The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]



"Open relay  Postfix  help!!!"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Открытые системы на сервере (Почта)
Изначальное сообщение [ Отслеживать ]

"Open relay  Postfix  help!!!"  +/
Сообщение от propeller25 email(ok) on 22-Фев-18, 10:22 
3 дня назад начал валится спам.  Пересылают письма через мой сервак.

конфиг постфикса:

queue_directory = /var/spool/postfix
command_directory = /usr/sbin
daemon_directory = /usr/libexec/postfix
data_directory = /var/lib/postfix
mail_owner = postfix
default_privs = nobody

#myhostname = mail.sdprint.ru
myhostname =  mail2.sdprint.ru
mydomain = sdprint.ru
myorigin = $mydomain

inet_interfaces = all

mydestination = $myhostname, localhost.$mydomain, localhost
local_recipient_maps = $virtual_mailbox_maps, $virtual_alias_maps
#local_recipient_maps =
unknown_local_recipient_reject_code = 550

mynetworks_style = subnet
mynetworks = 127.0.0.0/8, 192.168.14.0/24, 192.168.0.0/24, 192.168.1.0/24, 192.168.5.0/24
relay_domains = $mydestination
#relay_domains = $mydestination

#relayhost = plesk.rtcomm-sibir.ru
#relayhost = mail.relay-nsk.e4u.ru

#relayhost = mail.nic.ru
#relayhost = smtp.e4u.ru
##smtp_sasl_mechanism_filter = digest-md5

#relayhost = mail.sitex.ru


smtp_sasl_auth_enable = yes
smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
#smtp_sasl_security_options =


alias_maps = hash:/etc/postfix/aliases
alias_database = hash:/etc/postfix/aliases

recipient_delimiter = +

#mailbox_command = /usr/bin/procmail

#header_checks = regexp:/etc/postfix/header_checks
#mime_header_checks = regexp:/etc/postfix/mime_header_checks

smtpd_banner = $myhostname ESMTP

debug_peer_level = 1
debug_peer_list = 127.0.0.1, $myhostname

debugger_command =
  PATH=/bin:/usr/bin:/usr/local/bin:/usr/X11R6/bin
  ddd $daemon_directory/$process_name $process_id & sleep 5

setgid_group = postdrop
html_directory = /var/www/postfix
manpage_directory = /usr/local/man
sample_directory = /etc/postfix
readme_directory = no


# RESTRICTIONS

smtpd_restriction_classes = local_only, to_freza_ok

local_only = check_recipient_access hash:/etc/postfix/local_domains, reject
to_freza_ok = check_sender_access hash:/etc/postfix/freza_ok, reject


# ограничения на приветствие отправителя HELO/EHLO
smtpd_helo_restrictions =
# разрешаем все для внутренних клиентов
    permit_mynetworks,

# разрешаем все для тех, кто пройдет SASL-авторизацию по SMTP
    permit_sasl_authenticated,

# "Белый Список" должен быть впереди остальных проверок
# отсекаем приветствия отправителя от моего имени
# а также прописываем разрешения для "продвинутых"
# пример файлика см ниже
    check_helo_access hash:/etc/postfix/helo_access,

# отсекаем тех, кто представляется ИП-адресом.
# это явное нарушение RFC, но практика показала, что это один из явных признаков спама.
    check_helo_access regexp:/etc/postfix/helo_regexp,

# также проверям на динамические адреса (спасибо тем ISP, которые прописывают обратные зоны)
    check_helo_access regexp:/etc/postfix/dul_checks,

# отсекаем кривые адреса (противоречащие RFC, например бывают и
# такие helo=<|http://mail.oldartero.com:8888/cgi-bin/put>
    reject_invalid_hostname,

# если все вышеперечисленное подошло, идем дальше
    permit


# Дополнительные ограничения, применяемые сервером Postfix
# в контексте команды MAIL FROM
smtpd_sender_restrictions =
    check_recipient_access hash:/etc/postfix/restricted_recipients,
    permit_sasl_authenticated,
    permit_mynetworks,

    check_sender_access hash:/etc/postfix/client_access,
#    check_recipient_access hash:/etc/postfix/restricted_recipients,
#    check_sender_mx_access hash:/etc/postfix/mx_access,
#    check_client_access pcre:/etc/postfix/client_access.pcre,    
    reject_non_fqdn_sender,
    reject_unknown_sender_domain,
    permit

# Дополнительные ограничения, применяемые сервером Postfix
# в контексте команды RCPT TO
smtpd_recipient_restrictions =
    reject_unauth_pipelining,
    permit_sasl_authenticated,    
    permit_mynetworks,
    reject_non_fqdn_recipient,
    reject_unknown_recipient_domain,
    

#    reject_unauth_pipelining,

    reject_unlisted_recipient,    
    check_sender_access hash:/etc/postfix/restricted_senders,
    reject_unauth_destination,
    
#    premit_auth_destination,
    permit
    

# Дополнительные ограничения доступа  smtp сервера в контексте
# smtp запроса клиента
smtpd_client_restrictions =
     permit_sasl_authenticated,
     check_client_access regexp:/etc/postfix/dul_checks,
     check_client_access hash:/etc/postfix/client_access,
     permit_mynetworks,
     reject_unknown_client,
     permit

smtpd_data_restrictions =
#    reject_anauth_pipelining,
    reject_multi_recipient_bounce,
    permit


#reject_unknown_client_hostname,

smtpd_etrn_restrictions = reject
smtpd_reject_unlisted_sender = yes
disable_vrfy_command = yes
strict_rfc821_envelopes = yes
show_user_unknown_table_name = no

unverified_sender_reject_code = 550
invalid_hostname_reject_code = 550
non_fqdn_reject_code = 550
unknown_address_reject_code = 550
unknown_client_reject_code = 550
unknown_hostname_reject_code = 550
unverified_recipient_reject_code = 550

smtpd_helo_required = yes
smtp_always_send_ehlo = yes

smtpd_hard_error_limit = 8

# Включаем поддержку sasl аутентификации
smtpd_sasl_auth_enable = yes
smtpd_sasl_application_name = smtpd
broken_sasl_auth_clients = no
smtpd_sasl_local_domain = $mydomain
smtpd_sasl_security_options = noanonymous

#
#smtp_sasl_security_options = noanonymous, noplaintext, noactive, nodictionary
#smtp_sasl_password_maps = mysql:/etc/postfix/mysqlLookupMaps/mysql_sasl.cf


smtpd_sender_login_maps = mysql:/etc/postfix/mysqlLookupMaps/sender.cf
transport_maps = mysql:/etc/postfix/mysqlLookupMaps/transport.cf
virtual_alias_maps = mysql:/etc/postfix/mysqlLookupMaps/alias.cf
#virtual_alias_maps = mysql:/etc/postfix/mysqlLookupMaps/alias.cf, hash:/usr/local/mailman/data/virtual-mailman
virtual_mailbox_domains = mysql:/etc/postfix/mysqlLookupMaps/domain.cf
virtual_mailbox_maps = mysql:/etc/postfix/mysqlLookupMaps/mailbox.cf
virtual_mailbox_base = /var/spool/mail

#transport_map = hash:/etc/postfix/transport

# Настраиваем поддержку квот
virtual_mailbox_limit_maps = mysql:/etc/postfix/mysqlLookupMaps/quota.cf
virtual_maildir_extended=yes
virtual_mailbox_limit_override=yes
virtual_create_maildirsize = yes
virtual_overquota_bounce = yes
virtual_maildir_limit_message="Sorry, the user's maildir has overdrawn his diskspace quota, please try again later"

# Ограничиваем максимальный размер письма до 15 Мб
message_size_limit = 20971520


virtual_gid_maps = static:1005
virtual_uid_maps = static:1005
virtual_minimum_uid = 1001

recipient_bcc_maps = hash:/etc/postfix/recipient_bcc


default_transport = smtp
relay_transport = smtp

# Антивирус

#content_filter = scan:[127.0.0.1]:10026
#content_filter = smtp
#content_filter = scan:[127.0.0.1]:10025
#content_filter = avscan:127.0.0.1:10025
#receive_override_options = no_address_mappings


#Запрет отправки писем с ящика: 20 писем за 10 минут макс
anvil_rate_time_unit = 600s
smtpd_client_message_rate_limit = 20


Помогите закрыть openrelay , плиз.

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Open relay  Postfix  help!!!"  +/
Сообщение от ipmanyak (ok) on 22-Фев-18, 13:23 
http://www.postfix.org/SMTPD_ACCESS_README.html#relay

в  smtpd_recipient_restrictions добавь  reject_unauth_destination

не вижу опцию  relay_domains в ней указываются домены, для которых принимать  почту

relay_domains = $mydestination, твой_домен.ru

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Open relay  Postfix  help!!!"  +/
Сообщение от propeller25 (ok) on 22-Фев-18, 14:26 
> http://www.postfix.org/SMTPD_ACCESS_README.html#relay
>  в  smtpd_recipient_restrictions добавь  reject_unauth_destination
> не вижу опцию  relay_domains в ней указываются домены, для которых принимать
>  почту
> relay_domains = $mydestination, твой_домен.ru

Все это есть в конфиге, просто строчками ниже и через запятую. Это допустимый формат конфига. Поищите поискам, если в глаза сразу не бросается.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Open relay  Postfix  help!!!"  +/
Сообщение от ALex_hha (ok) on 22-Фев-18, 14:41 
> 3 дня назад начал валится спам.  Пересылают письма через мой сервак.

а лог пересылки спама мы должны угадать?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Open relay  Postfix  help!!!"  +/
Сообщение от propeller25 (ok) on 22-Фев-18, 14:45 
>> 3 дня назад начал валится спам.  Пересылают письма через мой сервак.
> а лог пересылки спама мы должны угадать?

Я же писал. Заходим на айпи сервака и отсылаем откуда угодно кому угодно письмо.

Тесты на оперрелей сервер не проходит. Тесты все подряд говорят, что этот сервер оперрелей

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Open relay  Postfix  help!!!"  +/
Сообщение от propeller25 email(ok) on 22-Фев-18, 18:50 
>>> 3 дня назад начал валится спам.  Пересылают письма через мой сервак.
>> а лог пересылки спама мы должны угадать?
> Я же писал. Заходим на айпи сервака и отсылаем откуда угодно кому
> угодно письмо.
> Тесты на оперрелей сервер не проходит. Тесты все подряд говорят, что этот
> сервер оперрелей

Так. Я немного разобрался.  Сервер у меня за NAT

Т.е. на него проброшены порты с микротика.  Адрес внутренний микротика 192.168.0.4

Как только я в майнетворк вписываю  этот адрес -  сервер становится опенрелеем. Если нет этого адреса - он недоступен извне, но и письма на него не приходят.   Т.е. разрешая 192.168.0.4  мы разрешаем и опенрелей и внутреннюю подсеть.

Хелп!

Поставить постфикс одним интерфейсом в инет не предлагать. Мне нужен сервак за NAT

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Open relay  Postfix  help!!!"  +/
Сообщение от Alex_hha on 22-Фев-18, 19:16 
>>> 3 дня назад начал валится спам.  Пересылают письма через мой сервак.
>> а лог пересылки спама мы должны угадать?
> Я же писал. Заходим на айпи сервака и отсылаем откуда угодно кому
> угодно письмо.

ну тогда удачи в поиске проблемы :)

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

7. "Open relay  Postfix  help!!!"  +/
Сообщение от propeller25 email(ok) on 22-Фев-18, 20:39 
>>>> 3 дня назад начал валится спам.  Пересылают письма через мой сервак.
>>> а лог пересылки спама мы должны угадать?
>> Я же писал. Заходим на айпи сервака и отсылаем откуда угодно кому
>> угодно письмо.
> ну тогда удачи в поиске проблемы :)

Проблема решена   изменением конфига роутера. DNAT нужен был.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Open relay  Postfix  help!!!"  +/
Сообщение от Pahanivo (ok) on 23-Фев-18, 00:33 
> Проблема решена   изменением конфига роутера. DNAT нужен был.

херасе ....

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема


  Закладки на сайте
  Проследить за страницей
Created 1996-2018 by Maxim Chirkov  
ДобавитьПоддержатьВебмастеруГИД  
Hosting by Ihor