The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Релиз почтового сервера Postfix 2.11.0

16.01.2014 11:50

После одиннадцати месяцев разработки представлен релиз новой стабильной ветки почтового сервера Postfix - 2.11.0. Postfix является одним из редких проектов, сочетающих одновременно высокую безопасность, надёжность и производительность, чего удалось добиться благодаря продуманной архитектуре и достаточно жесткой политике оформления кода и аудита патчей. Одновременно с выходом новой ветки, объявлено о прекращении поддержки ветки Postfix 2.7, выпущенной в начале 2010 года.

Из особенностей новой ветки можно отметить:

  • Поддержка верификации серверных сертификатов TLS с использованием DANE (DNS-based Authentication of Named Entities) без привлечения инфраструктуры открытых ключей (PKI, Public Key Infrastructure), т.е. без оценки валидности на основе заверения удостоверяющим центром. При использовании DANE для подтверждения достоверности сервера применяется метод непосредственной передачи публичного ключа или сертификата сервера через DNS с проверкой подлинности переданных данных при помощи DNSSEC. Основной проблемой PKI является большое разрастание доверительной сети, в которой любой удостоверяющий центр может выписать валидный сертификат для любого домена, что подрывает всю систему при компрометации хотябы одного удостоверяющего центра. В случае DANE за подтверждение сертификатов отвечает непосредственно владелец доменной зоны, права которого подтверждаются владельцем родительского домена более высокого уровня.
  • Поддержка постоянного хранения локальных баз данных в формате LMDB, развиваемом проектом OpenLDAP. Поддерживается LMDB 0.9.11 и более новые выпуски. В отличие от других форматов хранения БД (например, btree, hash, dbm, cdb, sdbm ) при использовании LMDB обеспечена возможность одновременной записи в базу из нескольких процессов, таких как postscreen. Ранее поддержка совместной записи из параллельно выполняемых процессов могла быть реализована только при помощи memcached.
  • Добавлена опция postscreen_dnsbl_whitelist_threshold, позволяющая клиентам пропустить тесты postscreen (выполняет роль легковесного межсетевого экрана, предназначенного для первичного блокирования соединений от рассылающих спам зомби-машин) в зависимости от результатов проверки по белому списку через DNSBL. Применение postscreen_dnsbl_whitelist_threshold позволяет избавиться от заметных задержек в доставке почты от заведомо валидных почтовых систем, в которых повторные запросы не отправляются с одного и того же IP (задержка возникает из-за теста с использованием повторного реконнекта), например, так поступает Google.
  • В директиве recipient_delimiter теперь возможно указание нескольких символов-разделителей, например, можно одновременно использовать как разделители "+" и "-".
  • В master.cf реализованы расширенные операции запроса и обновления при доступе к атрибутам сервисов в формате ключ/значение. Например, для выключения помещения в chroot всех сервисов можно использовать "postconf -F '*/*/chroot = n'", а для добавления значения параметра сразу для нескольких серивисов - "postconf -P smtp/inet/name = value". Указанная возможность позволяет разработчикам автоматизированных инструментов организовать управление почтовым сервером без разбора файлов конфигурации.


  1. Главная ссылка к новости (http://permalink.gmane.org/gma...)
  2. OpenNews: Релиз почтового сервера Postfix 2.10.0
  3. OpenNews: Релиз почтового сервера Postfix 2.9.0
  4. OpenNews: Релиз почтового сервера Postfix 2.8.0
  5. OpenNews: Новый стабильный релиз почтового сервера Postfix - 2.7.0
  6. OpenNews: Представлен релиз Postfix 2.6.0
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/38868-postfix
Ключевые слова: postfix
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (82) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.3, анонимм (?), 12:08, 16/01/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +7 +/
    Хоть один проект настоящие крутые фичи внедряет, а не безумные перделки.
     
     
  • 2.4, Perain (?), 12:09, 16/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    exim под нагрузкой не прогибается
     
     
  • 3.5, Аноним (-), 12:23, 16/01/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Как и postfix. Зато у последнего конфиг адекватный.
     
     
  • 4.6, DeadLoco (ok), 12:27, 16/01/2014 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Дистро-специфичные извращения никакого отношения к экзиму не имеют. Блок параметров, блок ацлей, блок роутеров, блок транспортов - все. Чистенько, аккуратненько, прямолинейно и очевидно. Ну а что в комплекте с нескучными обойчиками часто идет винегрет из мелко покрошеных инклудов - то печаль линуксоидов, а не экзима.
     
     
  • 5.7, Perain (?), 12:38, 16/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    еще бы в формате yaml
     
     
  • 6.8, anonanon.anon (?), 13:03, 16/01/2014 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Упасите Святые Небеса!!
    Нормальный конфиг у Постфикса.
    И, ИМХО, Постфикс все-таки более гибок в настройке, чем Эксим
     
     
  • 7.9, Andrey Mitrofanov (?), 13:06, 16/01/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Нормальный конфиг у Постфикса.

    Да. Для тех, кто не осилил экзим.

    Это для них "Добавлена опция postscreen_dnsbl_whitelist_threshold, позволяющая" не патчить Си-код для и не встраивать язык программирования в конфиг.

    > И, ИМХО, Постфикс все-таки более гибок в настройке, чем Эксим

    Нет.


     
     
  • 8.34, Аноним (-), 20:05, 16/01/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Да Конфиг - это не код Все правильно сделали ... текст свёрнут, показать
     
  • 3.14, Michael Shigorin (ok), 13:59, 16/01/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > exim под нагрузкой не прогибается

    Если б ещё не remote root раз в несколько лет... :-(

     
     
  • 4.15, pavel_simple (ok), 14:01, 16/01/2014 [^] [^^] [^^^] [ответить]  
  • –3 +/
    >> exim под нагрузкой не прогибается
    > Если б ещё не remote root раз в несколько лет... :-(

    ну,, последний "root" был только для любителей настраивать всё к чему руки дотянулись следуя партийному инструктажу с сайта лисяры.

     
     
  • 5.22, Andrey Mitrofanov (?), 16:21, 16/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >> Если б ещё не remote root раз в несколько лет... :-(
    > ну,, последний "root" был только для любителей настраивать всё к чему руки
    > дотянулись следуя партийному инструктажу с сайта лисяры.

    И да, oldstable был ниуязвим! За неимением. DKIM-а, не exim-f, если кто не понял.

    Но да, лисярщикам -- наше с кисточкой за фиксинг нашего нового oldstable-а.

     
  • 4.38, ALex_hha (ok), 20:23, 16/01/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> exim под нагрузкой не прогибается
    > Если б ещё не remote root раз в несколько лет... :-(

    Насколько помню один из недавних рутов был специфичен только для debian

     
     
  • 5.47, Andrey Mitrofanov (?), 21:24, 16/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >> Если б ещё не remote root раз в несколько лет... :-(
    > Насколько помню один из недавних рутов был специфичен только для debian

    Напомни, https://security-tracker.debian.org/tracker/source-package/exim4 который?

    -
    Если про use_shell, то там remote shell, но не root был. И Debian распространял бырявый кусок конфига с давкотовского wiki.

     

  • 1.19, Адекват (ok), 14:46, 16/01/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    И все-таки хочеться _штатной_ проверки spf, желательно  включаемой и выключаемой возможности проверки соответствия значения helo.
    А так же возможности включить проверки соответствия значения helo и dns-имени по ip адресу с которого пришло письмо.
    а вообще smtp - такой древний костыль, который обрастает другими мини-костылями, а мини-костыли своими микро-костылями, что просто вах.
    smtp сохраняет свой изначальный SHIT - отправку и получения почты без авторизации.
    Существует куча restrictions, которые не дают 100% гарантии того, что вам не придет спам.
    Потому что там идет проверка _наличия_ helo и максимум - соответствия FQDN.
    Но простейший баш-скрипт позволит отправить письмо (от имени mail.ru, потому что у этих и прочих ***дарастов очень лояльные spf) и получить жертве, при условии что у вас провайдер выдает ip с записью в обратной зоне dns.
    а таких сейчас не мало.
    Итого - основой всех проблем является не почтовые сервера, а сам протокол smtp.
    Проблему спама можно было бы решить давно (не знаю как именно, но знаю что можно), переделкой стандартов SMTP, но видимо наличие спама - кому-то выгодно.
    Да что я говорю - просто обязательная проверка spf и жесткие ограничения на стороне ВСЕХ почтовых серверов по spf - и все, спама не было бы вообще.
    Если у какого-нить mail.ru появился новый ip для smtp-релея то добавить его к валидным spf - дело пяти мину.
    К слову у моего postfix разрешения в spf для одного ip и для всего остального - жесткий минус, так что МНОЙ уже никто не сможет представиться.
     
     
  • 2.27, Etch (?), 16:49, 16/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > И все-таки хочеться _штатной_ проверки spf

    +1, но только чтобы настраивалась гибко. Не, я конечно сделал у себя блокировку не только fail, но и softfail, и даже neutral блокирую для определённых доменов... А для некоторых доменов даже по отсутствию spf-записи блокировку сделал, но для всего этого пришлось нехило накостылить в стандартном перловом скрипте.

    Кстати, по моей статистике на данный момент уже около 45% доменов имеют spf-записи, так что его проверка даёт ощутимый эффект. Вот данные, полученые  из логов постфикса с предварительной группировкой по доменам (правда, сюда не попало то, что отсеялось по RBL и другим проверкам, которые срабатывают раньше):
        276 fail
        558 neutral
       3822 none
       1466 pass
        185 permerror
        632 softfail
        106 temperror

     
     
  • 3.29, Адекват (ok), 16:58, 16/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > +1, но только чтобы настраивалась гибко. Не, я конечно сделал у себя
    > блокировку не только fail, но и softfail, и даже neutral блокирую
    > для определённых доменов... А для некоторых доменов даже по отсутствию spf-записи
    > блокировку сделал, но для всего этого пришлось нехило накостылить в стандартном
    > перловом скрипте.

    Круто, молодец что осилил перл, а я вот не стал разбираться, перл не умею вообще.

     
  • 2.31, Pahanivo (ok), 19:02, 16/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Да что я говорю - просто обязательная проверка spf и жесткие ограничения
    > на стороне ВСЕХ почтовых серверов по spf - и все, спама
    > не было бы вообще.

    ололо ...
    вы забыли про еще одно не мене слабое звено smtp - долбануто-рукажопый легион юзерастов
    один сломаный ящик на авторизацию отправки - и вуаля - спам с легальным spf )) да и спамботом вроде никто не запрещал им себе ставить ))

     
  • 2.32, xM (?), 19:36, 16/01/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    SPF вообще ни разу не панацея и, более того, может быть даже наоборот.
    Умные спамеры давно это поняли и делают в своих SPF записях что-то вроде
    "v=spf1 +IP1/8 +IP2/8 ... ~all"
    А можно и /1 сделать
     
     
  • 3.41, Etch (?), 20:38, 16/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Пускай делают, все домены с такими SPF-записями сразу отправляются лесом. Почтовые админы тоже не вчера родились.
     
     
  • 4.43, xM (?), 20:54, 16/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Это понятно. Непонятен энтузиазм товарища насчёт SPF.
    Тогда б уж DKIM + ADSP пиарил... ;-)
     
     
  • 5.49, Etch (?), 21:58, 16/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Это понятно. Непонятен энтузиазм товарища насчёт SPF.
    > Тогда б уж DKIM + ADSP пиарил... ;-)

    Так ведь нормальная эффективная технология, вот и вселяет энтузиазм.

    А чем DKIM лучше? Распространён слабо, для антиспама подходит только в сочетании с ADSP, который вообще почти не встречается в реальной жизни. И даже с ADSP остаётся уязвимость вида "отправили одно спам-письмо самим себе и затем рассылаем подписанные копии откуда хотим".

    DKIM хорошо приспособлен только для подтверждения факта прохода через конкретный почтовик, чтобы нельзя было подделать письмо от Васи и сказать что это он его тебе отправил с гмыла.

     
     
  • 6.50, xM (?), 23:08, 16/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Вот тем и лучше, что подтверждает происхождение письма и его достоверность за счет DKIM, а также поведение принимающих его серверов следуя политике прописанной в ADSP.
    Но, опять же, не панацея.
     
     
  • 7.55, Etch (?), 23:28, 16/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Вот тем и лучше, что подтверждает происхождение письма и его достоверность за
    > счет DKIM,

    Прекрасно, только при чём тут антиспам?

    > а также поведение принимающих его серверов следуя политике прописанной
    > в ADSP.

    Хорошая попытка, но спамеры со своих доменов всё ещё могут отправлять спам через ботнеты. Если в SPF есть возможность блокировать записи вида +ip4:5.0.0.0/8, то в DKIM+ADSP зацепиться незачто.

    > Но, опять же, не панацея.

     
     
  • 8.58, xM (ok), 23:31, 16/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Но только со своих адресов, что уже намного приятнее, не так ли Опять же, повто... текст свёрнут, показать
     
     
  • 9.59, Etch (?), 23:43, 16/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Чего Как это у вас DKIM позволяет проверять - со своего IP отправлено письмо ил... текст свёрнут, показать
     
     
  • 10.62, xM (ok), 01:00, 17/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    адресов e-mail, конечно А их может подписывать только свой сервер Но, как в... текст свёрнут, показать
     
  • 6.51, xM (ok), 23:14, 16/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > "отправили одно спам-письмо самим себе и затем рассылаем подписанные копии откуда хотим"

    Вот это недопонял...

     
     
  • 7.60, Etch (?), 23:49, 16/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >> "отправили одно спам-письмо самим себе и затем рассылаем подписанные копии откуда хотим"
    > Вот это недопонял...

    Заводим ящик на гмейл, отправляем с него нужное письмо самим себе. Затем берём это письмо со всеми заголовками и рассылаем через ботнеты. Конверт SMTP-протокола не обязан совпадать с заголовками From и To в самом письме, так что все почтовые сервера будут думать, что это письмо отправил сам гмейл. Конечно, это при условии отсутствия проверки (или отсутствия) SPF-записи.

     
     
  • 8.61, xM (ok), 00:55, 17/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Ага, уловил Вот именно ... текст свёрнут, показать
     
     
  • 9.63, Etch (?), 01:03, 17/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Что вот именно Вывод-то какой - Правильно, для антиспама нужен SPF, а DKIM ADS... текст свёрнут, показать
     
     
  • 10.66, продавец_кирпичей (?), 01:28, 17/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Так вот почему ты стал айтишником - у тебя логика бинарная О том, что ADSP ... текст свёрнут, показать
     
     
  • 11.68, Etch (?), 01:49, 17/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Чухча не читатель Не сочтите за труд подняться к сообщению 43 и посмотреть с ч... текст свёрнут, показать
     
     
  • 12.73, xM (ok), 09:18, 17/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Например, получение письма с домена well known DKIM signer а-ля gmail com без по... текст свёрнут, показать
     
     
  • 13.81, Etch (?), 17:01, 17/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Если речь идёт про well known, то информации из SPF вполне достаточно - DKIM сов... текст свёрнут, показать
     
     
  • 14.83, xM (ok), 19:27, 17/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Жестоко вы Я на softfail баллов накидываю только ... текст свёрнут, показать
     
     
  • 15.86, Etch (?), 19:54, 17/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Проблем пока небыло А если возникнут, то занести домен в исключения не проблема... текст свёрнут, показать
     
  • 10.72, xM (ok), 09:15, 17/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Неправильно Сам по-себе SPF проблему не решает, а может и новые создавать SPF ... текст свёрнут, показать
     
     
  • 11.82, Etch (?), 17:07, 17/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Вы не привели ни одного примера, где DKIM ADSP имел бы какое-то преимущество пер... текст свёрнут, показать
     
     
  • 12.84, xM (ok), 19:28, 17/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    См выше случай с well know DKIM signers... текст свёрнут, показать
     
     
  • 13.85, Etch (?), 19:51, 17/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Как я и ответил на то сообщение - SPF для этого более чем достаточен Так что я ... текст свёрнут, показать
     
     
  • 14.88, xM (ok), 23:59, 17/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Это реальный пример, который лично я использую при разборе входящей почты в конф... текст свёрнут, показать
     
     
  • 15.89, Etch (?), 02:06, 18/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Это понятно, что можно и молотком саморезы забивать - это дело вкуса Видимо, вы... большой текст свёрнут, показать
     
  • 2.39, ALex_hha (ok), 20:34, 16/01/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    это и многое другое уже давно есть в exim из коробки как вы себе представляет... большой текст свёрнут, показать
     
     
  • 3.42, Etch (?), 20:48, 16/01/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> Если у какого-нить mail.ru появился новый ip для smtp-релея то добавить его
    >> к валидным spf - дело пяти мину.
    > и что дальше? Приехали вы в другую страну, в крупную организацию и
    > хотите отправить почту от имени mail.ru, а 25/587 порт в мир
    > закрыты, только внутренний корпоративный smtp релей. По вашей логике все идут
    > лесом в таком случае.

    Зайдёт через браузер и отправит. А за открытый релей вообще надо по рукам давать, ибо первый же вирус в локалке вполне заслуженно занесёт этот релей во всевозможные чёрные списки.

     
     
  • 4.56, ALex_hha (ok), 23:28, 16/01/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >>> Если у какого-нить mail.ru появился новый ip для smtp-релея то добавить его
    >>> к валидным spf - дело пяти мину.
    >> и что дальше? Приехали вы в другую страну, в крупную организацию и
    >> хотите отправить почту от имени mail.ru, а 25/587 порт в мир
    >> закрыты, только внутренний корпоративный smtp релей. По вашей логике все идут
    >> лесом в таком случае.
    > Зайдёт через браузер и отправит.

    очень удобно? веб тоже может быть зафильтрован :D

    > А за открытый релей вообще надо по рукам давать, ибо первый же вирус в локалке вполне заслуженно занесёт этот релей во всевозможные чёрные списки.

    а никто не сказал что он открытый, он с аутентификацией и что дальше?


     
     
  • 5.65, Etch (?), 01:23, 17/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Ну вот прямо всё вам закрыли, а от почтового релея аккаунт дали... Это что за организация такая и что вы там делали, стесняюсь спросить?
     
  • 3.45, xM (?), 20:56, 16/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > как вы себе представляете отправку почту с авторизацией на незнакомый домен?

    А у вас авторизованные пользователи только локально почту отправляют? :-D

     
     
  • 4.54, ALex_hha (ok), 23:26, 16/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >> как вы себе представляете отправку почту с авторизацией на незнакомый домен?
    > А у вас авторизованные пользователи только локально почту отправляют? :-D

    аутентификацию от авторизации отличаем?

     
     
  • 5.75, xM (ok), 09:20, 17/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > аутентификацию от авторизации отличаем?

    Ну так объясните разницу, гениальный вы наш.

     
     
  • 6.79, ALex_hha (ok), 16:30, 17/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >> аутентификацию от авторизации отличаем?
    > Ну так объясните разницу, гениальный вы наш.

    у вас гугл забанили?

     
     
  • 7.87, xM (ok), 23:57, 17/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Ну т.е. blah-blah-blah
     
  • 3.74, Адекват (ok), 09:19, 17/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > это и многое другое уже давно есть в exim из коробки ;)

    Уточню - возможность взять значение helo, затем ip с которого пришло письмо, затем этот ip преобразовать в доменное имя и сравнить это имя со значением в helo ?

    > как вы себе представляете отправку почту с авторизацией на незнакомый домен?

    Ну если представлять, то примерно так - после получения письма, ваш почтовик должен обратиться к отправителю и спросить "ты мне сейчас посылал письмо вот с таким id ?"
    и тот должен ответить "да" или "нет".

    > 100% дают только в морге, фильтрация спама это не задача МТА как
    > такового.

    Конечно, а я про что :) ?

    > а зачем принимать решение только по одному критерию - наличие/отсутствию spf записи?

    Не только но и в том числе, может я не четко выразился, у меня проверка spf стоит одной из последних.

    > как вы ловко приплели spf к smtp, даже не знаю что и
    > сказать

    Было бы не плохо если проверка spf была бы штатной, невыключаемой фишкой smtp, так же как и запрос MAIL FROM. А указание spf записи - такой же обязательной штукой, как и указание доменного имени для почтовика.

    > не поспоришь! Вам надо идти в политику, они тоже не знаю что

    Тоже так думаю, не важно что я говорю, важно КАК я это говорю.
    Шутка, шутка.


    >> Если у какого-нить mail.ru появился новый ip для smtp-релея то добавить его
    >> к валидным spf - дело пяти мину.
    > и что дальше? Приехали вы в другую страну, в крупную организацию и
    > хотите отправить почту от имени mail.ru, а 25/587 порт в мир
    > закрыты, только внутренний корпоративный smtp релей. По вашей логике все идут
    > лесом в таком случае.

    Зачем в корпоративной сети слать почту от имени mail.ru ?

    > Я смогу представиться и отправить на сервер, который не делает проверки SFP

    Вот, и чья проблема в этом случае? что у вас будет спам от имени моего сервера :) ?

     
     
  • 4.80, ALex_hha (ok), 16:40, 17/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    да Собственно в exim все такие фишки ограничены только извращенностью вашей фан... большой текст свёрнут, показать
     

  • 1.21, Аноним (-), 14:56, 16/01/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Гуру, объясните, пожалуйста, что это за тест с использованием повторного реконнекта?
     
     
  • 2.23, Andrey Mitrofanov (?), 16:27, 16/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Гуру, объясните, пожалуйста, что это за тест с использованием повторного реконнекта?

    Это специальная *удобная* опция для ускорения хождения на костылях!

    ***грейлистинг (или это как-то по-другому называется) с _не_приёмом_ соединения с первой попытки с конкр.ip клиента, а только со второго -- решает больщую часть бот-нет спамеров, но может задерживить прием с исходящих (гугль), у которых _несколько_ [одновременно/попеременно] шлющих наружу ip.

     
     
  • 3.26, asavah (ok), 16:48, 16/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    дык есть список исключений greylist-а, забил туда всех известных "неадекватов" и всё пашет.
    хотя на сегодняшний день спамеры тоже умные пошли, грэйлистинг умеют, не раз в логах видел, приходится особо надоедливых по домену банить, хотя это тоже им пох, домены нонче дёшевы, а amavisd/spamassasin не всё режут (ессно пока спам в "базы" не попадёт)
     
  • 3.28, Адекват (ok), 16:57, 16/01/2014 [^] [^^] [^^^] [ответить]  
  • –4 +/
    >с _не_приёмом_ соединения с первой попытки с конкр.ip

    Уже представил как какая-то фирма лишилась выгодного контракта, потому что письмо с контрактом попало в грейлистинг.

     
     
  • 4.33, Аноним (-), 20:04, 16/01/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Уже представил как какая-то фирма лишилась выгодного контракта, потому что письмо с контрактом попало в грейлистинг.

    Метод основан на том, что практически любой нормальный почтовик спокойно отнесется к отлупу и повторит попытку (в отличие от самп-бота, который просто перейдет к следующему хосту).

    Если фирма наняла убунтоадмина за полставки, и он, бездумно следуя нагугленному мануалу от такого же убунтоадмина, взял и отключил retry, это уже проблема конкретной фирмы. Нефиг экономить на спич^Wадминах.

     
  • 4.37, ALex_hha (ok), 20:20, 16/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >>с _не_приёмом_ соединения с первой попытки с конкр.ip
    > Уже представил как какая-то фирма лишилась выгодного контракта, потому что письмо с
    > контрактом попало в грейлистинг.

    Прочитайте RFC и как себя должен вести "нормальный" MTA в таких случаях ;)

     
     
  • 5.48, Andrey Mitrofanov (?), 21:26, 16/01/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >>>с _не_приёмом_ соединения с первой попытки с конкр.ip
    >> Уже представил как какая-то фирма лишилась выгодного контракта, потому что письмо с
    >> контрактом попало в грейлистинг.
    > Прочитайте RFC и как себя должен вести "нормальный" MTA в таких случаях ;)

    Да, он же спамер! Он документации не читает. //Хотя может и бот.

     
  • 4.46, Mila (??), 21:11, 16/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >>с _не_приёмом_ соединения с первой попытки с конкр.ip
    > Уже представил как какая-то фирма лишилась выгодного контракта, потому что письмо с
    > контрактом попало в грейлистинг.

    А вот грейлистинг, как и все пилюли, нельзя применять бездумно. Специфику организации учитывать надо.
    Там где задержки нежелательны я использовал policyd 1.8X, там есть очень классная штука, спаммтраппинг, по-моему. Смысл таков: в Инете "свечу" нужные мне ящики. Потихоньку на эти ящики начинает валить спам, адреса отправителей заносятся в блэклист.
    Может случится так, что из сети контрагентов валил спам и попал в блэклист, а потом не прошло валидное письмо, но это уже их проблемы :-).

     
     
  • 5.70, Аноним (-), 03:48, 17/01/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >Там где задержки нежелательны

    Там, где нежелательны задержки, не надо использовать электронную почту, потому что SMTP не гарантирует сроки доставки и никогда не собирался их гарантировать, ибо "best effort". То, что он обычно good, не означает каких-либо гарантий.

     
  • 3.40, ALex_hha (ok), 20:37, 16/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >> Гуру, объясните, пожалуйста, что это за тест с использованием повторного реконнекта?
    > Это специальная *удобная* опция для ускорения хождения на костылях!
    > ***грейлистинг (или это как-то по-другому называется) с _не_приёмом_ соединения с первой
    > попытки с конкр.ip клиента, а только со второго -- решает больщую
    > часть бот-нет спамеров, но может задерживить прием с исходящих (гугль), у
    > которых _несколько_ [одновременно/попеременно] шлющих наружу ip.

    при грамотной настройке не будет никаких задержек, просто не надо грейлистить всех подряд без разбора ;)

     
     
  • 4.52, Mila (??), 23:19, 16/01/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >>> Гуру, объясните, пожалуйста, что это за тест с использованием повторного реконнекта?
    >> Это специальная *удобная* опция для ускорения хождения на костылях!
    >> ***грейлистинг (или это как-то по-другому называется) с _не_приёмом_ соединения с первой
    >> попытки с конкр.ip клиента, а только со второго -- решает больщую
    >> часть бот-нет спамеров, но может задерживить прием с исходящих (гугль), у
    >> которых _несколько_ [одновременно/попеременно] шлющих наружу ip.
    > при грамотной настройке не будет никаких задержек, просто не надо грейлистить всех
    > подряд без разбора ;)

    Все равно будут.Проверено опытом. Вы все домены всех контрагентов в белый список не внесете.

     
     
  • 5.53, ALex_hha (ok), 23:25, 16/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >>>> Гуру, объясните, пожалуйста, что это за тест с использованием повторного реконнекта?
    >>> Это специальная *удобная* опция для ускорения хождения на костылях!
    >>> ***грейлистинг (или это как-то по-другому называется) с _не_приёмом_ соединения с первой
    >>> попытки с конкр.ip клиента, а только со второго -- решает больщую
    >>> часть бот-нет спамеров, но может задерживить прием с исходящих (гугль), у
    >>> которых _несколько_ [одновременно/попеременно] шлющих наружу ip.
    >> при грамотной настройке не будет никаких задержек, просто не надо грейлистить всех
    >> подряд без разбора ;)
    >  Все равно будут.Проверено опытом. Вы все домены всех контрагентов в белый
    > список не внесете.

    ну разве что единичные случаи ;)

     
     
  • 6.77, Ano (?), 12:31, 17/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    У меня была одна проблема с грейлистингом, почтовый сервер посольство Англии не повторял отправку. Шеф из за этого сильно злой был =)
    Пришлось "хорошо" настроенный почтовик Английского посольства, добавлять в белый список.
    А ведь Англия жэ...
    Как так!
     
     
  • 7.78, ALex_hha (ok), 13:31, 17/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > У меня была одна проблема с грейлистингом, почтовый сервер посольство Англии не
    > повторял отправку. Шеф из за этого сильно злой был =)
    > Пришлось "хорошо" настроенный почтовик Английского посольства, добавлять в белый список.
    > А ведь Англия жэ...
    > Как так!

    а что, по вашему в Англии/США/Германии/etc... нет криворуких админов? ;)

     
     
  • 8.90, Ano (?), 10:15, 18/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Было высокое мнение о Англии, но теперь точно уверен что криворукие админы есть ... текст свёрнут, показать
     
  • 7.91, Michael Shigorin (ok), 18:34, 18/01/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Как так!

    Тупые, сэр.

     

  • 1.24, mcshel (ok), 16:38, 16/01/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    exim более гибкий MTA, адекватно его лучше использловать на шлюзах.

    А вот для связки с dovecot, postfix подходит лучше, так конфиги по синтаксису схожи.

     
     
  • 2.67, продавец_кирпичей (?), 01:33, 17/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > exim более гибкий MTA, адекватно его лучше использловать на шлюзах.
    > А вот для связки с dovecot, postfix подходит лучше, так конфиги по
    > синтаксису схожи.

    Зато у вас неров лич^W хардкодед задержка  в очереди :)

    П.С гибкий примерно как опенбсд :)))

     
  • 2.69, Аноним (-), 02:06, 17/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > exim более гибкий MTA, адекватно его лучше использловать на шлюзах.

    Напуркуа на шлюзе гибкость?!?!?
    На шлюзе должна стоять железка которая мрёт только с дэйтаценром расплавренном ядрЁнной бомбой. -> postfix и ничего другого!

    > А вот для связки с dovecot, postfix подходит лучше, так конфиги по синтаксису схожи.

    А вот внутри часто просят него нить странного. Тут можно и есим, то что он чибче я и не спорю.

    IMNHO.

     

  • 1.25, asavah (ok), 16:44, 16/01/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    postfix forever.
    по синтаксу конфига exim-a можно пару докторских защитить, осилить не вопрос, но забивать себе моск этим извратом неохота.
     
     
  • 2.30, mcshel (ok), 17:33, 16/01/2014 [^] [^^] [^^^] [ответить]  
  • +4 +/
    То что можно сделать используя макросы exim, для postfix придеться скрипт писать и подключать его.
     
  • 2.35, DeadLoco (ok), 20:16, 16/01/2014 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > по синтаксу конфига exim-a можно пару докторских защитить

    Да бросьте. У экзима тривиальнейший синтаксис конфига. То-есть, реально простейший возможный. Но вот то, что отдельные умельцы злоупотребляют инклудами и городят иерархию включений мелких файликов в десять этажей, да еще и скриптуют совершенно статичные вещи  - это проблемы совсем не экзима.

     

  • 1.36, ALex_hha (ok), 20:19, 16/01/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    > И, ИМХО, Постфикс все-таки более гибок в настройке, чем Эксим

    в каком месте? postfix прямолинейный как бревно, поэтому и проще в освоении. Но гибкости к сожалению у него нет.

     
     
  • 2.44, Perain (?), 20:55, 16/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Для блондинок постфикса с головой
     
  • 2.71, mcshel (ok), 06:25, 17/01/2014 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Согласен, все кто минусует и пишит посты "postfix forever", вы сначала попробуйте сам exim, просмотрите MAN и сами поймете насколько это гибкий и удобный MTA. Я думаю многие, кто переходили на exim сначала использовали postfix и я в том числе.

    Если представить, так:
    - sendmail(очень гибкий, но сложный в настройке)
    - postfix(средней гибкости, но прост в настройке), то

    - exim (очень гибкий и немного сложнее в настройке, чем postfix), т.е. он находится где-то между ними.

     
     
  • 3.92, Michael Shigorin (ok), 20:03, 18/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Если представить, так:

    А если по количеству remote root, то посредине или лидирует?

     
     
  • 4.93, DeadLoco (ok), 00:29, 19/01/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > А если по количеству remote root, то посредине или лидирует?

    У вас какая-то психологическая травма  на этой почве? В каждой теме об экзиме непременно найдутся ваши заезженые пять копеек.

     
     
  • 5.94, Michael Shigorin (ok), 00:41, 19/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >> А если по количеству remote root, то посредине или лидирует?
    > У вас какая-то психологическая травма  на этой почве?

    Дыркозатыкательская.

    А вот Вы пугаете такими вопросами.

     

  • 1.95, Аноним (95), 13:43, 21/01/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >>Проблему спама можно было бы решить давно (не знаю как именно, но знаю что >можно)

    Посмеялся от души!

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру