URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 69360
[ Назад ]

Исходное сообщение
"Принудительная аутентификация в SendMail"
Отправлено OptimusPrime , 05-Окт-06 23:20

Вобщем такая ситуация, есть почтовый сервер на базе MTA sendmail 8.12.... Я прикрутил к нему SASL2, если в почтовом клиенте поставить галочку SMTP авторизация, то SASL работает прекрасно, если в sasldb2 нет указанного пользователя, то Relay запрещён, НО!!!, главная проблема в том, что я не знаю как заставить sendmail принудительно авторизоваться при отправке через SMTP. Если нужны конфиги, то они, впринципе, можно считать стандартные. Система RH enterprise 3. Перепробовал всё, даже очищал базу доступа access. В итоге добился только того, что при коннекте через telnet на 25 порт при попытке указать rcpt to: она говорит relay denied, всё ОК, НО, если отправлять через Bat!, в нём указать мой SMTP, снять галочку SMTP аутентификация, письма идут налево направо, вписывай кого хочешь, собственно прямая дорога в BlackList.

Содержание

Принудительная аутентификация в SendMail,pal, 08:45 , 06-Окт-06
- Принудительная аутентификация в SendMail,OptimusPrime, 11:54 , 06-Окт-06
  - Принудительная аутентификация в SendMail,pal, 13:05 , 06-Окт-06
Принудительная аутентификация в SendMail,lavr, 09:44 , 06-Окт-06
- Принудительная аутентификация в SendMail,OptimusPrime, 11:57 , 06-Окт-06
  - Принудительная аутентификация в SendMail,lavr, 13:33 , 06-Окт-06
    - Принудительная аутентификация в SendMail,OptimusPrime, 13:45 , 06-Окт-06
      - Принудительная аутентификация в SendMail,lavr, 15:15 , 06-Окт-06
        
        Принудительная аутентификация в SendMail,pal, 15:28 , 06-Окт-06
        
        Принудительная аутентификация в SendMail,lavr, 16:50 , 06-Окт-06
        
        Принудительная аутентификация в SendMail,pal, 12:02 , 07-Окт-06
        
        Принудительная аутентификация в SendMail,lavr, 17:26 , 07-Окт-06
    - Принудительная аутентификация в SendMail,pal, 13:46 , 06-Окт-06
      - Принудительная аутентификация в SendMail,OptimusPrime, 14:14 , 06-Окт-06
      - Принудительная аутентификация в SendMail,lavr, 14:19 , 06-Окт-06
        
        Принудительная аутентификация в SendMail,pal, 14:43 , 06-Окт-06
        
        Принудительная аутентификация в SendMail,lavr, 15:18 , 06-Окт-06
        
        Принудительная аутентификация в SendMail,pal, 15:31 , 06-Окт-06
      - Принудительная аутентификация в SendMail,OptimusPrime, 14:28 , 06-Окт-06
        
        Принудительная аутентификация в SendMail,pal, 14:39 , 06-Окт-06
        
        Принудительная аутентификация в SendMail,OptimusPrime, 14:44 , 06-Окт-06

Сообщения в этом обсуждении

"Принудительная аутентификация в SendMail"
Отправлено pal , 06-Окт-06 08:45

FEATURE(`access_db', `hash -T<TMPF> /etc/mail/access')dnl
это единственное что у меня включено помимо сасл2 и система работает!
возможно ты при очищении access забыл запустить:
# makemap hash /etc/mail/access.db < /etc/mail/access
?
приведи листинги...

"Принудительная аутентификация в SendMail"
Отправлено OptimusPrime , 06-Окт-06 11:54

>
>FEATURE(`access_db', `hash -T<TMPF> /etc/mail/access')dnl
>
>это единственное что у меня включено помимо сасл2 и система работает!
>возможно ты при очищении access забыл запустить:
>
># makemap hash /etc/mail/access.db < /etc/mail/access
>
>?
>приведи листинги...

Oct 6 11:22:10 orange-375-new sendmail[17625]: k967MAB2017625: from=<spamer@microsoft.ru>, size=381, class=0, nrcpts=1, msgid=<1626862840.20061006112407@cityhouse.v.shared.ru>, proto=ESMTP, relay=[81.222.209.138]
-это я отправил письмо без аутентификации через свой сервер
Содержимое access
84.252.159.160 RELAY
84.252.159.79 RELAY
это IP вебсервера, к моей почте не имеет никакого отношения, что видно из логов
To:apache@ REJECT
После каждого обновления баз обзательно делаю make, она сама перекомпилит все базы.
Листинг sendmail.mc
divert(`-1')dnl
include(`/usr/share/sendmail-cf/m4/cf.m4')dnl
VERSIONID(`setup for Red Hat Linux')dnl
OSTYPE(`linux')dnl
define(`confDEF_USER_ID', ``8:12'')dnl
define(`confTO_CONNECT', `1m')dnl
define(`confTRY_NULL_MX_LIST', `true')dnl
define(`confDONT_PROBE_INTERFACES', `true')dnl
define(`PROCMAIL_MAILER_PATH', `/usr/bin/procmail')dnl
define(`ALIAS_FILE', `/etc/aliases')dnl
dnl define(`STATUS_FILE', `/etc/mail/statistics')dnl
define(`UUCP_MAILER_MAX', `2000000')dnl
define(`confUSERDB_SPEC', `/etc/mail/userdb.db')dnl
define(`confPRIVACY_FLAGS', `goaway,authwarnings,novrfy,noexpn,restrictqrun')dnl
define(`confAUTH_OPTIONS', `A')dnl
define(`POP_B4_SMTP_TAG')dnl
HACK(`popauth')dnl
define(`confTO_IDENT', `0')dnl
FEATURE(`delay_checks')dnl
dnl FEATURE(`no_default_msa')dnl
FEATURE(`smrsh', `/usr/sbin/smrsh')dnl
FEATURE(`mailertable', `hash -o /etc/mail/mailertable.db')dnl
FEATURE(`virtusertable', `hash -o /etc/mail/virtusertable.db')dnl
FEATURE(`redirect')dnl
FEATURE(`always_add_domain')dnl
FEATURE(`use_cw_file')dnl
FEATURE(`use_ct_file')dnl
FEATURE(`local_procmail', `', `procmail -t -Y -a $h -d $u')dnl
FEATURE(`access_db', `hash -T<TMPF> -o /etc/mail/access.db')dnl
FEATURE(`blacklist_recipients')dnl
EXPOSED_USER(`root')dnl
LOCAL_DOMAIN(`localhost.localdomain')dnl
define(`confMAX_RCPTS_PER_MESSAGE', `10')dnl
define(`confMAX_MESSAGE_SIZE', `8192000')
FEATURE(`dnsbl', `relays.ordb.org', `550 Contact http://relays.ordb.org for more info')FEATURE(`dnsbl', `bl.spamcop.net', `550 Contact http://spamcop.net/bl.html for more info')dnl
FEATURE(`dnsbl', `sbl-xbl.spamhaus.org', `550 Contact http://www.spamhaus.org for more info')dnl
FEATURE(`dnsbl', `blackholes.mail-abuse.org', `550 Contact http://www.mailabuse.org/rbl for more info')dnl
TRUST_AUTH_MECH(`GSSAPI DIGEST-MD5 CRAM-MD5')dnl
define(`confAUTH_MECHANISMS', `GSSAPI DIGEST-MD5 CRAM-MD5')dnl
define(`confDEF_AUTH_INFO', `/etc/mail/auth-info')dnl
FEATURE(`no_default_msa')dnl turn off default entry for MSA
DAEMON_OPTIONS(`Port=25, Name=MSA, M=E')dnl
MAILER(`smtp')dnl
MAILER(`procmail')dnl
Всё закоментированное удалил, практически стандартный конфиг

"Принудительная аутентификация в SendMail"
Отправлено pal , 06-Окт-06 13:05

Вот мой sendmail.mc, как только убираю из access - релей только при успешной аунтификации...
из листинга убрал только dnsbl

divert(-1)
VERSIONID(`$Id$')
OSTYPE(freebsd5)
DOMAIN(generic)
FEATURE(`use_cw_file')dnl
FEATURE(`access_db', `hash -T<TMPF> /etc/mail/access')dnl
FEATURE(`mailertable', `hash /etc/mail/mailertable')dnl
FEATURE(`virtusertable', `hash /etc/mail/virtusertable')dnl

FEATURE(`blacklist_recipients')dnl
FEATURE(`delay_checks')dnl

define(`confMAX_MESSAGE_SIZE', `10785760')dnl
define(`confMAX_RCPTS_PER_MESSAGE',`5')dnl
define(`confSMTP_LOGIN_MSG', `Ready')dnl
define(`confRUN_AS_USER',`root:mail')dnl
define(`confAUTH_OPTIONS', `A')dnl
define(`confAUTH_MECHANISMS', `LOGIN PLAIN')dnl
TRUST_AUTH_MECH(`LOGIN PLAIN')dnl
FEATURE(`no_default_msa')dnl turn off default entry for MSA
DAEMON_OPTIONS(`Port=587, Name=MSA, M=E')dnl

DAEMON_OPTIONS(`Name=IPv4, Family=inet, M=E')
define(`confBIND_OPTS', `WorkAroundBrokenAAAA')
define(`confNO_RCPT_ACTION', `add-to-undisclosed')
define(`confPRIVACY_FLAGS', `authwarnings,noexpn,novrfy')

define(`confTO_DATABLOCK', `1h')dnl
define(`confSMTP_LOGIN_MSG', `Ready')dnl
define(`ALIAS_FILE', `/etc/mail/aliases')
MAILER(local)dnl
MAILER(smtp)dnl

"Принудительная аутентификация в SendMail"
Отправлено lavr , 06-Окт-06 09:44

> Вобщем такая ситуация, есть почтовый сервер на базе MTA sendmail
>8.12.... Я прикрутил к нему SASL2, если в почтовом клиенте поставить
>галочку SMTP авторизация, то SASL работает прекрасно, если в sasldb2 нет
>указанного пользователя, то Relay запрещён, НО!!!, главная проблема в том, что
>я не знаю как заставить sendmail принудительно авторизоваться при отправке через
>SMTP. Если нужны конфиги, то они, впринципе, можно считать стандартные. Система
>RH enterprise 3. Перепробовал всё, даже очищал базу доступа access. В
>итоге добился только того, что при коннекте через telnet на 25
>порт при попытке указать rcpt to: она говорит relay denied, всё
>ОК, НО, если отправлять через Bat!, в нём указать мой SMTP,
>снять галочку SMTP аутентификация, письма идут налево направо, вписывай кого хочешь,
>собственно прямая дорога в BlackList.
поиск по форуму и чтение документации sendmail, все уже расписывалось

"Принудительная аутентификация в SendMail"
Отправлено OptimusPrime , 06-Окт-06 11:57

>> Вобщем такая ситуация, есть почтовый сервер на базе MTA sendmail
>>8.12.... Я прикрутил к нему SASL2, если в почтовом клиенте поставить
>>галочку SMTP авторизация, то SASL работает прекрасно, если в sasldb2 нет
>>указанного пользователя, то Relay запрещён, НО!!!, главная проблема в том, что
>>я не знаю как заставить sendmail принудительно авторизоваться при отправке через
>>SMTP. Если нужны конфиги, то они, впринципе, можно считать стандартные. Система
>>RH enterprise 3. Перепробовал всё, даже очищал базу доступа access. В
>>итоге добился только того, что при коннекте через telnet на 25
>>порт при попытке указать rcpt to: она говорит relay denied, всё
>>ОК, НО, если отправлять через Bat!, в нём указать мой SMTP,
>>снять галочку SMTP аутентификация, письма идут налево направо, вписывай кого хочешь,
>>собственно прямая дорога в BlackList.
>
>поиск по форуму и чтение документации sendmail, все уже расписывалось
Временами полезно самому иногда прочитать документацию и сделать поиск по сайту, чтобы понять, что все статьи на эту тему одинаковы, и полны чуши, к тому же, я ищу ответ на вопрос, который не рассматривался в документации на данном сайте.

"Принудительная аутентификация в SendMail"
Отправлено lavr , 06-Окт-06 13:33

>>> Вобщем такая ситуация, есть почтовый сервер на базе MTA sendmail
>>>8.12.... Я прикрутил к нему SASL2, если в почтовом клиенте поставить
>>>галочку SMTP авторизация, то SASL работает прекрасно, если в sasldb2 нет
>>>указанного пользователя, то Relay запрещён, НО!!!, главная проблема в том, что
>>>я не знаю как заставить sendmail принудительно авторизоваться при отправке через
>>>SMTP. Если нужны конфиги, то они, впринципе, можно считать стандартные. Система
>>>RH enterprise 3. Перепробовал всё, даже очищал базу доступа access. В
>>>итоге добился только того, что при коннекте через telnet на 25
>>>порт при попытке указать rcpt to: она говорит relay denied, всё
>>>ОК, НО, если отправлять через Bat!, в нём указать мой SMTP,
>>>снять галочку SMTP аутентификация, письма идут налево направо, вписывай кого хочешь,
>>>собственно прямая дорога в BlackList.
>>
>>поиск по форуму и чтение документации sendmail, все уже расписывалось
>
>Временами полезно самому иногда прочитать документацию и сделать поиск по сайту, чтобы
>понять, что все статьи на эту тему одинаковы, и полны чуши,
>к тому же, я ищу ответ на вопрос, который не рассматривался
>в документации на данном сайте.
пилите дальше:
http://www.sendmail.org/~ca/email/auth.html
# less /path/sendmail-sources/cf/README - раздел SMTP AUTHENTICATION
временами полезно учиться правильно формировать запрос для поиска

"Принудительная аутентификация в SendMail"
Отправлено OptimusPrime , 06-Окт-06 13:45

>>>> Вобщем такая ситуация, есть почтовый сервер на базе MTA sendmail
>>>>8.12.... Я прикрутил к нему SASL2, если в почтовом клиенте поставить
>>>>галочку SMTP авторизация, то SASL работает прекрасно, если в sasldb2 нет
>>>>указанного пользователя, то Relay запрещён, НО!!!, главная проблема в том, что
>>>>я не знаю как заставить sendmail принудительно авторизоваться при отправке через
>>>>SMTP. Если нужны конфиги, то они, впринципе, можно считать стандартные. Система
>>>>RH enterprise 3. Перепробовал всё, даже очищал базу доступа access. В
>>>>итоге добился только того, что при коннекте через telnet на 25
>>>>порт при попытке указать rcpt to: она говорит relay denied, всё
>>>>ОК, НО, если отправлять через Bat!, в нём указать мой SMTP,
>>>>снять галочку SMTP аутентификация, письма идут налево направо, вписывай кого хочешь,
>>>>собственно прямая дорога в BlackList.
>>>
>>>поиск по форуму и чтение документации sendmail, все уже расписывалось
>>
>>Временами полезно самому иногда прочитать документацию и сделать поиск по сайту, чтобы
>>понять, что все статьи на эту тему одинаковы, и полны чуши,
>>к тому же, я ищу ответ на вопрос, который не рассматривался
>>в документации на данном сайте.
>
>пилите дальше:
>
>http://www.sendmail.org/~ca/email/auth.html
>
># less /path/sendmail-sources/cf/README - раздел SMTP AUTHENTICATION
>
>временами полезно учиться правильно формировать запрос для поиска

И чё? Думаешь я это не читал?
Я в безвыходном положение, я перерыл всё документацию, 5-ю неделю бьюсь с этой проблемой, мне её кровь из носа надо решить, иначе могут начаться проблему с сервером, от безысходности я уже ищу помощи на форумах, и такие высказывания типа читай доки не уместны, я их наизусть заучил. Я хочу найти в чём проблема именно у меня, версия сендмэйл, может модуль какой не вкомпилен или библиотека другая. Я ХЗ. Извиняюсь, если что не так, просто временами раздражает, у человека не спрашивают, читал ли ты то-то, а над ним смеются и говорят, чё ты как лох, вот тут-то всё написано.

"Принудительная аутентификация в SendMail"
Отправлено lavr , 06-Окт-06 15:15

>>>>>  Вобщем такая ситуация, есть почтовый сервер на базе MTA sendmail
>>>>>8.12.... Я прикрутил к нему SASL2, если в почтовом клиенте поставить
>>>>>галочку SMTP авторизация, то SASL работает прекрасно, если в sasldb2 нет
>>>>>указанного пользователя, то Relay запрещён, НО!!!, главная проблема в том, что
>>>>>я не знаю как заставить sendmail принудительно авторизоваться при отправке через
>>>>>SMTP. Если нужны конфиги, то они, впринципе, можно считать стандартные. Система
>>>>>RH enterprise 3. Перепробовал всё, даже очищал базу доступа access. В
>>>>>итоге добился только того, что при коннекте через telnet на 25
>>>>>порт при попытке указать rcpt to: она говорит relay denied, всё
>>>>>ОК, НО, если отправлять через Bat!, в нём указать мой SMTP,
>>>>>снять галочку SMTP аутентификация, письма идут налево направо, вписывай кого хочешь,
>>>>>собственно прямая дорога в BlackList.
>>>>
>>>>поиск по форуму и чтение документации sendmail, все уже расписывалось
>>>
>>>Временами полезно самому иногда прочитать документацию и сделать поиск по сайту, чтобы
>>>понять, что все статьи на эту тему одинаковы, и полны чуши,
>>>к тому же, я ищу ответ на вопрос, который не рассматривался
>>>в документации на данном сайте.
>>
>>пилите дальше:
>>
>>http://www.sendmail.org/~ca/email/auth.html
>>
>># less /path/sendmail-sources/cf/README - раздел SMTP AUTHENTICATION
>>
>>временами полезно учиться правильно формировать запрос для поиска
>
>
>И чё? Думаешь я это не читал?
>
>Я в безвыходном положение, я перерыл всё документацию, 5-ю неделю бьюсь с
>этой проблемой, мне её кровь из носа надо решить, иначе могут
>начаться проблему с сервером, от безысходности я уже ищу помощи на
>форумах, и такие высказывания типа читай доки не уместны, я их
>наизусть заучил. Я хочу найти в чём проблема именно у меня,
>версия сендмэйл, может модуль какой не вкомпилен или библиотека другая. Я
>ХЗ. Извиняюсь, если что не так, просто временами раздражает, у человека
>не спрашивают, читал ли ты то-то, а над ним смеются и
>говорят, чё ты как лох, вот тут-то всё написано.
не поверите, меня в свою очередь раздражает НЕЖЕЛАНИЕ думать, особенно над тем
что разжевано, я никогда и ни над кем не смеялся, меня НЕ раздражает чужая
некомпетентность, но раздражает упертость и нежелание ДУМАТЬ, ну и еще ничем
неподкрепленные амбиции.
про релеинг фсЁ прозрачно написано на указанных ранее ссылках
cf/README:
confAUTH_OPTIONS        AuthOptions     [undefined] If this option is 'A'
                                        then the AUTH= parameter for the
                                        MAIL FROM command is only issued
                                        when authentication succeeded.
                                        See doc/op/op.me for more options
                                        and details.
http://www.sendmail.org/~ca/email/auth.html#authrelay
SMTP AUTH allows relaying for senders who have successfully authenticated themselves. Per default, relaying is allowed for any user who authenticated via a trusted mechanism, i.e., one that is defined via
TRUST_AUTH_MECH(`list of mechanisms')
This is useful for roaming users and can replace POP-before-SMTP hacks if the MUA supports SMTP AUTH.
The ruleset trust_auth is used to decide whether the client's authentication identifier (authid) is trusted to act as (proxy for) the requested authorization identity (userid). The provided rules allow authid to act for userid if both are identical and they disallow it if the authentication failed. The ruleset Local_trust_auth can be used to provide further tests. As usual, it can either return the error mailer ($# error) to disallow proxying or $# OK to allow proxying.
New macros for SMTP AUTH are {auth_authen}, {auth_author}, and {auth_type}, which hold the client's authentication credentials (authid), the authorization identity (userid) (i.e., the AUTH= parameter of the MAIL command, if supplied), and the mechanism used for authentication.
Require AUTH
You can require the use of SMTP AUTH for relaying by simply turning off other means of relaying for incoming mail, e.g., the access map or class R. That is, if you have my.domain in /etc/mail/relay-domains or
my.domain    RELAY
in the access map, then remove the entry from class R (/etc/mail/relay-domains) and use
To:my.domain    RELAY
in the access map.
Requiring SMTP AUTH for all mails is in general a bad idea, because then you cannot receive mails from other users (since the cannot authenticate). So you must do this only on a server that is solely intended for your own users to send mail, not for a publically advertised (via MX records) server.
Итого:
RELEYING будет разрешен клиентам ПРОШЕДШИМ smtp-аутентикацию,
для локальных клиентов и клиентов локальной сети, нужно соответствующим образом
настройить access - последнее есть ОБЩЕЕ правило по запрету релеинга и складывается
оно из FEATURE(relay...) + access + RHS class R
Это все расписано в README + страница Claus Aßmann'а

"Принудительная аутентификация в SendMail"
Отправлено pal , 06-Окт-06 15:28

>>>>>>  Вобщем такая ситуация, есть почтовый сервер на базе MTA sendmail
>>>>>>8.12.... Я прикрутил к нему SASL2, если в почтовом клиенте поставить
>>>>>>галочку SMTP авторизация, то SASL работает прекрасно, если в sasldb2 нет
>>>>>>указанного пользователя, то Relay запрещён, НО!!!, главная проблема в том, что
>>>>>>я не знаю как заставить sendmail принудительно авторизоваться при отправке через
>>>>>>SMTP. Если нужны конфиги, то они, впринципе, можно считать стандартные. Система
>>>>>>RH enterprise 3. Перепробовал всё, даже очищал базу доступа access. В
>>>>>>итоге добился только того, что при коннекте через telnet на 25
>>>>>>порт при попытке указать rcpt to: она говорит relay denied, всё
>>>>>>ОК, НО, если отправлять через Bat!, в нём указать мой SMTP,
>>>>>>снять галочку SMTP аутентификация, письма идут налево направо, вписывай кого хочешь,
>>>>>>собственно прямая дорога в BlackList.
>>>>>
>>>>>поиск по форуму и чтение документации sendmail, все уже расписывалось
>>>>
>>>>Временами полезно самому иногда прочитать документацию и сделать поиск по сайту, чтобы
>>>>понять, что все статьи на эту тему одинаковы, и полны чуши,
>>>>к тому же, я ищу ответ на вопрос, который не рассматривался
>>>>в документации на данном сайте.
>>>
>>>пилите дальше:
>>>
>>>http://www.sendmail.org/~ca/email/auth.html
>>>
>>># less /path/sendmail-sources/cf/README - раздел SMTP AUTHENTICATION
>>>
>>>временами полезно учиться правильно формировать запрос для поиска
>>
>>
>>И чё? Думаешь я это не читал?
>>
>>Я в безвыходном положение, я перерыл всё документацию, 5-ю неделю бьюсь с
>>этой проблемой, мне её кровь из носа надо решить, иначе могут
>>начаться проблему с сервером, от безысходности я уже ищу помощи на
>>форумах, и такие высказывания типа читай доки не уместны, я их
>>наизусть заучил. Я хочу найти в чём проблема именно у меня,
>>версия сендмэйл, может модуль какой не вкомпилен или библиотека другая. Я
>>ХЗ. Извиняюсь, если что не так, просто временами раздражает, у человека
>>не спрашивают, читал ли ты то-то, а над ним смеются и
>>говорят, чё ты как лох, вот тут-то всё написано.
>
>не поверите, меня в свою очередь раздражает НЕЖЕЛАНИЕ думать, особенно над тем
>
>что разжевано, я никогда и ни над кем не смеялся, меня НЕ
>раздражает чужая
>некомпетентность, но раздражает упертость и нежелание ДУМАТЬ, ну и еще ничем
>неподкрепленные амбиции.
>
>про релеинг фсЁ прозрачно написано на указанных ранее ссылках
>cf/README:
>confAUTH_OPTIONS        AuthOptions
> [undefined] If this option is 'A'
>
>
>
>      then the AUTH= parameter for
>the
>
>
>
>      MAIL FROM command is only
>issued
>
>
>
>      when authentication succeeded.
>
>
>
>      See doc/op/op.me for more options
>
>
>
>
>      and details.
>
>http://www.sendmail.org/~ca/email/auth.html#authrelay
>
>SMTP AUTH allows relaying for senders who have successfully authenticated themselves. Per
>default, relaying is allowed for any user who authenticated via a
>trusted mechanism, i.e., one that is defined via
>TRUST_AUTH_MECH(`list of mechanisms')
>This is useful for roaming users and can replace POP-before-SMTP hacks if
>the MUA supports SMTP AUTH.
>
>The ruleset trust_auth is used to decide whether the client's authentication identifier
>(authid) is trusted to act as (proxy for) the requested authorization
>identity (userid). The provided rules allow authid to act for userid
>if both are identical and they disallow it if the authentication
>failed. The ruleset Local_trust_auth can be used to provide further tests.
>As usual, it can either return the error mailer ($# error)
>to disallow proxying or $# OK to allow proxying.
>
>New macros for SMTP AUTH are {auth_authen}, {auth_author}, and {auth_type}, which hold
>the client's authentication credentials (authid), the authorization identity (userid) (i.e., the
>AUTH= parameter of the MAIL command, if supplied), and the mechanism
>used for authentication.
>Require AUTH
>You can require the use of SMTP AUTH for relaying by simply
>turning off other means of relaying for incoming mail, e.g., the
>access map or class R. That is, if you have my.domain
>in /etc/mail/relay-domains or
>
>my.domain RELAY
>
>in the access map, then remove the entry from class R (/etc/mail/relay-domains)
>and use
>
>To:my.domain RELAY
>
>in the access map.
>
>Requiring SMTP AUTH for all mails is in general a bad idea,
>because then you cannot receive mails from other users (since the
>cannot authenticate). So you must do this only on a server
>that is solely intended for your own users to send mail,
>not for a publically advertised (via MX records) server.
>
>Итого:
>
>RELEYING будет разрешен клиентам ПРОШЕДШИМ smtp-аутентикацию,
>для локальных клиентов и клиентов локальной сети, нужно соответствующим образом
>настройить access - последнее есть ОБЩЕЕ правило по запрету релеинга и складывается
>
>оно из FEATURE(relay...) + access + RHS class R
>
>Это все расписано в README + страница Claus Aßmann'а

Я уверен что OptimusPrime в курсе всего того что ты написал, хотябы образно.
Но, когда долго занимаешься одной и той же проблемой доооолгое время - находишь тупик и выйти из него не можешь, т.с. человеческий фактор.

"Принудительная аутентификация в SendMail"
Отправлено lavr , 06-Окт-06 16:50

>Я уверен что OptimusPrime в курсе всего того что ты написал, хотябы
>образно.
>Но, когда долго занимаешься одной и той же проблемой доооолгое время -
>находишь тупик и выйти из него не можешь, т.с. человеческий фактор.
бывает такое, нужно учиться переключаться или снова - с НУЛЯ посмотреть на тот же
вопрос, а он очень просто делится на:
1) ПРИНУДИТЕЛЬНАЯ аутентикация E=Ma в DAEMON_OPTIONS - принудительная на фсЁ in/out
(ну это не тот случай, отпадает)
2) confAUTH_OPTIONS с флагом A - когда mail from разрешен только для прошедших
авторизацию
3) если из сети Intranet разрешено но НЕ ТРЕБУЕТСЯ SMTP-AUTH, те можно использовать
smtp и так и эдак, то в сдучае использования БЕЗ auth -> необходимо настроить RELAY
Проверку на OPEN-RELAY следует производить ЛИБО check по rules, либо извне
Ну вот ЧТО ЗДЕСЬ СЛОЖНО?! Это называется ЗАБЛУДИТЬСЯ в ДВУХ СОСНАХ.
Хотя к верхнему еще можно добавить SMTPS-Based RELAYING, на основе SSL, но это другая
тема. Если человек НЕ ТУПО слизывает с хаутушки, а немножко напряг серое вещество
и получил структурно разложенные знания по пунктам 1)-3) то ну никаких
проблем.
Удачи и успехов

"Принудительная аутентификация в SendMail"
Отправлено pal , 07-Окт-06 12:02

>>Я уверен что OptimusPrime в курсе всего того что ты написал, хотябы
>>образно.
>>Но, когда долго занимаешься одной и той же проблемой доооолгое время -
>>находишь тупик и выйти из него не можешь, т.с. человеческий фактор.
>
>бывает такое, нужно учиться переключаться или снова - с НУЛЯ посмотреть на
>тот же
>вопрос, а он очень просто делится на:
>
>1) ПРИНУДИТЕЛЬНАЯ аутентикация E=Ma в DAEMON_OPTIONS - принудительная на фсЁ in/out
> (ну это не тот случай, отпадает)
>2) confAUTH_OPTIONS с флагом A - когда mail from разрешен только для
>прошедших
>авторизацию
>3) если из сети Intranet разрешено но НЕ ТРЕБУЕТСЯ SMTP-AUTH, те можно
>использовать
>smtp и так и эдак, то в сдучае использования БЕЗ auth -> необходимо настроить RELAY
>Проверку на OPEN-RELAY следует производить ЛИБО check по rules, либо извне
>
>Ну вот ЧТО ЗДЕСЬ СЛОЖНО?! Это называется ЗАБЛУДИТЬСЯ в ДВУХ СОСНАХ.
>Хотя к верхнему еще можно добавить SMTPS-Based RELAYING, на основе SSL, но
>это другая
>тема. Если человек НЕ ТУПО слизывает с хаутушки, а немножко напряг серое
>вещество
>и получил структурно разложенные знания по пунктам 1)-3) то ну никаких
>проблем.
>
>Удачи и успехов

Раз у тебя такие глубокие знания сендмыла, подскажи коли знаешь.
Есть несколько сеток, разделенных файрволом(висят на разных интерфейсах PIX), правила разрешают хождение пакетов по smtp, но:
1) все сервера находящиеся в одной сети при соединении по 25 порту отвечают друг другу - 220 ESMTP Ready
2) все что находится вне первой сетки при соединении получает - 220 ********* (привожу досимвольный ответ)
и возникает вопрос, какие еще порты использует smtp помимо 25tcp при использовании ESMTP?

"Принудительная аутентификация в SendMail"
Отправлено lavr , 07-Окт-06 17:26

>>>Я уверен что OptimusPrime в курсе всего того что ты написал, хотябы
>>>образно.
>>>Но, когда долго занимаешься одной и той же проблемой доооолгое время -
>>>находишь тупик и выйти из него не можешь, т.с. человеческий фактор.
>>
>>бывает такое, нужно учиться переключаться или снова - с НУЛЯ посмотреть на
>>тот же
>>вопрос, а он очень просто делится на:
>>
>>1) ПРИНУДИТЕЛЬНАЯ аутентикация E=Ma в DAEMON_OPTIONS - принудительная на фсЁ in/out
>> (ну это не тот случай, отпадает)
>>2) confAUTH_OPTIONS с флагом A - когда mail from разрешен только для
>>прошедших
>>авторизацию
>>3) если из сети Intranet разрешено но НЕ ТРЕБУЕТСЯ SMTP-AUTH, те можно
>>использовать
>>smtp и так и эдак, то в сдучае использования БЕЗ auth -> необходимо настроить RELAY
>>Проверку на OPEN-RELAY следует производить ЛИБО check по rules, либо извне
>>
>>Ну вот ЧТО ЗДЕСЬ СЛОЖНО?! Это называется ЗАБЛУДИТЬСЯ в ДВУХ СОСНАХ.
>>Хотя к верхнему еще можно добавить SMTPS-Based RELAYING, на основе SSL, но
>>это другая
>>тема. Если человек НЕ ТУПО слизывает с хаутушки, а немножко напряг серое
>>вещество
>>и получил структурно разложенные знания по пунктам 1)-3) то ну никаких
>>проблем.
>>
>>Удачи и успехов
>
>
>Раз у тебя такие глубокие знания сендмыла, подскажи коли знаешь.
>Есть несколько сеток, разделенных файрволом(висят на разных интерфейсах PIX), правила разрешают хождение
>пакетов по smtp, но:
>1) все сервера находящиеся в одной сети при соединении по 25 порту
>отвечают друг другу - 220 ESMTP Ready
>2) все что находится вне первой сетки при соединении получает - 220
>********* (привожу досимвольный ответ)
>
>и возникает вопрос, какие еще порты использует smtp помимо 25tcp при использовании
>ESMTP?
никаких, SMTP и в Африке SMTP, 25/tcp и + если используется MSA(DSN) - 587/tcp.
См. настройки PIX:
no fixup protocol smtp 25
если же не хочется вставить верхнее в Firewall, то ищи:
http://forum.sysadmins.ru/2/ - последние 3-4 месяца, я расписывал как настроить
sendmail для работы ТОЛЬКО по SMTP вместо default'ного ESMTP транспорта.

"Принудительная аутентификация в SendMail"
Отправлено pal , 06-Окт-06 13:46

>>>> Вобщем такая ситуация, есть почтовый сервер на базе MTA sendmail
>>>>8.12.... Я прикрутил к нему SASL2, если в почтовом клиенте поставить
>>>>галочку SMTP авторизация, то SASL работает прекрасно, если в sasldb2 нет
>>>>указанного пользователя, то Relay запрещён, НО!!!, главная проблема в том, что
>>>>я не знаю как заставить sendmail принудительно авторизоваться при отправке через
>>>>SMTP. Если нужны конфиги, то они, впринципе, можно считать стандартные. Система
>>>>RH enterprise 3. Перепробовал всё, даже очищал базу доступа access. В
>>>>итоге добился только того, что при коннекте через telnet на 25
>>>>порт при попытке указать rcpt to: она говорит relay denied, всё
>>>>ОК, НО, если отправлять через Bat!, в нём указать мой SMTP,
>>>>снять галочку SMTP аутентификация, письма идут налево направо, вписывай кого хочешь,
>>>>собственно прямая дорога в BlackList.
>>>
>>>поиск по форуму и чтение документации sendmail, все уже расписывалось
>>
>>Временами полезно самому иногда прочитать документацию и сделать поиск по сайту, чтобы
>>понять, что все статьи на эту тему одинаковы, и полны чуши,
>>к тому же, я ищу ответ на вопрос, который не рассматривался
>>в документации на данном сайте.
>
>пилите дальше:
>
>http://www.sendmail.org/~ca/email/auth.html
>
># less /path/sendmail-sources/cf/README - раздел SMTP AUTHENTICATION
>
>временами полезно учиться правильно формировать запрос для поиска
временами и у меня голову сводит недавняя контузия... но если ты не заметил, у человека аунтификация работает, но все равно релей открыт :(
если не уверен, то давай попросим запустить:
sendmail -d0.1 -bv root
что выдаст?

"Принудительная аутентификация в SendMail"
Отправлено OptimusPrime , 06-Окт-06 14:14

>временами и у меня голову сводит недавняя контузия... но если ты не
>заметил, у человека аунтификация работает, но все равно релей открыт :(
>
>
>если не уверен, то давай попросим запустить:
>
>sendmail -d0.1 -bv root
>
>что выдаст?

Compiled with: DNSMAP HESIOD HES_GETMAILHOST LDAPMAP LOG MAP_REGEX
                MATCHGECOS MILTER MIME7TO8 MIME8TO7 NAMED_BIND NETINET NETINET6
                NETUNIX NEWDB NIS PIPELINING SASLv2 SCANF STARTTLS TCPWRAPPERS
                USERDB USE_LDAP_INIT

"Принудительная аутентификация в SendMail"
Отправлено lavr , 06-Окт-06 14:19

>>>>> Вобщем такая ситуация, есть почтовый сервер на базе MTA sendmail
>>>>>8.12.... Я прикрутил к нему SASL2, если в почтовом клиенте поставить
>>>>>галочку SMTP авторизация, то SASL работает прекрасно, если в sasldb2 нет
>>>>>указанного пользователя, то Relay запрещён, НО!!!, главная проблема в том, что
>>>>>я не знаю как заставить sendmail принудительно авторизоваться при отправке через
>>>>>SMTP. Если нужны конфиги, то они, впринципе, можно считать стандартные. Система
>>>>>RH enterprise 3. Перепробовал всё, даже очищал базу доступа access. В
>>>>>итоге добился только того, что при коннекте через telnet на 25
>>>>>порт при попытке указать rcpt to: она говорит relay denied, всё
>>>>>ОК, НО, если отправлять через Bat!, в нём указать мой SMTP,
>>>>>снять галочку SMTP аутентификация, письма идут налево направо, вписывай кого хочешь,
>>>>>собственно прямая дорога в BlackList.
>>>>
>>>>поиск по форуму и чтение документации sendmail, все уже расписывалось
>>>
>>>Временами полезно самому иногда прочитать документацию и сделать поиск по сайту, чтобы
>>>понять, что все статьи на эту тему одинаковы, и полны чуши,
>>>к тому же, я ищу ответ на вопрос, который не рассматривался
>>>в документации на данном сайте.
>>
>>пилите дальше:
>>
>>http://www.sendmail.org/~ca/email/auth.html
>>
>># less /path/sendmail-sources/cf/README - раздел SMTP AUTHENTICATION
>>
>>временами полезно учиться правильно формировать запрос для поиска
>
>временами и у меня голову сводит недавняя контузия... но если ты не
мне вас пожалеть?! лечись если контуженный, отдыхай и тд и тп...
>заметил, у человека аунтификация работает, но все равно релей открыт :(
если кто-то хочет что-то сделать, именно хочет, пусть приобретает знания,
есть такая поговорка "смотрю в книгу, а вижу ..."
>если не уверен, то давай попросим запустить:
>
>sendmail -d0.1 -bv root
>
>что выдаст?
вероятно фсЁ что связано с открытым релеем ;)

"Принудительная аутентификация в SendMail"
Отправлено pal , 06-Окт-06 14:43

>>>>>> Вобщем такая ситуация, есть почтовый сервер на базе MTA sendmail
>>>>>>8.12.... Я прикрутил к нему SASL2, если в почтовом клиенте поставить
>>>>>>галочку SMTP авторизация, то SASL работает прекрасно, если в sasldb2 нет
>>>>>>указанного пользователя, то Relay запрещён, НО!!!, главная проблема в том, что
>>>>>>я не знаю как заставить sendmail принудительно авторизоваться при отправке через
>>>>>>SMTP. Если нужны конфиги, то они, впринципе, можно считать стандартные. Система
>>>>>>RH enterprise 3. Перепробовал всё, даже очищал базу доступа access. В
>>>>>>итоге добился только того, что при коннекте через telnet на 25
>>>>>>порт при попытке указать rcpt to: она говорит relay denied, всё
>>>>>>ОК, НО, если отправлять через Bat!, в нём указать мой SMTP,
>>>>>>снять галочку SMTP аутентификация, письма идут налево направо, вписывай кого хочешь,
>>>>>>собственно прямая дорога в BlackList.
>>>>>
>>>>>поиск по форуму и чтение документации sendmail, все уже расписывалось
>>>>
>>>>Временами полезно самому иногда прочитать документацию и сделать поиск по сайту, чтобы
>>>>понять, что все статьи на эту тему одинаковы, и полны чуши,
>>>>к тому же, я ищу ответ на вопрос, который не рассматривался
>>>>в документации на данном сайте.
>>>
>>>пилите дальше:
>>>
>>>http://www.sendmail.org/~ca/email/auth.html
>>>
>>># less /path/sendmail-sources/cf/README - раздел SMTP AUTHENTICATION
>>>
>>>временами полезно учиться правильно формировать запрос для поиска
>>
>>временами и у меня голову сводит недавняя контузия... но если ты не
>
>мне вас пожалеть?! лечись если контуженный, отдыхай и тд и тп...
>
>>заметил, у человека аунтификация работает, но все равно релей открыт :(
>
>если кто-то хочет что-то сделать, именно хочет, пусть приобретает знания,
>есть такая поговорка "смотрю в книгу, а вижу ..."
>
>>если не уверен, то давай попросим запустить:
>>
>>sendmail -d0.1 -bv root
>>
>>что выдаст?
>
>вероятно фсЁ что связано с открытым релеем ;)

Вот не понимаю, вроде умные люди должны здесь сидеть. Так нет, большинству просто по клаве постучать хочется... и показать "мы блин самые умные, любите нас", а не за что любить, не добры и не терпеливы вы!
Вам бы не хэндбук читать, а книжку какую-нить по социологии...

"Принудительная аутентификация в SendMail"
Отправлено lavr , 06-Окт-06 15:18

>>>>>>> Вобщем такая ситуация, есть почтовый сервер на базе MTA sendmail
>>>>>>>8.12.... Я прикрутил к нему SASL2, если в почтовом клиенте поставить
>>>>>>>галочку SMTP авторизация, то SASL работает прекрасно, если в sasldb2 нет
>>>>>>>указанного пользователя, то Relay запрещён, НО!!!, главная проблема в том, что
>>>>>>>я не знаю как заставить sendmail принудительно авторизоваться при отправке через
>>>>>>>SMTP. Если нужны конфиги, то они, впринципе, можно считать стандартные. Система
>>>>>>>RH enterprise 3. Перепробовал всё, даже очищал базу доступа access. В
>>>>>>>итоге добился только того, что при коннекте через telnet на 25
>>>>>>>порт при попытке указать rcpt to: она говорит relay denied, всё
>>>>>>>ОК, НО, если отправлять через Bat!, в нём указать мой SMTP,
>>>>>>>снять галочку SMTP аутентификация, письма идут налево направо, вписывай кого хочешь,
>>>>>>>собственно прямая дорога в BlackList.
>>>>>>
>>>>>>поиск по форуму и чтение документации sendmail, все уже расписывалось
>>>>>
>>>>>Временами полезно самому иногда прочитать документацию и сделать поиск по сайту, чтобы
>>>>>понять, что все статьи на эту тему одинаковы, и полны чуши,
>>>>>к тому же, я ищу ответ на вопрос, который не рассматривался
>>>>>в документации на данном сайте.
>>>>
>>>>пилите дальше:
>>>>
>>>>http://www.sendmail.org/~ca/email/auth.html
>>>>
>>>># less /path/sendmail-sources/cf/README - раздел SMTP AUTHENTICATION
>>>>
>>>>временами полезно учиться правильно формировать запрос для поиска
>>>
>>>временами и у меня голову сводит недавняя контузия... но если ты не
>>
>>мне вас пожалеть?! лечись если контуженный, отдыхай и тд и тп...
>>
>>>заметил, у человека аунтификация работает, но все равно релей открыт :(
>>
>>если кто-то хочет что-то сделать, именно хочет, пусть приобретает знания,
>>есть такая поговорка "смотрю в книгу, а вижу ..."
>>
>>>если не уверен, то давай попросим запустить:
>>>
>>>sendmail -d0.1 -bv root
>>>
>>>что выдаст?
>>
>>вероятно фсЁ что связано с открытым релеем ;)
>
>
>Вот не понимаю, вроде умные люди должны здесь сидеть. Так нет, большинству
>просто по клаве постучать хочется... и показать "мы блин самые умные,
>любите нас", а не за что любить, не добры и не
>терпеливы вы!
>
>Вам бы не хэндбук читать, а книжку какую-нить по социологии...
вы все еще handbook видимо читаете, желаю успехов

"Принудительная аутентификация в SendMail"
Отправлено pal , 06-Окт-06 15:31

>>>>>>>> Вобщем такая ситуация, есть почтовый сервер на базе MTA sendmail
>>>>>>>>8.12.... Я прикрутил к нему SASL2, если в почтовом клиенте поставить
>>>>>>>>галочку SMTP авторизация, то SASL работает прекрасно, если в sasldb2 нет
>>>>>>>>указанного пользователя, то Relay запрещён, НО!!!, главная проблема в том, что
>>>>>>>>я не знаю как заставить sendmail принудительно авторизоваться при отправке через
>>>>>>>>SMTP. Если нужны конфиги, то они, впринципе, можно считать стандартные. Система
>>>>>>>>RH enterprise 3. Перепробовал всё, даже очищал базу доступа access. В
>>>>>>>>итоге добился только того, что при коннекте через telnet на 25
>>>>>>>>порт при попытке указать rcpt to: она говорит relay denied, всё
>>>>>>>>ОК, НО, если отправлять через Bat!, в нём указать мой SMTP,
>>>>>>>>снять галочку SMTP аутентификация, письма идут налево направо, вписывай кого хочешь,
>>>>>>>>собственно прямая дорога в BlackList.
>>>>>>>
>>>>>>>поиск по форуму и чтение документации sendmail, все уже расписывалось
>>>>>>
>>>>>>Временами полезно самому иногда прочитать документацию и сделать поиск по сайту, чтобы
>>>>>>понять, что все статьи на эту тему одинаковы, и полны чуши,
>>>>>>к тому же, я ищу ответ на вопрос, который не рассматривался
>>>>>>в документации на данном сайте.
>>>>>
>>>>>пилите дальше:
>>>>>
>>>>>http://www.sendmail.org/~ca/email/auth.html
>>>>>
>>>>># less /path/sendmail-sources/cf/README - раздел SMTP AUTHENTICATION
>>>>>
>>>>>временами полезно учиться правильно формировать запрос для поиска
>>>>
>>>>временами и у меня голову сводит недавняя контузия... но если ты не
>>>
>>>мне вас пожалеть?! лечись если контуженный, отдыхай и тд и тп...
>>>
>>>>заметил, у человека аунтификация работает, но все равно релей открыт :(
>>>
>>>если кто-то хочет что-то сделать, именно хочет, пусть приобретает знания,
>>>есть такая поговорка "смотрю в книгу, а вижу ..."
>>>
>>>>если не уверен, то давай попросим запустить:
>>>>
>>>>sendmail -d0.1 -bv root
>>>>
>>>>что выдаст?
>>>
>>>вероятно фсЁ что связано с открытым релеем ;)
>>
>>
>>Вот не понимаю, вроде умные люди должны здесь сидеть. Так нет, большинству
>>просто по клаве постучать хочется... и показать "мы блин самые умные,
>>любите нас", а не за что любить, не добры и не
>>терпеливы вы!
>>
>>Вам бы не хэндбук читать, а книжку какую-нить по социологии...
>
>вы все еще handbook видимо читаете, желаю успехов

Нет, социологию читаю ;)
и желаю всего самого наилучшего

"Принудительная аутентификация в SendMail"
Отправлено OptimusPrime , 06-Окт-06 14:28

Pal - спасибо тебе огромное, я твой конфиг воткнул, всё работает, значит проблема была в слишком "густом" конфиге, ты окончил мои 5-недельные мучения. =) Если нужна будет какая помощь или что пиши на мыло или в асю.

"Принудительная аутентификация в SendMail"
Отправлено pal , 06-Окт-06 14:39

>Pal - спасибо тебе огромное, я твой конфиг воткнул, всё работает, значит
>проблема была в слишком "густом" конфиге, ты окончил мои 5-недельные мучения.
>=) Если нужна будет какая помощь или что пиши на мыло
>или в асю.
Не мне спасибо, а форуму. Ты сам все сделал.
А теперь потихоньку можно и "догружать" конфиг и проверять когда же все рухнет... ;)
Так узнаешь где была проблема...

"Принудительная аутентификация в SendMail"
Отправлено OptimusPrime , 06-Окт-06 14:44

>>Pal - спасибо тебе огромное, я твой конфиг воткнул, всё работает, значит
>>проблема была в слишком "густом" конфиге, ты окончил мои 5-недельные мучения.
>>=) Если нужна будет какая помощь или что пиши на мыло
>>или в асю.
>Не мне спасибо, а форуму. Ты сам все сделал.
>А теперь потихоньку можно и "догружать" конфиг и проверять когда же все
>рухнет... ;)
>Так узнаешь где была проблема...
Уже в процессе =)