https://www.opennet.me/openforum/vsluhforumID1/83578.html Добрый день, уважаемые посетители!<br>Есть два важных вопроса по постфикс.<br>1) Многим наверное известна ситуация: Для домена есть две МХ записи - основной и резервный МХ. Все работает чудесно, в случае падения первого МХ второй накапливает в себе почту. Но есть спамеры, которые этим пользуются. Подло шлют тонны писем на резервный МХ, и практически оставляют без внимания основной. Таким образом они пытаются обмануть защиту от спама, т.к. резервный МХ в принципе является доверенным доверенным для первого.<br>Из вариантов борьбы я знаю только вариант дописания третьего МХ, который на самом деле смотрит на первый. Но этот нехитрый трюк обманывает только часть спамеров. Не подскажете, как все же быть? Нет ли у постфикса такой штуки, которая могла при получении письма для на втором МХ проверяла доступность первого, и в случае его доступности посылала спамера куда подальше? В EXIM такая фича, если не ошибаюсь, есть.<br>2) В EXIM есть еще такая очень полезная опция "delay", которая задерживает ответ сервера после установле https://www.opennet.me/openforum/vsluhforumID1/83578.html#16 Thu, 08 Jan 2009 16:51:57 GMT &gt;&gt;&gt; А как применить данное утверждение, если в домене пару тысяч юзеров? Я понимаю, хорошо конечно на всех МХ-ах знать всех пользователей,<br>&gt;<br>&gt; Ldap используйте для этого. Ни и репликацию настраивайте, если у вас <br>&gt;так серьезно. <br>&gt; А в противном случае получайте кучу мусора. Интересно, сколько у вас <br>&gt;такого добра в гигабайтах в месяц выходит? <br>&gt;<br>&gt; &gt;&gt; На мой взгляд все же проще резервному МХ спрашивать у основного "эй, мужик, ты живой?" и если он живой, то просто не релеить для него почту.<br>&gt;<br>&gt; А вот это какой огород. <br><br>А это в огород самого первого вопроса, если вы его читали. Он звучал как, как сделать так, чтоб вторичный МХ не релеил почту пока жив основной, потому что спамеры шлют почту для домена через резервный МХ. Понятное дело что спам не проходит все-равно, вопрос в лишнем потоке через вторичный МХ, тогда, когда его там быть не должно.<br> https://www.opennet.me/openforum/vsluhforumID1/83578.html#15 Thu, 08 Jan 2009 14:50:03 GMT &gt;&gt; А как применить данное утверждение, если в домене пару тысяч юзеров? Я понимаю, хорошо конечно на всех МХ-ах знать всех пользователей,<br><br> Ldap используйте для этого. Ни и репликацию настраивайте, если у вас так серьезно.<br> А в противном случае получайте кучу мусора. Интересно, сколько у вас такого добра в гигабайтах в месяц выходит?<br><br> &gt;&gt; На мой взгляд все же проще резервному МХ спрашивать у основного "эй, мужик, ты живой?" и если он живой, то просто не релеить для него почту.<br><br> А вот это какой огород.<br> https://www.opennet.me/openforum/vsluhforumID1/83578.html#14 Thu, 08 Jan 2009 14:11:00 GMT &gt;&gt;&gt; Он ничего не знает о пользователях домена, он просто передает весь поток другому хосту<br>&gt;<br>&gt; Вот в этом и ошибка. <br>&gt;<br>&gt; http://www.freesource.info/wiki/Dokumentacija/Postfix/BackupMX& <br><br>А как применить данное утверждение, если в домене пару тысяч юзеров? Я понимаю, хорошо конечно на всех МХ-ах знать всех пользователей, но... В таком случае надо либо хранить виртуальных пользователей централизованно, либо синхронизировать базу между всеми участниками обработки почты для домена. В принципе репликацией (my&#124;pg)sql это сделать можно, но схема получается уже не простая. <br>На мой взгляд все же проще резервному МХ спрашивать у основного "эй, мужик, ты живой?" и если он живой, то просто не релеить для него почту.<br> https://www.opennet.me/openforum/vsluhforumID1/83578.html#13 Thu, 08 Jan 2009 07:04:46 GMT &gt;&gt; Он ничего не знает о пользователях домена, он просто передает весь поток другому хосту<br><br> Вот в этом и ошибка.<br><br> http://www.freesource.info/wiki/Dokumentacija/Postfix/BackupMX&<br> https://www.opennet.me/openforum/vsluhforumID1/83578.html#12 Wed, 07 Jan 2009 17:17:40 GMT &gt;&gt;&gt; Само собой, уважаемый. Принцип работы резервного МХ такой. Ему позволено релеить почту для домена,<br>&gt;<br>&gt; Но при этом он не должен принимать почту для несуществующих <br>&gt;пользователей домена. <br>&gt; А у вас она скорее всего принимается. <br><br>Он должен принимать всю почту. Он ничего не знает о пользователях домена, он просто передает весь поток другому хосту. Все. <br>Проблему решил. Всем спасибо! :)<br>ЗЫ. Если кто-то может что-то конструктивное сказать - говорите.<br> https://www.opennet.me/openforum/vsluhforumID1/83578.html#11 Wed, 07 Jan 2009 14:52:41 GMT &gt;&gt; Само собой, уважаемый. Принцип работы резервного МХ такой. Ему позволено релеить почту для домена,<br><br> Но при этом он не должен принимать почту для несуществующих пользователей домена.<br> А у вас она скорее всего принимается.<br> https://www.opennet.me/openforum/vsluhforumID1/83578.html#10 Wed, 07 Jan 2009 13:23:22 GMT &gt;&gt;"однажды прошедшие проверку" хосты больше не задерживались? Их то-ли в базу <br>&gt;&gt;как-то заносить надо, или в памяти держать... <br>&gt;<br>&gt;Я наверно чего-то не понимаю, но я бы сделал просто greylist. <br>&gt;Sleep убрал бы вообще, не замечал я высокую эффективность данной опции (но <br>&gt;это, как говорится сугубо личное). <br><br>Грейлистинг - это хорошо, но накладные расходы слишком велики. Задержка валидной почты мне очень не нравится. А "держать на уме" мегабайт двести мусора, так и подавно... В вот метод delay = 10s в Екзиме мне понравился. Сразу видно в логах что метод красивенно работает. Интересно стало узнать об аналогиях в Постфиксе. Исключительно познавательный интерес. <br> https://www.opennet.me/openforum/vsluhforumID1/83578.html#9 Wed, 07 Jan 2009 13:10:15 GMT &gt;&gt;&gt; Подло шлют тонны писем на резервный МХ, <br>&gt;<br>&gt; А что у вас проверки получателя на backup mx нет? <br>&gt; И тот весь мусор вместо reject-a перенаправляет на основной? <br><br>Само собой, уважаемый. Принцип работы резервного МХ такой. Ему позволено релеить почту для домена, резервным для которого он является. Тоесть в ДНС прописано МХ 10 mainmx.domain.tld и MX 20 secondarymx.domain.tld. Так вот в общем случае на вторичном МХ должно быть прописано что relay_domains = domain.tld и в транспортах<br>domain.tld smtp:[mainmx.domain.tld]<br>если хотим релеить почту ИМЕННО в mainmx.domain.tld либо же просто <br>domain.tld relay<br>чтоб он заглядывал в ДНС для поиска подходящего МХ.<br>И так оно все отлично работает. Если первичный МХ упал, то мыло идет на вторичный, который в свою очередь не может сразу отдать ее первичному и держит ее в очереди (deffered). Таким образом мыло не теряется. (В общем случае справедливо заметить что и без резервного МХ она пропасть не должна. Любой _нормальный_ почтовый сервер будет держать ее у себя не https://www.opennet.me/openforum/vsluhforumID1/83578.html#8 Wed, 07 Jan 2009 08:31:43 GMT &gt;&gt; Подло шлют тонны писем на резервный МХ, <br><br> А что у вас проверки получателя на backup mx нет?<br> И тот весь мусор вместо reject-a перенаправляет на основной?<br>