Новые ответы

Open relay Postfix help!!!,

propeller25, 22-Фев-18, 10:22 [смотреть все]

3 дня назад начал валится спам.  Пересылают письма через мой сервак.
конфиг постфикса:
queue_directory = /var/spool/postfix
command_directory = /usr/sbin
daemon_directory = /usr/libexec/postfix
data_directory = /var/lib/postfix
mail_owner = postfix
default_privs = nobody
#myhostname = mail.sdprint.ru
myhostname =  mail2.sdprint.ru
mydomain = sdprint.ru
myorigin = $mydomain
inet_interfaces = all
mydestination = $myhostname, localhost.$mydomain, localhost
local_recipient_maps = $virtual_mailbox_maps, $virtual_alias_maps
#local_recipient_maps =
unknown_local_recipient_reject_code = 550
mynetworks_style = subnet
mynetworks = 127.0.0.0/8, 192.168.14.0/24, 192.168.0.0/24, 192.168.1.0/24, 192.168.5.0/24
relay_domains = $mydestination
#relay_domains = $mydestination
#relayhost = plesk.rtcomm-sibir.ru
#relayhost = mail.relay-nsk.e4u.ru
#relayhost = mail.nic.ru
#relayhost = smtp.e4u.ru
##smtp_sasl_mechanism_filter = digest-md5
#relayhost = mail.sitex.ru

smtp_sasl_auth_enable = yes
smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
#smtp_sasl_security_options =

alias_maps = hash:/etc/postfix/aliases
alias_database = hash:/etc/postfix/aliases
recipient_delimiter = +
#mailbox_command = /usr/bin/procmail
#header_checks = regexp:/etc/postfix/header_checks
#mime_header_checks = regexp:/etc/postfix/mime_header_checks
smtpd_banner = $myhostname ESMTP
debug_peer_level = 1
debug_peer_list = 127.0.0.1, $myhostname
debugger_command =
  PATH=/bin:/usr/bin:/usr/local/bin:/usr/X11R6/bin
  ddd $daemon_directory/$process_name $process_id & sleep 5
setgid_group = postdrop
html_directory = /var/www/postfix
manpage_directory = /usr/local/man
sample_directory = /etc/postfix
readme_directory = no

# RESTRICTIONS
smtpd_restriction_classes = local_only, to_freza_ok
local_only = check_recipient_access hash:/etc/postfix/local_domains, reject
to_freza_ok = check_sender_access hash:/etc/postfix/freza_ok, reject

# ограничения на приветствие отправителя HELO/EHLO
smtpd_helo_restrictions =
# разрешаем все для внутренних клиентов
    permit_mynetworks,
# разрешаем все для тех, кто пройдет SASL-авторизацию по SMTP
    permit_sasl_authenticated,
# "Белый Список" должен быть впереди остальных проверок
# отсекаем приветствия отправителя от моего имени
# а также прописываем разрешения для "продвинутых"
# пример файлика см ниже
    check_helo_access hash:/etc/postfix/helo_access,
# отсекаем тех, кто представляется ИП-адресом.
# это явное нарушение RFC, но практика показала, что это один из явных признаков спама.
    check_helo_access regexp:/etc/postfix/helo_regexp,
# также проверям на динамические адреса (спасибо тем ISP, которые прописывают обратные зоны)
    check_helo_access regexp:/etc/postfix/dul_checks,
# отсекаем кривые адреса (противоречащие RFC, например бывают и
# такие helo=<|http://mail.oldartero.com:8888/cgi-bin/put>
    reject_invalid_hostname,
# если все вышеперечисленное подошло, идем дальше
    permit

# Дополнительные ограничения, применяемые сервером Postfix
# в контексте команды MAIL FROM
smtpd_sender_restrictions =
    check_recipient_access hash:/etc/postfix/restricted_recipients,
    permit_sasl_authenticated,
    permit_mynetworks,
    check_sender_access hash:/etc/postfix/client_access,
#    check_recipient_access hash:/etc/postfix/restricted_recipients,
#    check_sender_mx_access hash:/etc/postfix/mx_access,
#    check_client_access pcre:/etc/postfix/client_access.pcre,
    reject_non_fqdn_sender,
    reject_unknown_sender_domain,
    permit
# Дополнительные ограничения, применяемые сервером Postfix
# в контексте команды RCPT TO
smtpd_recipient_restrictions =
    reject_unauth_pipelining,
    permit_sasl_authenticated,
    permit_mynetworks,
    reject_non_fqdn_recipient,
    reject_unknown_recipient_domain,

#    reject_unauth_pipelining,
    reject_unlisted_recipient,
    check_sender_access hash:/etc/postfix/restricted_senders,
    reject_unauth_destination,

#    premit_auth_destination,
    permit

# Дополнительные ограничения доступа  smtp сервера в контексте
# smtp запроса клиента
smtpd_client_restrictions =
     permit_sasl_authenticated,
     check_client_access regexp:/etc/postfix/dul_checks,
     check_client_access hash:/etc/postfix/client_access,
     permit_mynetworks,
     reject_unknown_client,
     permit
smtpd_data_restrictions =
#    reject_anauth_pipelining,
    reject_multi_recipient_bounce,
    permit

#reject_unknown_client_hostname,
smtpd_etrn_restrictions = reject
smtpd_reject_unlisted_sender = yes
disable_vrfy_command = yes
strict_rfc821_envelopes = yes
show_user_unknown_table_name = no
unverified_sender_reject_code = 550
invalid_hostname_reject_code = 550
non_fqdn_reject_code = 550
unknown_address_reject_code = 550
unknown_client_reject_code = 550
unknown_hostname_reject_code = 550
unverified_recipient_reject_code = 550
smtpd_helo_required = yes
smtp_always_send_ehlo = yes
smtpd_hard_error_limit = 8
# Включаем поддержку sasl аутентификации
smtpd_sasl_auth_enable = yes
smtpd_sasl_application_name = smtpd
broken_sasl_auth_clients = no
smtpd_sasl_local_domain = $mydomain
smtpd_sasl_security_options = noanonymous
#
#smtp_sasl_security_options = noanonymous, noplaintext, noactive, nodictionary
#smtp_sasl_password_maps = mysql:/etc/postfix/mysqlLookupMaps/mysql_sasl.cf

smtpd_sender_login_maps = mysql:/etc/postfix/mysqlLookupMaps/sender.cf
transport_maps = mysql:/etc/postfix/mysqlLookupMaps/transport.cf
virtual_alias_maps = mysql:/etc/postfix/mysqlLookupMaps/alias.cf
#virtual_alias_maps = mysql:/etc/postfix/mysqlLookupMaps/alias.cf, hash:/usr/local/mailman/data/virtual-mailman
virtual_mailbox_domains = mysql:/etc/postfix/mysqlLookupMaps/domain.cf
virtual_mailbox_maps = mysql:/etc/postfix/mysqlLookupMaps/mailbox.cf
virtual_mailbox_base = /var/spool/mail
#transport_map = hash:/etc/postfix/transport
# Настраиваем поддержку квот
virtual_mailbox_limit_maps = mysql:/etc/postfix/mysqlLookupMaps/quota.cf
virtual_maildir_extended=yes
virtual_mailbox_limit_override=yes
virtual_create_maildirsize = yes
virtual_overquota_bounce = yes
virtual_maildir_limit_message="Sorry, the user's maildir has overdrawn his diskspace quota, please try again later"
# Ограничиваем максимальный размер письма до 15 Мб
message_size_limit = 20971520

virtual_gid_maps = static:1005
virtual_uid_maps = static:1005
virtual_minimum_uid = 1001
recipient_bcc_maps = hash:/etc/postfix/recipient_bcc

default_transport = smtp
relay_transport = smtp
# Антивирус
#content_filter = scan:[127.0.0.1]:10026
#content_filter = smtp
#content_filter = scan:[127.0.0.1]:10025
#content_filter = avscan:127.0.0.1:10025
#receive_override_options = no_address_mappings

#Запрет отправки писем с ящика: 20 писем за 10 минут макс
anvil_rate_time_unit = 600s
smtpd_client_message_rate_limit = 20

Помогите закрыть openrelay , плиз.

Ответить | Сообщить модератору

Open relay  Postfix  help!!!, ipmanyak, 13:23 , 22-Фев-18 (1)
http://www.postfix.org/SMTPD_ACCESS_README.html#relay
в  smtpd_recipient_restrictions добавь  reject_unauth_destination
не вижу опцию  relay_domains в ней указываются домены, для которых принимать  почту
relay_domains = $mydestination, твой_домен.ru
Ответить | Сообщить модератору

Open relay  Postfix  help!!!, propeller25, 14:26 , 22-Фев-18 (2)
> http://www.postfix.org/SMTPD_ACCESS_README.html#relay
>  в  smtpd_recipient_restrictions добавь  reject_unauth_destination
> не вижу опцию  relay_domains в ней указываются домены, для которых принимать
>  почту
> relay_domains = $mydestination, твой_домен.ru
Все это есть в конфиге, просто строчками ниже и через запятую. Это допустимый формат конфига. Поищите поискам, если в глаза сразу не бросается.
Ответить | Сообщить модератору

Open relay Postfix help!!!, ALex_hha, 14:41 , 22-Фев-18 (3)
> 3 дня назад начал валится спам. Пересылают письма через мой сервак.
а лог пересылки спама мы должны угадать?
Ответить | Сообщить модератору

Open relay Postfix help!!!, propeller25, 14:45 , 22-Фев-18 (4)
>> 3 дня назад начал валится спам. Пересылают письма через мой сервак.
> а лог пересылки спама мы должны угадать?
Я же писал. Заходим на айпи сервака и отсылаем откуда угодно кому угодно письмо.
Тесты на оперрелей сервер не проходит. Тесты все подряд говорят, что этот сервер оперрелей
Ответить | Сообщить модератору

Open relay  Postfix  help!!!, propeller25, 18:50 , 22-Фев-18 (5)
>>> 3 дня назад начал валится спам.  Пересылают письма через мой сервак.
>> а лог пересылки спама мы должны угадать?
> Я же писал. Заходим на айпи сервака и отсылаем откуда угодно кому
> угодно письмо.
> Тесты на оперрелей сервер не проходит. Тесты все подряд говорят, что этот
> сервер оперрелей
Так. Я немного разобрался.  Сервер у меня за NAT
Т.е. на него проброшены порты с микротика.  Адрес внутренний микротика 192.168.0.4
Как только я в майнетворк вписываю  этот адрес -  сервер становится опенрелеем. Если нет этого адреса - он недоступен извне, но и письма на него не приходят.   Т.е. разрешая 192.168.0.4  мы разрешаем и опенрелей и внутреннюю подсеть.
Хелп!
Поставить постфикс одним интерфейсом в инет не предлагать. Мне нужен сервак за NAT
Ответить | Сообщить модератору
Open relay Postfix help!!!, Alex_hha, 19:16 , 22-Фев-18 (6)
>>> 3 дня назад начал валится спам. Пересылают письма через мой сервак.
>> а лог пересылки спама мы должны угадать?
> Я же писал. Заходим на айпи сервака и отсылаем откуда угодно кому
> угодно письмо.
ну тогда удачи в поиске проблемы :)
Ответить | Сообщить модератору

Open relay  Postfix  help!!!, propeller25, 20:39 , 22-Фев-18 (7)
>>>> 3 дня назад начал валится спам.  Пересылают письма через мой сервак.
>>> а лог пересылки спама мы должны угадать?
>> Я же писал. Заходим на айпи сервака и отсылаем откуда угодно кому
>> угодно письмо.
> ну тогда удачи в поиске проблемы :)
Проблема решена   изменением конфига роутера. DNAT нужен был.
Ответить | Сообщить модератору

Open relay Postfix help!!!, Pahanivo, 00:33 , 23-Фев-18 (8)
> Проблема решена изменением конфига роутера. DNAT нужен был.
херасе ....
Ответить | Сообщить модератору