Нужна помощь и поддержка (поднимаю почту)

chinga · Непрочитанное сообщение **chinga** » 2006-09-06 12:18:03

(это-мой первый раз)
Салют Всем.
Расклад такой: все делал по статье Лиссяры "exim + saslauthd + courier-imap". Чего-то не так понял, поэтому когда с яндекса шлю себе в /var/log/maillog пишет ... relay not permited. Как я понял надо включить где-то пересылку почты, но делать надо осторожно чтобы не стать спам-сервером. В общем вот конфиг- ткните пальцем где косяк?
Заранее благодарен.

Код: Выделить всё

primary_hostname = mail.mydomain.net

domainlist local_domains = mydomain.net
domainlist relay_to_domains =  
hostlist   relay_from_hosts = localhost:127.0.0.0/8:192.168.1.0/24

acl_smtp_rcpt = acl_check_rcpt
acl_smtp_data = acl_check_data

 av_scanner = clamd:/var/run/clamav/clamd	#/tmp/clamd

 qualify_domain = mydomain.net

 qualify_recipient = mydomain.net

exim_user = mailnull
exim_group = mail
never_users = root

rfc1413_query_timeout = 30s

 sender_unqualified_hosts = +relay_from_hosts
 recipient_unqualified_hosts = +relay_from_hosts

ignore_bounce_errors_after = 2d

timeout_frozen_after = 7d

smtp_enforce_sync = true

begin acl
acl_check_rcpt:

  accept  hosts = :

  deny    message       = Restricted characters in address
          domains       = +local_domains
          local_parts   = ^[.] : ^.*[@%!/|]

  deny    message       = Restricted characters in address
          domains       = !+local_domains
          local_parts   = ^[./|] : ^.*[@%!] : ^.*/\\.\\./

  accept  local_parts   = postmaster
          domains       = +local_domains
  accept  hosts         = +relay_from_hosts
          control       = submission
  accept  authenticated = *
          control       = submission

  accept  domains       = +local_domains
          endpass
          verify        = recipient

  accept  domains       = +relay_to_domains
          endpass
          verify        = recipient

  deny    message       = relay not permitted

acl_check_data:

  accept

begin routers

dnslookup:
  driver = dnslookup
  domains = ! +local_domains
  transport = remote_smtp
  ignore_target_hosts = 0.0.0.0 : 127.0.0.0/8
  no_more

system_aliases:
  driver = redirect
  allow_fail
  allow_defer
  data = ${lookup{$local_part}lsearch{/etc/aliases}}
  user = mailnull
  group = mail
  file_transport = address_file
  pipe_transport = address_pipe

userforward:
  driver = redirect
  check_local_user

  file = $home/.forward
  no_verify
  no_expn
  check_ancestor
  file_transport = address_file
  pipe_transport = address_pipe
  reply_transport = address_reply
  condition = ${if exists{$home/.forward} {yes} {no} }

localuser:
  driver = accept
  check_local_user

  transport = local_delivery
  cannot_route_message = Unknown user

begin transports

remote_smtp:
  driver = smtp

local_delivery:
  driver = appendfile
  check_string = ""
  create_directory
  #file = /var/mail/$local_part
  delivery_date_add
  directory = /usr/home/${local_part}/Maildir
  directory_mode = 777
  envelope_to_add
  #return_path_add
  group = mail
  maildir_format
  maildir_tag = ,S=$message_size
  message_prefix = ""
  message_suffix = ""
  #user = $local_part
  mode = 0660
  #no_mode_fail_narrower

address_pipe:
  driver = pipe
  return_output

address_file:
  driver = appendfile
  delivery_date_add
  envelope_to_add
  return_path_add

address_reply:
  driver = autoreply

begin retry

*                      *           F,2h,15m; G,16h,1h,1.5; F,4d,6h
begin rewrite

begin authenticators

plain:
  driver = plaintext
  public_name = PLAIN
  server_condition = ${if saslauthd{{$1}{$2}{1}{0}}
  server_set_id = $2

login:
  driver = plaintext
  public_name = LOGIN
  server_prompts = "Username:: : Password::"
  server_condition = ${if salsauthd{{$1}{$2}{1}{0}}
  server_set_id = $1
# End of Exim configuration file

Хостинг HostFood.ru · **Хостинг HostFood.ru**

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Alex Keda

вот, давай честно...
ты выложил 40кб текста... причём не моего...
колупаться щас - ни логов нету ничего... тока конфиг...
логи давай, тогда думать будем

))

chinga · Непрочитанное сообщение **chinga** » 2006-09-06 12:45:01

Ух ты как быстро ...
Щас логов дать не согу по причине их отсутствия.
Систему переустанвил. А то что 35 мин назад с яндекса отправил так и не пришло. Кстати до этого тоже логи не сразу появлялись хотя на яндекс без проблем и бычтро доходит
А текст (спасибо за него (и за много др. статей)) кстати твой:-) там моих изменений 1-2 и обчелся

zorg · Непрочитанное сообщение **zorg** » 2006-09-06 18:15:47

Ага, его тока его комментарии были на русском!!

А тут?!??!
Хоть бы их удалил и кнопку "кода" нужно использовать, а то глаза сломать можно!!!!

chinga · Непрочитанное сообщение **chinga** » 2006-09-07 6:47:24

zorg писал(а):Ага, его тока его комментарии были на русском!! А тут?!??!

Точно, не доглядел, пардон

zorg писал(а): Хоть бы их удалил и кнопку "кода" нужно использовать, а то глаза сломать можно!!!!

Когда подумал - было поздно

chinga · Непрочитанное сообщение **chinga** » 2006-09-07 7:56:48

Вот запарился. ни с каких хостов почта не приходит. в логах ничего не появляется. Может в named.conf allow-query по особому надо прописать.
В allow-transfer надо же тот айпи прописать на который нслукапится регистратор(наприммер для ник.ру нслукап дает 194.85.61.42)?

Alex Keda

файрвол?
вывод

Код: Выделить всё

host your-domain-name.zone

chinga · Непрочитанное сообщение **chinga** » 2006-09-07 8:06:04

фаера пока нет (Надеюсь останусь нетронутым после этого поста

)
mttg.kz mail is handled by 10 mail.mttg.kz

chinga · Непрочитанное сообщение **chinga** » 2006-09-07 9:06:35

По ходу касяк в настройках днс. Не пингуется, хотя я других спокойно вижу. Так все таки какой айпи прописать в allow-transfer?(см. выше)

dikens3 · Непрочитанное сообщение **dikens3** » 2006-09-07 9:34:50

chinga писал(а):фаера пока нет (Надеюсь останусь нетронутым после этого поста )
mttg.kz mail is handled by 10 mail.mttg.kz

http://www.robtex.com/host/mail.mttg.kz.html

Ты посмотри на что указывает A запись в ДНС???
У тебя ip 192.168.1.1??? Исправь DNS. :-)

И ещё, для проверки на спам листы пользуйся этим:
http://www.robtex.com/rbls/

Просто введи свой внешний IP-Адрес.

chinga · Непрочитанное сообщение **chinga** » 2006-09-07 9:46:15

dikens3 писал(а): Ты посмотри на что указывает A запись в ДНС???
У тебя ip 192.168.1.1??? Исправь DNS. :-)

Просто введи свой внешний IP-Адрес.

Для нс.мттг.кз тоже значит менять? А в файле обратной зоны тоже? Я думал эти файлы для компов во внутренней сетке.
Кто-нибуть попробуйте меня пингануть по имени, заработало ли.
Как быстро изменения в файлах зон доходят до регистратора?

dikens3 · Непрочитанное сообщение **dikens3** » 2006-09-07 9:52:19

chinga писал(а):
dikens3 писал(а): Ты посмотри на что указывает A запись в ДНС???
У тебя ip 192.168.1.1??? Исправь DNS. :-)

Просто введи свой внешний IP-Адрес.
Для нс.мттг.кз тоже значит менять? А в файле обратной зоны тоже? Я думал эти файлы для компов во внутренней сетке.
Кто-нибуть попробуйте меня пингануть по имени, заработало ли.
Как быстро изменения в файлах зон доходят до регистратора?

ns# ping mail.mttg.kz
PING mail.mttg.kz (192.168.1.1): 56 data bytes

Смотри выше на сайте, как только там появится нормальный IP, так и сможем тебя пинговать. :-)

chinga · Непрочитанное сообщение **chinga** » 2006-09-07 9:57:34

А как насчет

chinga писал(а): Может в named.conf allow-query по особому надо прописать.
В allow-transfer надо же тот айпи прописать на который нслукапится регистратор(наприммер для ник.ру нслукап дает 194.85.61.42)?
...
Для нс.мттг.кз тоже значит менять? А в файле обратной зоны тоже? Я думал эти файлы для компов во внутренней сетке.
...
Как быстро изменения в файлах зон доходят до регистратора?

Не растолкуете пока там мой реальный айпи не появится?

dikens3 · Непрочитанное сообщение **dikens3** » 2006-09-07 10:13:32

Я named настраивал года 2 назад и то кэширующий DNS, но по памяти могу сказать.

allow-query - кому DNS должен отвечать на запросы (Тут для своего домена политика на все запросы, для других только для своего) P.S. Тут я не помню. Почитай.

allow-transfer - с кем нужно обмениваться (Тут нужна серьёзная политика, т.к. зоны нефига всем раздавать, обмен происходит со 2-ым твоим DNS)

P.S. Есть ещё DJBDNS(типа named), но он не может поддерживать много доменов:
Пример:
mail.ru и все типа xxx.mail.ru будет нормально поддерживать. Да и правила для IPFW к примеру писать просто замечательно, т.к. у него есть uid не root

10700 16804 2792698 allow udp from any 53 to me in via rl0 uid Gdnscache limit src-port 500

chinga · Непрочитанное сообщение **chinga** » 2006-09-07 10:16:45

Зааааааааарааааабоооотаааалоооооооо

Но на предыдущий пост прошу все же ответить.
Тема не закрыта - будут еще вопросы.

товарищ лейтенант (northern) не могли бы вы свернуть мой конфиг вначале чтобы зря каждый раз не грузился

dikens3 · Непрочитанное сообщение **dikens3** » 2006-09-07 10:36:41

chinga писал(а):Зааааааааарааааабоооотаааалоооооооо
Но на предыдущий пост прошу все же ответить.
Тема не закрыта - будут еще вопросы.

http://www.freebsd.org.ru/how-to/dns/securing-bind.html

Поищи в гугле named.conf, не ленись, много чего уже написано до тебя и для тебя. :-)

chinga · Непрочитанное сообщение **chinga** » 2006-09-07 10:52:21

Теперь по фаеру.
Все делал по статье лиссяры IPFW (использовал первый набор правил). Фря 6.1. Фаер в ядре :

Код: Выделить всё

options		IPFIREWALL
options		IPFIREWALL_VERBOSE
options		IPFIREWALL_VERBOSE_LIMIT=100
options		IPDIVERT

Сохранил конфиг в /етс/ipfw.conf
Далее в рс.конф

Код: Выделить всё

firewall_script="/etc/ipfw.conf"(Потом пробовал firewall_type)

После рестарта перестал резолвится.
Что значит (ядро пишет)
ipfw2 (+ipv6) initialized, divert loadable, rule-based forwarding disabled, default to deny, logging limited to 100

Нормально ли то, что после собщений ядра при загрузке, (там гдн пишет что намед, екзим етс. загружены) не пишет ничего про фаер?

Ой мужики, все я побежал учиться

Всем до завтра

dikens3 · Непрочитанное сообщение **dikens3** » 2006-09-07 11:06:51

firewall_enable="YES"
Это поставь^^

firewall_script="/etc/myfirewall.sh"
Исполняемый /etc/myfirewall.sh:(Так проще, из MC на нём ENTER нажал и новые правила.:-))

Код: Выделить всё

#!/bin/sh -

ifout="rl0"
iflan="fxp0"
mylan="192.168.150.0/24"
inetip="82.208.*.*/28"

##############################################
# 1 таблица, куда нельзя ходить
fwtable="/sbin/ipfw table"
${fwtable} 1 f
NETS=" 10.0.0.0/8 172.16.0.0/12 169.254.0.0/16 192.0.2.0/24 192.168.0.0/16 224.0.0.0/4 240.0.0.0/4 "

for lan in ${NETS}
    do
        ${fwtable} 1 add $lan
    done

##############################################
fwcmd="/sbin/ipfw -q"
${fwcmd} -f flush


# Пускаем lo
        ${fwcmd} add pass all from any to any via lo0
# Пускаем Нашу сеть
        ${fwcmd} add pass all from any to any via ${iflan}
# Прибиваем ненужный траффик
        ${fwcmd} add deny log all from table\(1\) to me in via ${ifout}

Я привёл тебе пример работы с таблицей, как ты понимаешь все входящие с инета с такими ip-Адресами не жильцы:-) Там по задачам собственно.

chinga · Непрочитанное сообщение **chinga** » 2006-09-08 8:50:58

Вот это стоит сразу после инициализации обеих сетевух

Код: Выделить всё

firewall_script="/etc/rc.firewall"
natd_enable="YES"
natd_interface="vr0"
natd_flags="-m -u"

Сперва рс.фиревол заменил конфигом лиссяры а потом третьего dikens"а.
После перезагрузки на ipfw show стоит 65535 дэнай ... Почему правила не загружаются сами? Делаю

Код: Выделить всё

sh /etc/rc.firewall
ipfw:getsockopt(IP_FW_ADD): Invalid argument
ipfw:getsockopt(IP_FW_ADD): Invalid argument     <- Was is das?

Правила вроде все загружены, а пинга на другие хосты нет. Может из-зa того что еще squid'a не ставил

chinga · Непрочитанное сообщение **chinga** » 2006-09-08 9:34:44

Блин, грузил модулем, правила не загрузились. Делаю

Код: Выделить всё

sh /etc/rc.firewall

ipfw:getsockopt(IP_FW_ADD): Invalid argument

уже в 4 экземплярах, но пинг во внешний мир пошел

И что это за ошибки?
А вот если грузится ядром где он вкомпилирован ероров два и пинг лишб на локалхост.
Так все таки к чему это:
(ядро пишет)
ipfw2 (+ipv6) initialized, divert loadable,rule-based forwarding disabled , default to deny, logging limited to 100

dikens3 · Непрочитанное сообщение **dikens3** » 2006-09-08 10:17:09

ipfw2 (+ipv6) initialized, divert loadable,rule-based forwarding disabled , default to deny, logging limited to 100

Правила напиши какие поднимаешь.
И что говорит ipfw -ad l

Код: Выделить всё

options         IPFIREWALL
options         IPFIREWALL_VERBOSE
options         IPFIREWALL_VERBOSE_LIMIT=100
options         IPDIVERT
options         TCP_DROP_SYNFIN
options         IPFIREWALL_FORWARD
options         DUMMYNET

options         DEVICE_POLLING
options         HZ=1000

^^ Добавь в ядро и пересобери.

а для начала попробуй добавить в /etc/sysctl.conf

Код: Выделить всё

net.inet.ip.forwarding=1

chinga · Непрочитанное сообщение **chinga** » 2006-09-08 10:22:09

Что за ^^ и где именно его добавлять?
ipfw -ad l че такое?
Все из статьи Лиссяры тока мои адреса(а нетмаск для внешнего я правильно написал?) Кажется еще строку про squid забыл убрать

Код: Выделить всё

!/bin/sh

FwCMD="/sbin/ipfw -q " 
LanOut="vr0"
LanIn="re0"
IpOut="88.204.141.106"
NetMask="255.255.255.252"
IpIn="192.168.1.1"
NetMask="24"
NetIn="192.168.1.0"
${FwCMD} -f flush
${FwCMD} add check-state
${FwCMD} add allow ip from any to any via lo0
${FwCMD} add deny ip from any to 127.0.0.0/8
${FwCMD} add deny ip from 127.0.0.0/8 to any
${FwCMD} add deny ip from any to 10.0.0.0/8 in via ${LanOut}
${FwCMD} add deny ip from any to 172.16.0.0/12 in via ${LanOut}
${FwCMD} add deny ip from any to 192.168.0.0/16 in via ${LanOut}
${FwCMD} add deny ip from any to 0.0.0.0/8 in via ${LanOut}
${FwCMD} add deny ip from any to 169.254.0.0/16 in via ${LanOut}
${FwCMD} add deny ip from any to 240.0.0.0/4 in via ${LanOut}
${FwCMD} add deny icmp from any to any frag
${FwCMD} add deny log icmp from any to 255.255.255.255 in via ${LanOut}
${FwCMD} add deny log icmp from any to 255.255.255.255 out via ${LanOut}
${FwCMD} add fwd ${IpIn},2121 tcp from ${NetIn}/${NetMask} to any 21 via ${LanOut}
${FwCMD} add fwd 127.0.0.1,3128 tcp from ${NetIn}/${NetMask} to any 80 via ${LanOut}
${FwCMD} add divert natd ip from ${NetIn}/${NetMask} to any out via ${LanOut}
${FwCMD} add divert natd ip from any to ${IpOut} in via ${LanOut}
${FwCMD} add deny ip from 10.0.0.0/8 to any out via ${LanOut}
${FwCMD} add deny ip from 172.16.0.0/12 to any out via ${LanOut}
${FwCMD} add deny ip from 192.168.0.0/16 to any out via ${LanOut}
${FwCMD} add deny ip from 0.0.0.0/8 to any out via ${LanOut}
${FwCMD} add deny ip from 169.254.0.0/16 to any out via ${LanOut}
${FwCMD} add deny ip from 224.0.0.0/4 to any out via ${LanOut}
${FwCMD} add deny ip from 240.0.0.0/4 to any out via ${LanOut}
${FwCMD} add allow tcp from any to any established
${FwCMD} add allow ip from ${IpOut} to any out xmit ${LanOut}
${FwCMD} add allow udp from any 53 to any via ${LanOut}
${FwCMD} add allow udp from any to any 53 via ${LanOut}
${FwCMD} add allow udp from any to any 123 via ${LanOut}
${FwCMD} add allow tcp from any to ${IpOut} 21 via ${LanOut}
${FwCMD} add allow tcp from any to ${IpOut} 49152-65535 via ${LanOut}
${FwCMD} add allow icmp from any to any icmptypes 0,8,11
${FwCMD} add allow tcp from any to ${IpOut} 25 via ${LanOut}
${FwCMD} add allow tcp from any to ${IpOut} 22 via ${LanOut}
${FwCMD} add allow tcp from any to ${IpOut} 143 via ${LanOut}
${FwCMD} add allow tcp from any to ${IpOut} 110 via ${LanOut}
${FwCMD} add allow gre from any to any via ${LanIn}
${FwCMD} add allow tcp from any to any via ${LanIn}
${FwCMD} add allow udp from any to any via ${LanIn}
${FwCMD} add allow icmp from any to any via ${LanIn}
${FwCMD} add deny ip from any to any

chinga · Непрочитанное сообщение **chinga** » 2006-09-08 10:31:15

Кто-нить поскидывайте-ка свои rc.conf, файл с правами, конфиг ядра сюды. chingam

yandex.ru Желательно с 6 или хотябы с 5 ветки серваков
Скажу спасибо

Ладно дзвтра.

Alex Keda

Код: Выделить всё

/usr/ports/>cat /etc/rc.conf | grep firew
# firewall settings
firewall_enable="YES"
firewall_script="/etc/rc.firewall"
/usr/ports/>

Код: Выделить всё

/usr/ports/>cat /usr/src/sys/i386/conf/main-smp-ipfw | tail -25
# SMP
options         SMP                     # Symmetric MultiProcessor Kernel
# Surecom 320
device          my
# color console
options         SC_NORM_ATTR=(FG_GREEN|BG_BLACK)
options         SC_KERNEL_CONS_ATTR=(FG_RED|BG_BLACK)
options         SC_HISTORY_SIZE=2022
# ACPI
device          acpi
# FIREWALL
options         IPFIREWALL               # собственно файрволл
options         IPFIREWALL_VERBOSE       # логгинг пакетов, если в правиле
                                         # написано `log`
options         IPFIREWALL_VERBOSE_LIMIT=5000 # ограничение логов (повторяющихся) - на
                                           # случай атак типа флудинга
                                           # (я, правда, 100 ставлю)
options         IPFIREWALL_FORWARD       # перенаправление (форвардинг) пакетов
                                         # например, для прозрачного прокси
options         IPDIVERT                 # если нужен NAT (трансляция адресов)
options         DUMMYNET                 # если понадобится ограничивать скорость
                                         # инета пользователям (обычно - да :))



/usr/ports/>

chinga · Непрочитанное сообщение **chinga** » 2006-09-08 10:46:05

Энто я закоментил мож иза него

Код: Выделить всё

options         IPFIREWALL_FORWARD

forum.lissyara.su

Нужна помощь и поддержка (поднимаю почту)

Нужна помощь и поддержка (поднимаю почту)

Услуги хостинговой компании Host-Food.ru