1 (queue active)
Aug 30 11:28:56 mail postfix/virtual[30225]: D13E86E3E422: to=<office@mydomain.ru>, relay=virtual, delay=61, delays=61/0.01/0/0.01, dsn=2.0.0, status=sent (delivered to maildir)
Aug 30 11:28:56 mail postfix/qmgr[54264]: D13E86E3E422: removed
> Вот записи из лога постфикса, там тоже этот адрес есть:postmap -q eu hash:/usr/local/etc/postfix/access_sender
>> Вот записи из лога постфикса, там тоже этот адрес есть:
> postmap -q eu hash:/usr/local/etc/postfix/access_senderПлюсую )
# cat a_s
.eu REJECT
#postmap -q .eu hash:./a_s
REJECT
# postmap -q eu hash:./a_s
#Я думаю, что postfix ищет именно "eu", а не ".eu".
Т.е. и в файле нужно указывать без точки в начале, аналогично остальным доменам.
>[оверквотинг удален]
> вставить эту проверку? Видимо дело вот в этих строчках, вернее во
> второй строчке
>
> From: "=?windows-1251?B?w+vg4u376SDo7ebl7eXw?=" <info@exelozine.eu>
> To: <zakaz@axbag.ru>
>
> В качестве адресата стоит какой то другой адрес в зоне ru, там
> видимо релей какой то стоит, но адрес отправителя то должен же
> отрабатываться. Почему не отрабатывается? подскажите куда вставить эту проверку, что бы
> подобные письма резались?Странный конфиг. Зачем все напихали в recipient_restrictions =?
Отдельные секции упрощают все задачи.
Вам в помощь:
http://www.maxblogs.ru/articles/primenenie-ogranichenii-smtp...
> Странный конфиг. Зачем все напихали в recipient_restrictions =?
> Отдельные секции упрощают все задачи.он всё правильно напихал. Если отбрасывать на стадии RCPT TO то будет известен хост, от кого и кому. Так можно, например, сделать исключение для abuse@ и postmaster@ - которые будут всегда доступны.
> Вам в помощь:
> http://www.maxblogs.ru/articles/primenenie-ogranichenii-smtp...Спасибо.
Перевод из переосмысленного из написанного в документации. Sendmail и exim завидуют в стороне.
> check_client_access hash:/usr/local/etc/postfix/access_client,
> check_sender_access hash:/usr/local/etc/postfix/access_sender,Перейдите с hash на regexp
> Странный конфиг. Зачем все напихали в recipient_restrictions =?считается хорошим тоном, давать отлуп на стадии rcpt to.
C офф доки postfix
Delayed evaluation of SMTP access restriction listsEarly Postfix versions evaluated SMTP access restrictions lists as early as possible. The client restriction list was evaluated before Postfix sent the "220 $myhostname..." greeting banner to the SMTP client, the helo restriction list was evaluated before Postfix replied to the HELO (EHLO) command, the sender restriction list was evaluated before Postfix replied to the MAIL FROM command, and so on. This approach turned out to be difficult to use.
Current Postfix versions postpone the evaluation of client, helo and sender restriction lists until the RCPT TO or ETRN command. This behavior is controlled by the smtpd_delay_reject parameter. Restriction lists are still evaluated in the proper order of (client, helo, etrn) or (client, helo, sender, relay, recipient, data, or end-of-data) restrictions. When a restriction list (example: client) evaluates to REJECT or DEFER the restriction lists that follow (example: helo, sender, etc.) are skipped.
Там же расписывают и плюсы такого подхода
Benefits of delayed restriction evaluation, and of restriction mixing:Some SMTP clients do not expect a negative reply early in the SMTP session. When the bad news is postponed until the RCPT TO reply, the client goes away as it is supposed to, instead of hanging around until a timeout happens, or worse, going into an endless connect-reject-connect loop.
Postfix can log more useful information. For example, when Postfix rejects a client name or address and delays the action until the RCPT TO command, it can log the sender and the recipient address. This is more useful than logging only the client hostname and IP address and not knowing whose mail was being blocked.
Mixing is needed for complex whitelisting policies. For example, in order to reject local sender addresses in mail from non-local clients, you need to be able to mix restrictions on client information with restrictions on sender information in the same restriction list. Without this ability, many per-user access restrictions would be impossible to express.
> Я думаю, что postfix ищет именно "eu", а не ".eu".
> Т.е. и в файле нужно указывать без точки в начале, аналогично остальным доменам.лучше все таки прочитать документацию, а не гадать и додумывать ;)
domain.tld
Matches domain.tld as the domain part of an email address.The pattern domain.tld also matches subdomains, but only when the string smtpd_access_maps is listed in the Postfix parent_domain_matches_subdomains configuration setting.
.domain.tld
Matches subdomains of domain.tld, but only when the string smtpd_access_maps is not listed in the Postfix parent_domain_matches_subdomains configuration setting.
>[оверквотинг удален]
> лучше все таки прочитать документацию, а не гадать и додумывать ;)
>
> domain.tld
> Matches domain.tld as the domain part of an email address.
> The pattern domain.tld also matches subdomains, but only when the string smtpd_access_maps
> is listed in the Postfix parent_domain_matches_subdomains configuration setting.
> .domain.tld
> Matches subdomains of domain.tld, but only when the string smtpd_access_maps is not
> listed in the Postfix parent_domain_matches_subdomains configuration setting.
>Предположим считается проводить все проверки а потом уже давать отлуп.
smtpd_delay_reject = yes
Так проверяются все рестрикшены а не после первого попадания.
А совать по секциям удобно.
Например я не хочу чтобы permit_mynetworks работало глобально и т д и т п
> А совать по секциям удобно.
> Например я не хочу чтобы permit_mynetworks работало глобально и т д ине вижу взаимосвязи
>> check_client_access hash:/usr/local/etc/postfix/access_client,
>> check_sender_access hash:/usr/local/etc/postfix/access_sender,
> Перейдите с hash на regexp А там синтаксис такой же?без точки тоже не работает. Пробовал и так и так. reject дает только при точном указании конкретного e-mail адреса в полном формате. даже если указываешь домен не важно с собакой или без, он не отсеивает письма из этого домена. Только конкретные адреса.
>>> check_client_access hash:/usr/local/etc/postfix/access_client,
>>> check_sender_access hash:/usr/local/etc/postfix/access_sender,
>> Перейдите с hash на regexp А там синтаксис такой же?
> без точки тоже не работает. Пробовал и так и так. reject дает
> только при точном указании конкретного e-mail адреса в полном формате. даже
> если указываешь домен не важно с собакой или без, он не
> отсеивает письма из этого домена. Только конкретные адреса.Версия postfix и что стоит в parent_domain_matches_subdomains?
>>>> check_client_access hash:/usr/local/etc/postfix/access_client,
>>>> check_sender_access hash:/usr/local/etc/postfix/access_sender,
>>> Перейдите с hash на regexp А там синтаксис такой же?
>> без точки тоже не работает. Пробовал и так и так. reject дает
>> только при точном указании конкретного e-mail адреса в полном формате. даже
>> если указываешь домен не важно с собакой или без, он не
>> отсеивает письма из этого домена. Только конкретные адреса.
> Версия postfix и что стоит в parent_domain_matches_subdomains?
mail_version = 2.8.7
]# postconf | grep parent_domain_matches_subdomains
parent_domain_matches_subdomains = debug_peer_list,fast_flush_domains,mynetworks,permit_mx_backup_networks,qmqpd_authorized_clients,relay_domains,smtpd_access_maps
>[оверквотинг удален]
>>> если указываешь домен не важно с собакой или без, он не
>>> отсеивает письма из этого домена. Только конкретные адреса.
>> Версия postfix и что стоит в parent_domain_matches_subdomains?
>
> mail_version = 2.8.7
>
>
> ]# postconf | grep parent_domain_matches_subdomains
> parent_domain_matches_subdomains = debug_peer_list,fast_flush_domains,mynetworks,permit_mx_backup_networks,qmqpd_authorized_clients,relay_domains,smtpd_access_maps
>Надо убрать: smtpd_access_maps
>[оверквотинг удален]
>>>> отсеивает письма из этого домена. Только конкретные адреса.
>>> Версия postfix и что стоит в parent_domain_matches_subdomains?
>>
>> mail_version = 2.8.7
>>
>>
>> ]# postconf | grep parent_domain_matches_subdomains
>> parent_domain_matches_subdomains = debug_peer_list,fast_flush_domains,mynetworks,permit_mx_backup_networks,qmqpd_authorized_clients,relay_domains,smtpd_access_maps
>>
> Надо убрать: smtpd_access_mapsЯ пробовал, не помогает. Проблему решил переходом на pcre. Работает регулярное выражение типа /*\.eu/
>[оверквотинг удален]
>>>
>>> mail_version = 2.8.7
>>>
>>>
>>> ]# postconf | grep parent_domain_matches_subdomains
>>> parent_domain_matches_subdomains = debug_peer_list,fast_flush_domains,mynetworks,permit_mx_backup_networks,qmqpd_authorized_clients,relay_domains,smtpd_access_maps
>>>
>> Надо убрать: smtpd_access_maps
> Я пробовал, не помогает. Проблему решил переходом на pcre. Работает регулярное выражение
> типа /*\.eu/У вас ведь и было pcre. Наверное на regexp? Я в свое время пробовал pcre.
Но, regexp проще перловских выражений pcre и его хватает на повседневные задачи.
Я бы на вашем месте всетаки поковырялся с решением вашей задачи.
> Но, regexp проще перловских выражений pcre и его хватает на повседневные задачи./.*\.eu$/
куда уж проще?!
> Я бы на вашем месте всетаки поковырялся с решением вашей задачи.
поддерживаю
> Перевод из переосмысленного из написанного в документации. Sendmail и exim завидуют в стороне.это такой тонкий троллинг? Ибо ограничения в postfix очень не удобно настраиваются и очень прямолинейные, если мы сравниваем с тем же exim. sendmail вообще за гранью добра и зла ;)
>> Перевод из переосмысленного из написанного в документации. Sendmail и exim завидуют в стороне.
> это такой тонкий троллинг?А-ага. В основном в сторону юношей бледых со взором горящим, у которых "поставь postfix, там просто поставил, и всё просто, и всё есть" - ответ на все вопросы про почту.
>Ибо ограничения в postfix очень не удобно настраиваются
> и очень прямолинейные, если мы сравниваем с тем же exim. sendmail
> вообще за гранью добра и зла ;)Во-первых, как выясняется при длительном наблюдении, таки [всякий?..] "полный" MTA (чтоб не рассматривать всяческие null- и simple-) старается расти в своей внутренней сложности, чтобы _соответствовать_ собственно предметной области - этой самой [smtp-]почте.
Во-вторых, это не та грань -- "мы просто не умеем их готовить", видимо. Или не дали себе труда вывернуть свой взгляд на них под нужным углом, например...
> Во-вторых, это не та грань -- "мы просто не умеем их готовить",
> видимо. Или не дали себе труда вывернуть свой взгляд на них
> под нужным углом, например...ну я разве что через гланды не смотрел на postfix в свое время :D Правда последние пару лет особо за ним не слежу, но сомневаюсь, что там поменялось что то в координальную сторону. И без сторонних policy сервисов, аля postfwd там было все очень печально.
Можно увидеть пару примеров "гибких" правил для свежих версий postfix, которые стали доступны в postfix > 2.10?
Привет. Мы с Вами частенько пересекались на postfix.ru
Не спорю постфикс слишком прям. Бесит отсутствие переменных и вооще sh
в простых проверках.
Но, заметьте архитектура постфикса выигрывает у екзима.
Не будем спорить. Не знаете ли как бывший модератор-почему посфикс ру
глючит? Пробовал писать указанному контакту. Ответа ноль.
Ресурс сознайтесь полезный.Postfix имеет продуманную модульную архитектуру - каждый модуль (демон) отвечает за минимальный набор простых функций. Как следствие, обеспечивается изолированность процессов (что положительно сказывается на безопасности), а также более высокая скорость работы в режиме простоя (за счет выгрузки ненужных модулей).
Как и Sendmail, Exim имеет монолитную архитектуру, которая считается менее безопасной, чем модульная. Однако в отличие от Sendmail, Exim пока не испытывал серьезных проблем с безопасносностью.
Ключевая особенность Exim заключается в логичной и прозрачной схеме обработки почты. Создатели продукта отказались от реализации ряда экзотических функций, что положительно отразилось на простоте решения. Кроме того, Exim считается быстрее и безопаснее все того же Sendmail.
> Postfix имеет продуманную модульную архитектуру ...
> а также более высокая скорость работы в режиме простоя (за счет выгрузки ненужных модулей).Кого может волновать скорость работы в режиме простоя?!?!?
Мне интересна скорость работы в режиме полного абзаца(Tm)> Однако в отличие от Sendmail, Exim пока не испытывал серьезных проблем с безопасносностью.
Муха-ха-ха :) Откуда ты такое вылезло?!?! Твоя методичка протухла уже так давно, что ...
Единственно что ты правильно сказал, так это то, что Exim даёт больше свободы в настройке, чем Postfix. :) Остальное - в трэш.
ЗЫЖ - сам на постфиксе :)
> Однако в отличие от Sendmail, Exim пока не испытывал серьезных проблем с безопасносностью.ну на самом деле не так, у него дела конечно лучше чем в sendmail, но хуже чем в postfix, по крайней мере после ухода Хазеля
> Не знаете ли как бывший модератор-почему посфикс ру глючит? Пробовал писать указанному контакту. Ответа ноль. Ресурс сознайтесь полезный.
не знаю, давно там не был
>> Postfix имеет продуманную модульную архитектуру ...
>> а также более высокая скорость работы в режиме простоя (за счет выгрузки ненужных модулей).
> Кого может волновать скорость работы в режиме простоя?!?!?
> Мне интересна скорость работы в режиме полного абзаца(Tm)
>> Однако в отличие от Sendmail, Exim пока не испытывал серьезных проблем с безопасносностью.
> Муха-ха-ха :) Откуда ты такое вылезло?!?! Твоя методичка протухла уже так давно,
> что ...
> Единственно что ты правильно сказал, так это то, что Exim даёт больше
> свободы в настройке, чем Postfix. :) Остальное - в трэш.
> ЗЫЖ - сам на постфиксе :)Хорош ржать я с 2003 года снова настроил постфиксВы мне не обьяснетя его свойства. Лады? ))
>[оверквотинг удален]
>>> а также более высокая скорость работы в режиме простоя (за счет выгрузки ненужных модулей).
>> Кого может волновать скорость работы в режиме простоя?!?!?
>> Мне интересна скорость работы в режиме полного абзаца(Tm)
>>> Однако в отличие от Sendmail, Exim пока не испытывал серьезных проблем с безопасносностью.
>> Муха-ха-ха :) Откуда ты такое вылезло?!?! Твоя методичка протухла уже так давно,
>> что ...
>> Единственно что ты правильно сказал, так это то, что Exim даёт больше
>> свободы в настройке, чем Postfix. :) Остальное - в трэш.
>> ЗЫЖ - сам на постфиксе :)Хорош ржать я с 2003 года снова настроил постфикс
> Вы мне не обьяснетя его свойства. Лады? ))Лично я плюнул на тонкости МТА. Ставлю везде iredmail
Там мне все знакомо и привычно.
>> Postfix имеет продуманную модульную архитектуру ...
>> а также более высокая скорость работы в режиме простоя (за счет выгрузки ненужных модулей).
> Кого может волновать скорость работы в режиме простоя?!?!?
> Мне интересна скорость работы в режиме полного абзаца(Tm)
>> Однако в отличие от Sendmail, Exim пока не испытывал серьезных проблем с безопасносностью.
> Муха-ха-ха :) Откуда ты такое вылезло?!?! Твоя методичка протухла уже так давно,
> что ...
> Единственно что ты правильно сказал, так это то, что Exim даёт больше
> свободы в настройке, чем Postfix. :) Остальное - в трэш.
> ЗЫЖ - сам на постфиксе :)Да я просто скопипастил. Вощето на постфиксе 13 лет уже.))
> Лично я плюнул на тонкости МТА. Ставлю везде iredmailну iredmail это просто солянка, а вот внутри там все тот же postfix