Всем добра!FreeBSD 10.3
Postfix 3.2.0Не работает "белый список" в правилах smtpd_helo_restrictions:
smtpd_helo_restrictions =
permit_sasl_authenticated,
permit_mynetworks,
check_helo_access hash:/etc/postfix/helo_access,
check_helo_access regexp:/etc/postfix/helo_regexp,
reject_invalid_hostname,
reject_non_fqdn_hostname,
reject_unknown_hostname,
permitУпрямо реджектит почту от "IP без имени хоста":
"Helo command rejected: Host not found"Добавил этот IP во все, какие только знал списки: helo_access, client_access и т.д.
Всем пересделал "postmap"
Сделал "postfix reload"Продолжает реджектить
Если закаментить три строчки:
# reject_invalid_hostname,
# reject_non_fqdn_hostname,
# reject_unknown_hostname,то с начинает ходить
Где-то туплю и прошу помощи зала.
Спасибо.
Приходи завтра, посмотри на свой конфиг>smtpd_helo_restrictions =
> permit_sasl_authenticated,
> permit_mynetworks,
> check_helo_access hash:/etc/postfix/helo_access,
> check_helo_access regexp:/etc/postfix/helo_regexp,
> reject_invalid_hostname,
> reject_non_fqdn_hostname,
> reject_unknown_hostname,
> permitподумай и внятно расскажи себе (и, возможно, нам), каким боком
> списки: helo_access, client_access и т.д.
влияют на этот конфиг и помогают хосту (некоторому IP) не дойти до запрещающих
> reject_invalid_hostname,
> reject_non_fqdn_hostname,
> reject_unknown_hostname,
>[оверквотинг удален]
> Всем пересделал "postmap"
> Сделал "postfix reload"
> Продолжает реджектить
> Если закаментить три строчки:
> # reject_invalid_hostname,
> # reject_non_fqdn_hostname,
> # reject_unknown_hostname,
> то с начинает ходить
> Где-то туплю и прошу помощи зала.
> Спасибо.Для вашего случая белый/черный список здесь:
smtpd_client_restrictions = check_client_access hash:/etc/postfix//vip_ip,
...
> Для вашего случая белый/черный список здесь:
> smtpd_client_restrictions = check_client_access hash:/etc/postfix//vip_ip,
>Туда тоже прописал.. Без результата
smtpd_client_restrictions у меня выглядит так:smtpd_client_restrictions =
permit_sasl_authenticated,
permit_mynetworks,
hash:/etc/postfix/client_access,
regexp:/etc/postfix/dul_checks,
reject_rbl_client zen.spamhaus.org,
reject_rbl_client bl.spamcop.net,
# reject_rbl_client b.barracudacentral.org
# reject_rbl_client dnsbl.sorbs.net,
reject_rbl_client psbl.surriel.com,
# reject_rbl_client cbl.abuseat.org,
# reject_rbl_client spamsources.fabel.dk,
# reject_rbl_client work.drbl.caravan.ru,
# reject_rbl_client dul.ru,
# reject_rbl_client multi.surbl.org,
# reject_rbl_client dialup.balcklist.jippg.org,
reject_unknown_client,
permit
>> Для вашего случая белый/черный список здесь:
>> smtpd_client_restrictions = check_client_access hash:/etc/postfix//vip_ip,Еще один ...
Комментарий и не смешной, и не верный, лишь только подкрепляет заблуждения топикстартера.
Bootmen, специально так написал?> Туда тоже прописал.. Без результата
Сказал же - приходи завтра, на свежую голову смотри комментарий #1.
Обращаю внимание еще раз: комментарий #2 неправильный, вводит в заблуждение.> smtpd_client_restrictions у меня выглядит так:
При чем тут smtpd_client_restrictions?
Ну да ладно. "Завтра" наступило, что насчет комментария #1?
Или направление на путь размышлений не в почете, а вам всё готовое надо?
> Ну да ладно. "Завтра" наступило, что насчет комментария #1?
> Или направление на путь размышлений не в почете, а вам всё готовое
> надо?Вот вы срётесь, а я как ничего не понимал, так и не понимаю.
Почему в smtpd_client_restrictions белый список работает (а он точно работает, в этом я уверен), а в smtpd_helo_restrictions не работает?
>> Ну да ладно. "Завтра" наступило, что насчет комментария #1?
>> Или направление на путь размышлений не в почете, а вам всё готовое
>> надо?
> Вот вы срётесь, а я как ничего не понимал, так и не
> понимаю.
> Почему в smtpd_client_restrictions белый список работает (а он точно работает, в этом
> я уверен), а в smtpd_helo_restrictions не работает?Покажи свой белый список, который не работает в smtpd_helo_restrictions, а также расскажи, почему и как, по-твоему, он должен работать.
> Покажи свой белый список, который не работает в smtpd_helo_restrictions, а также расскажи,
> почему и как, по-твоему, он должен работать.#example.com REJECT you are not in my local networks
#12.16.192.150 REJECT Get the fuck off!
196.4.67.134 REJECT Sorry 196.4.67.134
185.12.155.29 OK Webmaster 1cточно такая же схема белого списка работает в smtpd_client_restrictions
когда postfix футболит нужное письмо по "Client ..... rejected" я добавляю этот IP в client_access и перестраиваю соответствующий .db файлпредполагаю тоже самое и для случая с helo
> я добавляю этот IP в client_access и перестраиваю соответствующий .db файл
> предполагаю тоже самое и для случая с heloНадо не предполагать, а конфигурировать соответствующим образом.
Посмотри на свой конфиг
>smtpd_helo_restrictions =
> permit_sasl_authenticated,
> permit_mynetworks,
> check_helo_access hash:/etc/postfix/helo_access,
> check_helo_access regexp:/etc/postfix/helo_regexp,
> reject_invalid_hostname,
> reject_non_fqdn_hostname,
> reject_unknown_hostname,
> permitи расскажи каким образом
> списки: client_access и т.д.
влияют на этот конфиг и помогают хосту (некоторому IP) не дойти до запрещающих
> reject_invalid_hostname,
> reject_non_fqdn_hostname,
> reject_unknown_hostname,----
///вроде бы на 90% соответствует комментарию #1.
>[оверквотинг удален]
>> permit
> и расскажи каким образом
>> списки: client_access и т.д.
> влияют на этот конфиг и помогают хосту (некоторому IP) не дойти до
> запрещающих
>> reject_invalid_hostname,
>> reject_non_fqdn_hostname,
>> reject_unknown_hostname,
> ----
> ///вроде бы на 90% соответствует комментарию #1.Вы не могли бы как-то по-другому "подсказать"? Может до меня дойдёт наконец. Зачем повторять одно и то же?
>Не работает "белый список" в правилах smtpd_helo_restrictions:
>Добавил этот IP во все, какие только знал списки: client_access и т.д.Каким образом список client_access влияет на указанное в директиве smtpd_helo_restrictions?
>smtpd_helo_restrictions =
> permit_sasl_authenticated,
> permit_mynetworks,
> check_helo_access hash:/etc/postfix/helo_access,
> check_helo_access regexp:/etc/postfix/helo_regexp,
> reject_invalid_hostname,
> reject_non_fqdn_hostname,
> reject_unknown_hostname,
> permit
>Вы не могли бы как-то по-другому "подсказать"?Попробуйте хоть как-то ответить на заданный вопрос
>каким образом "списки: client_access и т.д." влияют на этот конфиг и помогают хосту >(некоторому IP) не дойти до запрещающих [правил]
>[оверквотинг удален]
>> permit_mynetworks,
>> check_helo_access hash:/etc/postfix/helo_access,
>> check_helo_access regexp:/etc/postfix/helo_regexp,
>> reject_invalid_hostname,
>> reject_non_fqdn_hostname,
>> reject_unknown_hostname,
>> permit
>>Вы не могли бы как-то по-другому "подсказать"?
> Попробуйте хоть как-то ответить на заданный вопрос
>>каким образом "списки: client_access и т.д." влияют на этот конфиг и помогают хосту >(некоторому IP) не дойти до запрещающих [правил]своим наличием в блоке smtpd_helo_restrictions =
>>>каким образом "списки: client_access и т.д." влияют на этот конфиг и помогают хосту >(некоторому IP) не дойти до запрещающих [правил]
> своим наличием в блоке smtpd_helo_restrictions =Я не вижу в блоке smtpd_helo_restrictions упоминания списка client_access.
там свой файл, helo_access
это неправильно?
> там свой файл, helo_access
> это неправильно?Правильность или неправильность определяется достижением заданных целей.
Пока цель не достигнута, видимо что-то неправильно.helo_access прописан в одной директиве:
>check_helo_access hash:/etc/postfix/helo_access,
Соответствующий ман не содержит упоминания проверок айпишников:
>check_helo_access type:table
> Search the specified access(5) database for the HELO or EHLO hostname or parent domains, and execute the corresponding action.
>[оверквотинг удален]
> # reject_rbl_client dnsbl.sorbs.net,
> reject_rbl_client psbl.surriel.com,
> # reject_rbl_client cbl.abuseat.org,
> # reject_rbl_client spamsources.fabel.dk,
> # reject_rbl_client work.drbl.caravan.ru,
> # reject_rbl_client dul.ru,
> # reject_rbl_client multi.surbl.org,
> # reject_rbl_client dialup.balcklist.jippg.org,
> reject_unknown_client,
> permitЛадно разжую подробнее:
в файл main.cf
#
smtpd_client_restrictions = check_client_access hash:/etc/postfix//vip_ip
#
содержание файла /etc/postfix//vip_ip (пример):
# раpрешить ip 222.222.222.222
222.222.222.222 OK
# блокировать IP 111.111.111.111
111.111.111.111 REJECT
#
#
Если идет отлуп по HELO то аналогично:
в файл main.cf
smtpd_helo_restrictions = check_helo_access hash:/etc/postfix/helo_access,
файл /etc/postfix/helo_access,
#
# раpрешить ip 222.222.222.222
222.222.222.222 OK
# блокировать IP 111.111.111.111
111.111.111.111 REJECT
$
Примечание: если есть сравнение то далее в секции smtpd_client_restrictions =
(smtpd_helo_restrictions = )ничего не выполняется и идет переход к следующему блоку.
Почитайте:
http://www.maxblogs.ru/articles/primenenie-ogranichenii-smtp...
> Ладно разжую подробнее:Прежде чем "разжевывать", надо сначала прочитать внимательно вопрос.
Ты его понял не верно, но считаешь что понял и продолжаешь топикстартера укреплять в его заблуждениях.
>> Ладно разжую подробнее:
> Прежде чем "разжевывать", надо сначала прочитать внимательно вопрос.
> Ты его понял не верно, но считаешь что понял и продолжаешь топикстартера
> укреплять в его заблуждениях.Слушай. Ты чего пристал?
Я 14 лет админю постфикс и прекрасно знаю, что лучше раз показать пальцем
чем слушать твою пустую трескотню.
>>> Ладно разжую подробнее:
>> Прежде чем "разжевывать", надо сначала прочитать внимательно вопрос.
>> Ты его понял не верно, но считаешь что понял и продолжаешь топикстартера
>> укреплять в его заблуждениях.
> Слушай. Ты чего пристал?
> Я 14 лет админю постфиксПошли за угол, померяемся, кто сколько админит.
> и прекрасно знаю, что лучше раз показать
> пальцем чем слушать твою пустую трескотню.При этом научиться показывать правильно - 14 лет тебе не хватило.
Ты его понял не верно, но считаешь что понял и продолжаешь топикстартера укреплять в его заблуждениях. В отличие от моей, твоя трескотня не пустая, а вредная.
Попробуй перечитать начало топика.
>[оверквотинг удален]
>> Слушай. Ты чего пристал?
>> Я 14 лет админю постфикс
> Пошли за угол, померяемся, кто сколько админит.
>> и прекрасно знаю, что лучше раз показать
>> пальцем чем слушать твою пустую трескотню.
> При этом научиться показывать правильно - 14 лет тебе не хватило.
> Ты его понял не верно, но считаешь что понял и продолжаешь топикстартера
> укреплять в его заблуждениях. В отличие от моей, твоя трескотня не
> пустая, а вредная.
> Попробуй перечитать начало топика.Вот бы и объяснил человеку. А не задавал встречные непонятные вопросы
разводя бодягу на несколько комментов. Или в радость?
> Вот бы и объяснил человеку. А не задавал встречные непонятные
> вопросы
> разводя бодягу на несколько комментов. Или в радость?А тебе в радость комментами отправлять человека на неверный путь?
>> Вот бы и объяснил человеку. А не задавал встречные непонятные
>> вопросы
>> разводя бодягу на несколько комментов. Или в радость?
> А тебе в радость комментами отправлять человека на неверный путь?В последнем коменте я сделал поправку на HELO.
Теперь твоя очередь ВНИМАТЕЛЬНО читать коменты.
>>> Вот бы и объяснил человеку. А не задавал встречные непонятные
>>> вопросы
>>> разводя бодягу на несколько комментов. Или в радость?
>> А тебе в радость комментами отправлять человека на неверный путь?
> В последнем коменте я сделал поправку на HELO.
> Теперь твоя очередь ВНИМАТЕЛЬНО читать коменты.Ну п-ц, после того как тебя носом потыкали - поправил коммент и теперь сам тыкаешь "так всегда было". Молодец, так дальше и делай.
> Упрямо реджектит почту от "IP без имени хоста":
> "Helo command rejected: Host not found"Покажите полностью строку с ошибкой из лога - с helo и прочим.
>> Упрямо реджектит почту от "IP без имени хоста":
>> "Helo command rejected: Host not found"
> Покажите полностью строку с ошибкой из лога - с helo и прочим.Apr 20 15:55:31 leg2 postfix/smtpd[55403]: NOQUEUE: reject: RCPT from unknown[185.12.155.29]: 450 4.7.1 <login-tomcat2-gpt-msk.int.1s.ru>: Helo command rejected: Host not found; from=<webmaster@1c.ru> to=<****************> proto=ESMTP helo=<login-tomcat2-gpt-msk.int.1s.ru>
Apr 20 15:55:31 leg2 postfix/smtpd[55403]: disconnect from unknown[185.12.155.29] ehlo=1 mail=1 rcpt=0/1 data=0/1 rset=1 quit=1 commands=4/6
Apr 20 15:55:31 leg2 postfix/smtpd[55403]: connect from unknown[185.12.155.29]Apr 20 15:55:31 leg2 postfix/smtpd[55403]: NOQUEUE: reject: RCPT from unknown[185.12.155.29]: 450 4.7.1 <login-tomcat2-gpt-msk.int.1s.ru>: Helo command rejected: Host not found; from=<webmaster@1c.ru> to=<****************> proto=ESMTP helo=<login-tomcat2-gpt-msk.int.1s.ru>
Apr 20 15:55:31 leg2 postfix/smtpd[55403]: disconnect from unknown[185.12.155.29] ehlo=1 mail=1 rcpt=0/1 data=0/1 rset=1 quit=1 commands=4/6
> Apr 20 15:55:31 leg2 postfix/smtpd[55403]: NOQUEUE: reject: RCPT from unknown[185.12.155.29]:
> 450 4.7.1 <login-tomcat2-gpt-msk.int.1s.ru>: Helo command rejected: Host not found; from=<webmaster@1c.ru>
> to=<****************> proto=ESMTP helo=<login-tomcat2-gpt-msk.int.1s.ru>Добавьте в smtpd_helo_restrictions (перед теми тремя правилами, которые вы комментировали чтобы начало пускать клиента) правило check_client_access и в уже в этот файл добавьте этот IP. Или же можно добавить в качестве файла для check_client_access тот же файл (client_access) в который вы уже добавили эту запись. И ничего страшного, если этот файл уже есть в другом smtpd_*_restrictions
>> Apr 20 15:55:31 leg2 postfix/smtpd[55403]: NOQUEUE: reject: RCPT from unknown[185.12.155.29]:
>> 450 4.7.1 <login-tomcat2-gpt-msk.int.1s.ru>: Helo command rejected: Host not found; from=<webmaster@1c.ru>
>> to=<****************> proto=ESMTP helo=<login-tomcat2-gpt-msk.int.1s.ru>
> Добавьте в smtpd_helo_restrictions (перед теми тремя правилами, которые вы комментировали
> чтобы начало пускать клиента) правило check_client_access и в уже в этот
> файл добавьте этот IP. Или же можно добавить в качестве файла
> для check_client_access тот же файл (client_access) в который вы уже добавили
> эту запись. И ничего страшного, если этот файл уже есть в
> другом smtpd_*_restrictionsСПАСИБО, ОБЪЯСНИЛИ ПО-ЧЕЛОВЕЧЕСКИ!
РАБОТАЕТ!