ACL - кто как ?

EXIM, sendmail, postfix, Dovecot и прочие. Решение проблем связанных с работой электронной почты

Модератор: xM

Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
Zedik
сержант
Сообщения: 283
Зарегистрирован: 2007-01-20 22:30:57
Откуда: 127.0.0.1

Непрочитанное сообщение Zedik » 2007-02-02 9:38:46

Kolesnikov писал(а):Ты создал у себя домен mail.ru? или просто в конце письма поставил mailto: post@mail.ru ?
нее, я в настройках бата в общих сведениях указал что информацию post@mail.ru...домен мой, отправлял соответсно с ...@mail.domen.ru на ...@mail.ru

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2460 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Непрочитанное сообщение dikens3 » 2007-02-02 11:24:32

Сам щас проверил отправить от имени postmaster@mail.ru
К себе на yandex.ru
Нормально мой сервер пропустил. Чё-то я где-то упустил.
Во всех случаях для своих доменов нормальная опция.
Нужно бы ещё сделать, чтобы нельзя от имени внешних доменов писать.
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

Аватара пользователя
Zedik
сержант
Сообщения: 283
Зарегистрирован: 2007-01-20 22:30:57
Откуда: 127.0.0.1

Непрочитанное сообщение Zedik » 2007-02-02 11:37:14

dikens3 писал(а):Нужно бы ещё сделать, чтобы нельзя от имени внешних доменов писать.
тестировал и вчера и сегодня, и вчера бывало что ругался на данные отправителя, так что тут надо ковыряться еще

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Непрочитанное сообщение dikens3 » 2007-02-02 11:41:06

# Запрещаем, если невозможно найти домен отправителя (если обратный адрес не наш домен).
# Если домен локальный, проверяем ещё и наличие E-MAIL'а
require verify = sender

# Принимаем, если аутентифицировался, получатель наш домен, и пользователь существует.
accept authenticated = *
domains = +local_domains
message = "Unknown user"
verify = recipient
senders = *@mydomain1.ru : *@mydomain2.ru

# Проверяем, существует ли домен получателя
deny log_message = Recipient verify failed
hosts = +my_lan_hosts
!verify = recipient/callout=20s,defer_ok

# Принимаем, если аутентифицировался, получатель СУЩЕСТВУЮЩИЙ внешний домен и обратный домен НАШ.
accept authenticated = *
domains = !+local_domains
senders = *@mydomain1.ru : *@mydomain2.ru
О как сделал, проверяет чтобы только из нашего домена был обратный адрес.
Осталось только подумать, чтобы обратный был именно его. А не соседа.
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

Аватара пользователя
Abigor
старшина
Сообщения: 425
Зарегистрирован: 2006-03-02 11:13:15
Откуда: РФ. г. Иркутск
Контактная информация:

Непрочитанное сообщение Abigor » 2007-02-02 12:16:41

я вот так сделал

Код: Выделить всё

deny message    = У вас в поле отправителя стоит e-mail не из домена isea.ru!
    hosts = !10.1.1.25:!10.1.1.96/6:!127.0.0.1
    condition = ${if match_domain{$sender_address_domain}{isea.ru}{no}{yes}}
#--- end
потом есть идея кондишен подправить чтоб мог делать запрос к mysql так как ряду юзверей надо дать возможность отправлять письма с левых доменов

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Непрочитанное сообщение dikens3 » 2007-02-02 12:52:09

потом есть идея кондишен подправить чтоб мог делать запрос к mysql так как ряду юзверей надо дать возможность отправлять письма с левых доменов
Я то думаю, откуда так много спама. :-)
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

Аватара пользователя
Abigor
старшина
Сообщения: 425
Зарегистрирован: 2006-03-02 11:13:15
Откуда: РФ. г. Иркутск
Контактная информация:

Непрочитанное сообщение Abigor » 2007-02-02 13:27:48

я когда статистику прикрутил, знаешь сколько нового узнал

Аватара пользователя
Zedik
сержант
Сообщения: 283
Зарегистрирован: 2007-01-20 22:30:57
Откуда: 127.0.0.1

Непрочитанное сообщение Zedik » 2007-02-02 13:53:00

Имеем:
relay_from_hosts = 10.0.0.0/16
begin acl
acl_check_rcpt:
accept hosts = :
require verify = sender
#accept authenticated = *
accept domains = +local_domains
message = "Unknown user"
verify = recipient
accept hosts = +relay_from_hosts
deny message = relay not permitted
acl_check_data:
deny malware = *
message = "In e-mail found VIRUS - $malware_name"
accept
ящик user1@domen.ru Аутентификация включена, данные пользователя указаны post@mail.ru
ящик user2@domen.ru Аутентификация выключена, данные пользователя asd@qqweq.ru
Так вот при отправке сообщения с user1 письмо благополучно уходит, а вот при отправке письма с ящика user2 выскакивает сообщение Sender verify faild.
:twisted:

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Непрочитанное сообщение dikens3 » 2007-02-02 13:58:58

Код: Выделить всё

require verify = sender 
Нет такого домена, эта опция и блокирует. До приёма дело не доходит, сам понимаешь. :-)
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

Аватара пользователя
Zedik
сержант
Сообщения: 283
Зарегистрирован: 2007-01-20 22:30:57
Откуда: 127.0.0.1

Непрочитанное сообщение Zedik » 2007-02-14 10:20:05

очень много херни идет с HELO=localhost.localdomain
резать таких без опасений можно?
покритикуйте правило:

Код: Выделить всё

deny	message = Your hostname is bad
            condition = ${if match {$sender_helo_name}{localhost.localdomain}{yes}{no}}
	hosts = !+relay_from_hosts

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35045
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2007-02-14 10:54:55

я вот, в одну контору солидную резюме послал на той неделе...
так мне пришёл ответ с helo=office.xxxxx.local
я накидываю очки за спам... если много - меняю тему более гибко. а юзер решает что спам что нет.
плюс белые листы - если начал переписку с этим сервером - то его письма всегда с нулём очков будут.
Убей их всех! Бог потом рассортирует...

Аватара пользователя
Zedik
сержант
Сообщения: 283
Зарегистрирован: 2007-01-20 22:30:57
Откуда: 127.0.0.1

Непрочитанное сообщение Zedik » 2007-02-14 11:48:32

lissyara писал(а):я вот, в одну контору солидную резюме послал на той неделе...
так мне пришёл ответ с helo=office.xxxxx.local
я накидываю очки за спам... если много - меняю тему более гибко. а юзер решает что спам что нет.
плюс белые листы - если начал переписку с этим сервером - то его письма всегда с нулём очков будут.
просто у меня за 11 часов с таким хело пришло около 3000 тысяч сообщений, поотрубаю пока таких, посмотрим- будут ли юзеры жаловаться

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Непрочитанное сообщение dikens3 » 2007-02-14 12:21:25

1. Есть тупые wINDOWS MTA, в которых даже настроек HELO нет. (Да и вообще упоминания). Вобщем делают проги в пиндосии и качество соответственное.

У меня для таких идиотов говорит You not localhost.
RFC предполагает РЕАЛЬНОЕ ИМЯ, иначе IP. Стреляй всех.
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

Аватара пользователя
Zedik
сержант
Сообщения: 283
Зарегистрирован: 2007-01-20 22:30:57
Откуда: 127.0.0.1

Непрочитанное сообщение Zedik » 2007-03-02 11:04:44

А кто еще какие HELO блочит ?
вот мой кусок

Код: Выделить всё

#Without HELO 
deny message = "HELO / EHLO require by SMTP RFC" 
     condition = ${if eq{$sender_helo_name}{}{yes}{no}} 

# My IP in HELO 
deny      condition     = ${if eq{$sender_helo_name}\ 
                          {$interface_address}{yes}{no}} 
          hosts         = !127.0.0.1 : !localhost : * 
          message       = "Its my IP! Go home!" 

#block from localhost.localdomain 
deny   message = "Your hostname is bad. Test HELO/EHLO failed" 
      condition = ${if match {$sender_helo_name}{localhost.localdomain}{yes}{no}} 
       hosts = !+relay_from_hosts 


# number in HELO 
  deny    condition     = ${if match{$sender_helo_name}\ 
                            {\N^\d+$\N}{yes}{no}} 
          hosts         = !127.0.0.1:!localhost:* 
          message       = "can not be only number in HELO" 


 # Deny all from adsl, pppoe, etc... 
   deny    message       = "Your hostname is very bad to send email (adsl, poll, ppp & etc). You should use provider's SMTP server." 
             condition     = ${if match{$sender_host_name} \ 
                             {adsl|dialup|dial-up|pool|peer|dhcp|pppoe|dynamic|client|node|ppp|cable|dslam} \ 
                             {yes}{no}} 

#block dnxk.com 
deny    message       = "dnxk.com is blocked" 
             condition     = ${if match{$sender_host_name} \ 
                              {dnxk.com} \ 
                              {yes}{no}} 

c ***.dnxk.com было порядка 600 писем в день, причем в *** подставлялись всякие имена типа sarah181, jade60, madeleine164 и т.п.

Аватара пользователя
Zedik
сержант
Сообщения: 283
Зарегистрирован: 2007-01-20 22:30:57
Откуда: 127.0.0.1

Непрочитанное сообщение Zedik » 2007-03-13 11:00:47

Сделал режекты на содержимое ввиде gif,jpeg,jpg в письмо менее 20кб

Код: Выделить всё

deny    senders = !*@mail.domen.ru : !*@domen.ru
        message = "Email contain blacklisted files - $found_extension"
        condition = ${if <{$message_size}{20K}}
        demime  = gif:jpg:jpeg
жесть, но что делать.....
пока в отстойник пересылаю, авось, что то важное приходит все таки