помогите прописать правильные параметры.

Общие вопросы по установке и настройке сервера Postfix.
Писать в этот форум могут только зарегистрированные пользователи.

Модераторы: prefer, alexandrnew, ALex_hha, Roman, Axel

Mosson
Внёс свой вклад...
Внёс свой вклад...
Сообщения: 21
Зарегистрирован: 14 июн 2007, 11:31

помогите прописать правильные параметры.

Сообщение Mosson » 12 сен 2007, 15:16

Hi all
очень прошу не посылайте далеко...

пытаюсь бороться со спамом силами postfix. из 4 разных мануальчиков надергал всякого... компот конечно получился, но вроде неплохо пока :) из 15000 писем 10000-11000 выбраковывается 8).

для полного счастья не хватает двух вещей:
1. не получать почту для несуществующих адресов/пользоветелей из /etc/passwd (у меня настроено дублирование всей почты на спецульный ящик). если ставлю local_recipient_maps = unix:passwd.byname локальная почта перестает ходить :(
2. как прикрутить проверку через DNS? чтоб такие заголовки не получать:
Received: from 207.97.245.97 (HELO mx2.emailsrvr.com)
то есть имя и ip не совпадают


я понимаю, что вопрос скорее всего тупой и надо читать маны, но сил уже больше нет :cry:

буду очень благодарен тому, кто просто напишет что и куда надо прописать/скопировать... :oops:

ALex_hha
Moderator
Moderator
Сообщения: 2347
Зарегистрирован: 09 ноя 2006, 13:08
Откуда: Украина. Харьков.

Сообщение ALex_hha » 13 сен 2007, 09:54

если ставлю local_recipient_maps = unix:passwd.byname локальная почта перестает ходить Sad
покажи лог МТА при отправки письма
2. как прикрутить проверку через DNS? чтоб такие заголовки не получать:
Received: from 207.97.245.97 (HELO mx2.emailsrvr.com)
то есть имя и ip не совпадают
не стоит отбрасывать из-за несоответствия обратной и прямой зон, имхо

shurutov
Новичок
Новичок
Сообщения: 8
Зарегистрирован: 13 сен 2007, 11:24
Откуда: Мск

Re: помогите прописать правильные параметры.

Сообщение shurutov » 13 сен 2007, 13:12

Mosson писал(а):1. не получать почту для несуществующих адресов/пользоветелей из
Не оно случаем: http://www.postfix.org/postconf.5.html# ... _recipient? Кстати, при использовании этого параметра, имхо имеет смысл вот этотВыставить в 550. Ибо нефиг.
Mosson писал(а):2. как прикрутить проверку через DNS? чтоб такие заголовки не получать:
Received: from 207.97.245.97 (HELO mx2.emailsrvr.com)
то есть имя и ip не совпадают
Присоединюсь к предыдущему оратору - не стоит проводить такую проверку. По опыту, весьма печальному, скажу, что вообще проверка HELO - дело гнилое напрочь при активной работе с зарубежными, особенно американскими, партнерами. :( Ибо они не утруждают себя корректной настройкой почтовых серверов и в хело может быть все, что угодно. :( localhost.localdomain или IP-адрес в HELO жутко нужных начальству писем - нормальное явление. :(
С уважением,
Шурутов Михаил

Mosson
Внёс свой вклад...
Внёс свой вклад...
Сообщения: 21
Зарегистрирован: 14 июн 2007, 11:31

Сообщение Mosson » 13 сен 2007, 14:42

спасибо за отклик.

1. логи получить проблематично - очень много хрени туда валится...
Не оно случаем: http://www.postfix.org/postconf.5.html# ... _recipient? Кстати, при использовании этого параметра, имхо имеет смысл вот этотВыставить в 550. Ибо нефиг.
оно :). но сразу появилась новая проблема - перестала посылаться почта на mail.ru и еще некоторые сервера... :(
пока выключил. вечерком включу и логи выложу.

2. уговорили. в эту сторону гайки закручивать не буду :)

shurutov
Новичок
Новичок
Сообщения: 8
Зарегистрирован: 13 сен 2007, 11:24
Откуда: Мск

Сообщение shurutov » 14 сен 2007, 08:25

Mosson писал(а):спасибо за отклик.

1. логи получить проблематично - очень много хрени туда валится...
Не оно случаем: http://www.postfix.org/postconf.5.html# ... _recipient? Кстати, при использовании этого параметра, имхо имеет смысл вот этотВыставить в 550. Ибо нефиг.
оно :). но сразу появилась новая проблема - перестала посылаться почта на mail.ru и еще некоторые сервера... :(
У тебя доходит проверка отправляемой с твоего домена почты до проверки реципиента - этого быть не должно, давай-ка кусок main.cf, не весь, а клиент/хело/сендер_рестрикшены.
С уважением,
Шурутов Михаил

ALex_hha
Moderator
Moderator
Сообщения: 2347
Зарегистрирован: 09 ноя 2006, 13:08
Откуда: Украина. Харьков.

Сообщение ALex_hha » 14 сен 2007, 09:37

1. логи получить проблематично - очень много хрени туда валится...
ну так отфильтруй по queue id, например
# cat maillog | grep DF0705FD6B
Sep 14 09:35:46 net postfix/smtpd[27048]: DF0705FD6B: client=nissan-kv.akko.com.ua[212.42.65.50]
Sep 14 09:35:47 net postfix/cleanup[22268]: DF0705FD6B: message-id=<198334090198.134017630078@allpaintinginc.com>
Sep 14 09:35:47 net postfix/qmgr[7926]: DF0705FD6B: from=<Doichinpierobon@allpaintinginc.com>, size=1122, nrcpt=2 (queue active)
Sep 14 09:35:50 net postfix/pipe[6668]: DF0705FD6B: to=<backup@domain.com.ua>, relay=myfilter, delay=7, status=sent (dummy)
Sep 14 09:35:50 net postfix/pipe[6668]: DF0705FD6B: to=<nikolay@domain.com.ua>, relay=myfilter, delay=7, status=sent (dummy)
Sep 14 09:35:50 net postfix/qmgr[7926]: DF0705FD6B: removed
давай-ка кусок main.cf, не весь, а клиент/хело/сендер_рестрикшены.
уж лучше вывод команды postconf -n

Mosson
Внёс свой вклад...
Внёс свой вклад...
Сообщения: 21
Зарегистрирован: 14 июн 2007, 11:31

Сообщение Mosson » 17 сен 2007, 07:38

вот.
postconf -n

always_bcc = double@detali-mashin.ru
biff = no
config_directory = /etc/postfix
daemon_directory = /usr/libexec/postfix
empty_address_recipient = MAILER-DAEMON
html_directory = no
local_recipient_maps =
local_transport = local
mail_owner = postfix
mailbox_size_limit = 1000000000
mailq_path = /usr/bin/mailq
manpage_directory = /usr/local/man
message_size_limit = 5000000
mydestination = $mydomain, backup.apksouz.ru, amsm7.ru, detali-mashin.ru, avtomagistral.com, localhost, apksoyuz.ru, gksoyuz.ru, komautort.ru, komavtort.ru, komtransrt.ru, autom7.ru, avtom7.ru
mydomain = apksouz.ru
myhostname = mail.apksouz.ru
mynetworks = 127.0.0.0/8, 192.168.0.0/24
myorigin = $myhostname
newaliases_path = /usr/bin/newaliases
queue_directory = /var/spool/postfix
queue_minfree = 120000000
readme_directory = no
relay_domains =
sample_directory = /etc/postfix
sendmail_path = /usr/sbin/sendmail
setgid_group = postdrop
smtp_cname_overrides_servername = no
smtpd_banner = $myhostname ESMTP
smtpd_client_restrictions = permit_mynetworks check_helo_access pcre:$config_directory/_helo_checks reject_rbl_client dul.ru
smtpd_policy_service_max_idle = 3600s
smtpd_policy_service_max_ttl = 3600s
smtpd_recipient_restrictions = reject_unverified_recipient reject_unknown_recipient_domain reject_unknown_sender_domain reject_non_fqdn_recipient permit_mynetworks check_helo_access pcre:$config_directory/_helo_checks reject_unlisted_recipient reject_unknown_address reject_unauth_destination
smtpd_reject_unlisted_recipient = yes
smtpd_reject_unlisted_sender = yes
smtpd_sender_restrictions = reject_unknown_sender_domain reject_non_fqdn_sender permit_mynetworks check_sender_mx_access cidr:$config_directory/_mx_access check_helo_access pcre:$config_directory/_helo_checks
transport_maps = hash:/etc/postfix/transport
unverified_recipient_reject_code = 550

shurutov
Новичок
Новичок
Сообщения: 8
Зарегистрирован: 13 сен 2007, 11:24
Откуда: Мск

Сообщение shurutov » 17 сен 2007, 07:59

Mosson писал(а):smtpd_sender_restrictions = reject_unknown_sender_domain
Жесть, как она есть. У тебя КАЖДАЯ машинка имеет домен?!Имхо, сначала permit_mynetworks, потом уже резать по неизвестному домену отправителя.
С уважением,
Шурутов Михаил

Mosson
Внёс свой вклад...
Внёс свой вклад...
Сообщения: 21
Зарегистрирован: 14 июн 2007, 11:31

Сообщение Mosson » 17 сен 2007, 08:27

моя сетка 192.168.

_mx_access

#одержит список приватных сетей, которые по всем канонам глобальной сети интернет не могут быть использованы в качестве IP для MX записей:
#Структура:

127.0.0.1 DUNNO
127.0.0.2 550 Domains not registered properly. Can't assign requested address
0.0.0.0/8 REJECT Domain MX in broadcast network
10.0.0.0/8 REJECT Domain MX in RFC 1918 private network
127.0.0.0/8 REJECT Domain MX in loopback network
169.254.0.0/16 REJECT Domain MX in link local network
172.16.0.0/12 REJECT Domain MX in RFC 1918 private network
192.0.2.0/24 REJECT Domain MX in TEST-NET network
192.168.0.0/16 REJECT Domain MX in RFC 1918 private network
224.0.0.0/4 REJECT Domain MX in class D multicast network
240.0.0.0/5 REJECT Domain MX in class E reserved network
248.0.0.0/5 REJECT Domain MX in reserved network



_hello_check

/^((detali-mashin|apksoyuz|gksoyuz|komautort|komavtotr|komtransrt|autom7|avtom7|amsm7|apksouz|localhost)\.ru)$/ REJECT Its my hostname ($1)
/^mail\.((detali-mashin|apksoyuz|gksoyuz|komautort|komavtotr|komtransrt|autom7|avtom7|amsm7|apksouz|localhost)\.ru)$/ REJECT Its my hostname ($1)
/^\[?10\.\d{1,3}\.\d{1,3}\.\d{1,3}\]?$/ REJECT Address in RFC 1918 private network
# пришлось убрать. что-то не работало :)
#/^\[?192\.\d{1,3}\.\d{1,3}\.\d{1,3}\]?$/ REJECT Address in RFC 1918 private network
/^\[?169\.254\.\d{1,3}\.\d{1,3}\]?$/ REJECT Address in RFC 1918 private network
/^\[?172\.\d{1,3}\.\d{1,3}\.\d{1,3}\]?$/ REJECT Address in RFC 1918 private network
/(localhost|ns(0-9)\.|dynamic|modem|dia(l|lup)|cp[ce]|dsl|p[cp]p|cable|catv|poo(l|les)|pppoe|dhcp|client|customer|user|host|[0-9]{4,})(-|_|\.|[0-9])/ REJECT Invalid hostname (client)
/[0-9]+-[0-9]+/ REJECT Invalid hostname (D-D)

shurutov
Новичок
Новичок
Сообщения: 8
Зарегистрирован: 13 сен 2007, 11:24
Откуда: Мск

Сообщение shurutov » 17 сен 2007, 08:31

Сетка: 192.168.
А у тебя в mynetworks 192.168.0.
Выставь правильную маску в mynetworks
С уважением,
Шурутов Михаил

Mosson
Внёс свой вклад...
Внёс свой вклад...
Сообщения: 21
Зарегистрирован: 14 июн 2007, 11:31

Сообщение Mosson » 17 сен 2007, 09:58

shurutov писал(а):Сетка: 192.168.
А у тебя в mynetworks 192.168.0.
Выставь правильную маску в mynetworks
там правильно стоит. я в посте ошибся :oops:

Mosson
Внёс свой вклад...
Внёс свой вклад...
Сообщения: 21
Зарегистрирован: 14 июн 2007, 11:31

Сообщение Mosson » 17 сен 2007, 10:02

сделал вот так

smtpd_recipient_restrictions = permit_mynetworks reject_unauth_pipelining reject_unverified_recipient reject_unknown_recipient_domain reject_unknown_sender_domain reject_non_fqdn_recipient check_helo_access pcre:$config_directory/_helo_checks reject_unlisted_recipient reject_unknown_address reject_unauth_destination
smtpd_sender_restrictions = permit_mynetworks reject_unknown_sender_domain reject_non_fqdn_sender check_sender_mx_access cidr:$config_directory/_mx_access check_helo_access pcre:$config_directory/_helo_checks

так правильно?
почта вроде нормально пошла. еще потестирую...

Mosson
Внёс свой вклад...
Внёс свой вклад...
Сообщения: 21
Зарегистрирован: 14 июн 2007, 11:31

Сообщение Mosson » 21 сен 2007, 08:38

БОЛЬШОЕ спасибо всем, кто откликнулся.
меня устраивает работа сервака
статистика говорит сама за себя :)

Per-Day Traffic Summary
date received delivered deferred bounced rejected
--------------------------------------------------------------------
Sep 16 2007 119 0 0 0 560
Sep 17 2007 1362 0 0 0 8416
Sep 18 2007 1948 0 0 0 11504
Sep 19 2007 1890 0 0 0 15400
Sep 20 2007 1732 0 0 0 10642
Sep 21 2007 146 0 0 0 1140

fox_m
Новичок
Новичок
Сообщения: 19
Зарегистрирован: 30 мар 2006, 08:06

Сообщение fox_m » 21 сен 2007, 19:07

Может не совсем в тему, но почему бы Вам не воспользоваться системой grey list? Во-первых спама будет гораздо меньше, во-вторых на трафике сэкономите, в-третьих нагрузка на сервер снизится. Единственный минус - почта будет дольше доходить. Сам использую grey list и пока все замечательно жалоб практически не поступает, пользователей ~500.

ALex_hha
Moderator
Moderator
Сообщения: 2347
Зарегистрирован: 09 ноя 2006, 13:08
Откуда: Украина. Харьков.

Сообщение ALex_hha » 22 сен 2007, 09:06

Per-Day Traffic Summary
date received delivered deferred bounced rejected
--------------------------------------------------------------------
Sep 16 2007 119 0 0 0 560
Sep 17 2007 1362 0 0 0 8416
Sep 18 2007 1948 0 0 0 11504
Sep 19 2007 1890 0 0 0 15400
Sep 20 2007 1732 0 0 0 10642
Sep 21 2007 146 0 0 0 1140
за 6 дней НИОДНОГО доставленного (delivered) письма это нормально???

Ответить