Access table и rbl-листы

Общие вопросы по установке и настройке сервера Postfix.
Писать в этот форум могут только зарегистрированные пользователи.

Модераторы: prefer, alexandrnew, ALex_hha, Roman, Axel

Kamikadze
Postfix знает
Postfix знает
Сообщения: 85
Зарегистрирован: 01 июн 2006, 07:09

Access table и rbl-листы

Сообщение Kamikadze » 06 окт 2006, 06:37

Для борьбы со спамом работает такая схема:
smtpd_client_restrictions =
permit_mynetworks,
reject_non_fqdn_sender,
reject_rbl_client list.dsbl.org,
reject_rbl_client bl.spamcop.net,
reject_rbl_client combined.njabl.org,
reject_rbl_client rhsbl.ahbl.org,
reject_rbl_client multi.surbl.org,
reject_rbl_client relays.ordb.org,
reject_rbl_client sbl-xbl.spamhaus.org,
reject_invalid_hostname,
reject_unknown_sender_domain

smtpd_sender_restrictions =
permit_mynetworks,
reject_non_fqdn_sender,
reject_rbl_client list.dsbl.org,
reject_rbl_client bl.spamcop.net,
reject_rbl_client combined.njabl.org,
reject_rbl_client rhsbl.ahbl.org,
reject_rbl_client multi.surbl.org,
reject_rbl_client relays.ordb.org,
reject_rbl_client sbl-xbl.spamhaus.org,
reject_invalid_hostname,
reject_unknown_sender_domain

smtpd_recipient_restrictions =
reject_unlisted_recipient,
permit_mynetworks,
permit_mx_backup,
reject_non_fqdn_recipient,
reject_unauth_destination


все работает замечательно, но почтовые домены некоторых наших клиентов попадают в rbl-листы и ихняя почта режектилась.
для решения проблемы, были добавлены строчки в
smtpd_client_restrictions и smtpd_sender_restrictions перед rbl-листами, в которые прописали:

check_sender_access hash:/etc/postfix/access_client

в созданный файл access_client, добавли строчки
pupkin@mail.ru OK
vasya@mail.ru REJECT
сделали postmap и смотрим на результат. по идее, адрес с ОК должен пройти проверки, даже если он пристутствует в rbl-листах. однако этого не происходит. т.е., если домен mail.ru присутсвует в rbl-листе, то адрес pupkin@mail.ru будет зарежектен, хотя и имеет статус ОК.

как быть ? где я не прав ?

VPF
Новичок
Новичок
Сообщения: 13
Зарегистрирован: 03 окт 2006, 09:36
Откуда: Димитровград

Сообщение VPF » 06 окт 2006, 07:48

check_sender_access hash:/etc/postfix/access_client
исправь

check_client_access

VPF
Новичок
Новичок
Сообщения: 13
Зарегистрирован: 03 окт 2006, 09:36
Откуда: Димитровград

Сообщение VPF » 06 окт 2006, 08:04

Ещё можно добавить

smtpd_helo_restrictions =
permit_mynetworks,
reject_non_fqdn_hostname,
reject_invalid_hostname

Kamikadze
Postfix знает
Postfix знает
Сообщения: 85
Зарегистрирован: 01 июн 2006, 07:09

Сообщение Kamikadze » 06 окт 2006, 08:38

VPF писал(а):
check_sender_access hash:/etc/postfix/access_client
исправь

check_client_access
не понял. у меня и так прописано:
smtpd_client_restrictions =
permit_mynetworks,
check_client_access hash:/etc/postfix/access_client,
reject_non_fqdn_sender,
.....

smtpd_sender_restrictions =
permit_mynetworks,
check_sender_access hash:/etc/postfix/access_client,
reject_non_fqdn_sender,
....

т.е. в соответствующих проверках check_*_access прописан соответсвующий.

suid
Внёс свой вклад...
Внёс свой вклад...
Сообщения: 23
Зарегистрирован: 20 сен 2006, 07:37

Re: Access table и rbl-листы

Сообщение suid » 06 окт 2006, 10:48

Kamikadze писал(а):однако этого не происходит. т.е., если домен mail.ru присутсвует в rbl-листе, то адрес pupkin@mail.ru будет зарежектен, хотя и имеет статус ОК.

как быть ? где я не прав ?
Сам же писал что ДОМЕНЫ присутствуют в rbl :)
пропиши не email а домен

mx.mail.ru OK

постфикс при проверке через rbl откидывает на уровне соединения, т.е. при получении mx.mail.ru и отбое до емайла дело не доходит уже.

у меня так работало, пока не переделал :)

P.S.
вот для примера кусок лога отбоя

Код: Выделить всё

postfix/smtpd&#91;14379&#93;&#58; NOQUEUE&#58; reject&#58; RCPT from 0x3e42aba8.adsl.cybercity.dk&#91;62.66.171.168&#93;&#58; 554 5.7.1 Service unavailable; Client host &#91;62.66.171.168&#93; blocked using bl.spamcop.net; Blocked - see http&#58;//www.spamcop.net/bl.shtml?62.66.171.168; from=<5868stocknews@travelvouchers.com> to=<мой_мыл> proto=ESMTP helo=<0x3e42aba8.adsl.cybercity.dk>

Kamikadze
Postfix знает
Postfix знает
Сообщения: 85
Зарегистрирован: 01 июн 2006, 07:09

Re: Access table и rbl-листы

Сообщение Kamikadze » 06 окт 2006, 11:47

suid писал(а):
Kamikadze писал(а):однако этого не происходит. т.е., если домен mail.ru присутсвует в rbl-листе, то адрес pupkin@mail.ru будет зарежектен, хотя и имеет статус ОК.

как быть ? где я не прав ?
Сам же писал что ДОМЕНЫ присутствуют в rbl :)
пропиши не email а домен

mx.mail.ru OK

постфикс при проверке через rbl откидывает на уровне соединения, т.е. при получении mx.mail.ru и отбое до емайла дело не доходит уже.

у меня так работало, пока не переделал :)

P.S.
вот для примера кусок лога отбоя

Код: Выделить всё

postfix/smtpd&#91;14379&#93;&#58; NOQUEUE&#58; reject&#58; RCPT from 0x3e42aba8.adsl.cybercity.dk&#91;62.66.171.168&#93;&#58; 554 5.7.1 Service unavailable; Client host &#91;62.66.171.168&#93; blocked using bl.spamcop.net; Blocked - see http&#58;//www.spamcop.net/bl.shtml?62.66.171.168; from=<5868stocknews@travelvouchers.com> to=<мой_мыл> proto=ESMTP helo=<0x3e42aba8.adsl.cybercity.dk>
а зачем мне весь домен из черного списка, когда мне нужен только один адрес из этого домена ? т.е. задача такая: блокировать весь домен, если он присутствует в rbl, но некоторые адреса из этого домена проверять.

ЗЫ лог у тебя красисивый. :) у меня - тоже, суточный лог на 70 М.

synapse
Член клуба
Член клуба
Сообщения: 156
Зарегистрирован: 04 авг 2006, 15:54

Сообщение synapse » 06 окт 2006, 13:34

юзай smtpd_restriction_classes
классная штука, такая гибкая
http://www.elantech.ru/docs/postfix-doc ... EADME.html

Kamikadze
Postfix знает
Postfix знает
Сообщения: 85
Зарегистрирован: 01 июн 2006, 07:09

Сообщение Kamikadze » 09 окт 2006, 05:53

synapse писал(а):юзай smtpd_restriction_classes
классная штука, такая гибкая
http://www.elantech.ru/docs/postfix-doc ... EADME.html
я уже смотрел в ту сторону. но меня смущает, что везде в примерах Postfix restriction classes идет разговор только об адресах для которых принимается почта. а не исходящих адресах.

suid
Внёс свой вклад...
Внёс свой вклад...
Сообщения: 23
Зарегистрирован: 20 сен 2006, 07:37

Re: Access table и rbl-листы

Сообщение suid » 09 окт 2006, 07:35

Kamikadze писал(а): а зачем мне весь домен из черного списка, когда мне нужен только один адрес из этого домена ? т.е. задача такая: блокировать весь домен, если он присутствует в rbl, но некоторые адреса из этого домена проверять.
на сколько я понимаю маны постфикса, отбой от rbl идёт по имени или ip сервера спамера, в основном по айпи, а значит в самом начале соединения и отдельный адрес емайл пропустить не получится. если я не прав было бы здорово :)
что бы отфильтровать отдельный адрес надо почту получать от всего домена и дальше уже отсеивать какими-либо фильтрами, спамассасином или дспамом ну или самим постфиксом.

Kamikadze
если получится сделать как ты хочешь обязательно напиши решение, интересно :)

а smtpd_restriction_classes удобны тем что можно каждому ящику твоему сделать свои правила, фильтровать ли через rbl, получать ли от unknown host и всё в этом духе, у метя таки есть клиенты которые без спама жить не могут и если им валится мало спама считают что почта плохо работает :)
приходится крутиться

Kamikadze
Postfix знает
Postfix знает
Сообщения: 85
Зарегистрирован: 01 июн 2006, 07:09

Re: Access table и rbl-листы

Сообщение Kamikadze » 09 окт 2006, 07:54

suid писал(а):
Kamikadze писал(а): а зачем мне весь домен из черного списка, когда мне нужен только один адрес из этого домена ? т.е. задача такая: блокировать весь домен, если он присутствует в rbl, но некоторые адреса из этого домена проверять.
Kamikadze
если получится сделать как ты хочешь обязательно напиши решение, интересно :)

а smtpd_restriction_classes удобны тем что можно каждому ящику твоему сделать свои правила, фильтровать ли через rbl, получать ли от unknown host и всё в этом духе, у метя таки есть клиенты которые без спама жить не могут и если им валится мало спама считают что почта плохо работает :)
приходится крутиться
т.е. я правильно понимаю, что smtpd_restriction_classes касается только почтовых ящиков из моих доменов (их у меня много одним сервером обслуживается) ?

что касается приема почты из всего rbl-домена и последующий фильтр, к примеру, ассассином - так оно сейчас и есть, но трафик существенно вырос. 20 тыс в сутки писем помеченных спамом, а раньше эти письма убивались на этапе приема smtpd_*_restriction.
т.е. такое поведение не очень радует, да и трафик денежку стоит...

suid
Внёс свой вклад...
Внёс свой вклад...
Сообщения: 23
Зарегистрирован: 20 сен 2006, 07:37

Сообщение suid » 09 окт 2006, 08:05

так оно и есть
smtpd_restriction_classes относится к ящикам твоих доменов

а со спам трафиком да, просто беда, у меня к примеру при тотальной фильтрации через rbl он заметно уменьшился, но как я уже писал, мне стали говорить что почта не работает :)

DND
Внёс свой вклад...
Внёс свой вклад...
Сообщения: 24
Зарегистрирован: 24 авг 2006, 15:49

Сообщение DND » 09 окт 2006, 08:28

Для реализации нужной тебе функциональности тебе нужно сделать следующее:
Домен, который блокируется через RBL, но почту некоторых пользователей надо получпть заенси в whitelist и разреши прием почты для этого домена в правилах отброса клиентов по IP (client)
Делается так:
smtpd_client_restrictions =
permit_mynetworks,
check_client_access hash:/etc/postfix/access_client,
BLOCK RBL

Затем в smtpd_sender_restrictions =
...
check_sender_access hash:/etc/postfix/access_sender,
...

access_client:
need_domain OK

access_sender:
need_mail@need_domain OK
@need_domain REJECT

Т.е. домен будет пропускаться на этапе проверки RBL, но по sender'у фильтроваться.

DND
Внёс свой вклад...
Внёс свой вклад...
Сообщения: 24
Зарегистрирован: 24 авг 2006, 15:49

Сообщение DND » 09 окт 2006, 08:30

suid писал(а): а со спам трафиком да, просто беда, у меня к примеру при тотальной фильтрации через rbl он заметно уменьшился, но как я уже писал, мне стали говорить что почта не работает :)
Точно такой же совет, как и в предыдущем моем ответе -
включи "неправильные" домеры в whitelist перед проверкой на rbl

Mike
Член клуба
Член клуба
Сообщения: 381
Зарегистрирован: 30 июн 2006, 15:45

Сообщение Mike » 09 окт 2006, 11:48

2Kamikadze:
я заметил у вас следующую строчку в конфиге: reject_rbl_client multi.surbl.org.

На http://www.surbl.org/ в разделе Usage сказано, что напрямую нельзя использовать их службу как стандартный RBL, дескать, требуются изменения в самом коде МТА. Вносили ли вы какие-нить изменения в код постфикса? Или всё и так воркает?

Kamikadze
Postfix знает
Postfix знает
Сообщения: 85
Зарегистрирован: 01 июн 2006, 07:09

Сообщение Kamikadze » 11 окт 2006, 04:37

DND писал(а):Для реализации нужной тебе функциональности тебе нужно сделать следующее:
Домен, который блокируется через RBL, но почту некоторых пользователей надо получпть заенси в whitelist и разреши прием почты для этого домена в правилах отброса клиентов по IP (client)
Делается так:
smtpd_client_restrictions =
permit_mynetworks,
check_client_access hash:/etc/postfix/access_client,
BLOCK RBL

Затем в smtpd_sender_restrictions =
...
check_sender_access hash:/etc/postfix/access_sender,
...

access_client:
need_domain OK

access_sender:
need_mail@need_domain OK
@need_domain REJECT

Т.е. домен будет пропускаться на этапе проверки RBL, но по sender'у фильтроваться.
примернотак и сделал. точнее сделано так:
в блоке smtpd_client_restrictions я вообще убрал проверки на rbl, оставил только стандартные reject_non_fqdn_sender и т.п.

а вот в блоке smtpd_sender_restrictions у мен сейчас прописано следующее:
smtpd_sender_restrictions =
permit_mynetworks,
check_sender_access hash:/etc/postfix/access_client,
reject_non_fqdn_sender,
reject_unknown_address,
reject_unauth_pipelining,
reject_rbl_client list.dsbl.org,
reject_rbl_client bl.spamcop.net,
reject_rbl_client combined.njabl.org,
reject_rbl_client rhsbl.ahbl.org,
reject_rbl_client multi.surbl.org,
reject_rbl_client relays.ordb.org,
reject_rbl_client sbl-xbl.spamhaus.org,
reject_unlisted_sender,
reject_unauth_destination,
reject_invalid_hostname,
reject_unknown_sender_domain

что имеем: при проверке на IP (smtpd_client_restrictions) я в rbl-ы не хожу совсем. а вот при проверке почтового адреса отправителя
(smtpd_sender_restrictions), я сначала проверяю его в списке разрешенных:
check_sender_access hash:/etc/postfix/access_client
а потом уже - в rbl-ах. т.е. если в белом списке стоит ОК, то до rbl-листов дело не доходит и письмо принимается успешно даже из "запрещенных" доменов.

Ответить