Exim&amavis&dspam

[ExH]

Стоит указанная связка.

Проблема в том, что exim пропускает до amavis'a несуществующи пользователей для существующих доменов, а amavis в свою очередь проверяет эту почту через dspam и clamav и в конце радостно говорит Unknown User.

Хочется отсекать несуществующих пользователей на уровне acl deny.

exim.conf

Код: Выделить всё

begin acl

check_recipient:

accept hosts = :

deny domains = +local_domains
local_parts = ^[.] : ^.*[@%!/|]

deny domains = !+local_domains
local_parts = ^[./|] : ^.*[@%!] : ^.*/\\.\\./

deny message = "HELO/EHLO required by SMTP RFC."
condition = ${if eq{$sender_helo_name}{}{yes}{no}}

deny message = "can not be only numbers in HELO!."
condition = ${if match{$sender_helo_name}{\N^\d+$\N}{yes}{no}}
hosts = !127.0.0.1 : !localhost : *

deny message = "main IP in your HELO!."
condition = ${if match{$sender_helo_name}{$interface_address}{yes}{no}}
hosts = !127.0.0.1 : !localhost : *

deny message = "No sender address."
condition = ${if eq{$sender_address}{}{yes}{no}}
hosts = !127.0.0.1 : !localhost : *

deny message = "Your host blacklisted."
sender_domains = +blacklist_domains

deny message = "Your host blacklisted."
domains = +blacklist_domains

deny message = "No postmaster here."
local_parts = postmaster
domains = +local_domains

deny message = "No abuse here."
local_parts = abuse
domains = +local_domains

require verify = sender

accept hosts = +auth_relay_hosts
condition = ${if eq {$interface_port}{587} {yes}{no}}
endpass
message = relay not permitted, authentication required
authenticated = *

accept domains = +local_domains
endpass
message = "Unknown User."
verify = recipient

accept domains = +relay_domains
endpass
message = "No relay here."
verify=recipient

accept hosts = +relay_hosts

accept hosts = +auth_relay_hosts
endpass
message = "authentication required."
authenticated = *

deny message = relay not permitted 

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Alex Keda]

и в чём проблема?
========

Код: Выделить всё

deny message = "No sender address."
condition = ${if eq{$sender_address}{}{yes}{no}}
hosts = !127.0.0.1 : !localhost : * 

тех кто не принимает рикошеты, тоже вносят в блэк-листы.

[ExH]

Может я не верно объясняю.
К примеру.

домен: domain.com
один пользователь: user@domain.com

отправляем письмо от xxx@spam.com пользователю nouser@domain.com.

происходит следующее:

1. Emim получает письмо и передаёт его amavis
2. Amavis вызывает dspam.
3. Dspam обрабатывает письмо.
4. Amavis передаёт исьмо exim.
5. И вот тут exim говорит amavis'у user unknown.

Хочется чтобы exim уже на первом шаге сказал отправителю письма user unknown.

[Alex Keda]

юзеры где?
Вот по этому месту поиск и сделай.

[ExH]

Это Directadmin.

В /etc/virtual/название-домена/passwd находится список пользователей для этого домена.
Как его можно разбирать в acl?

А разве указание verify = recipient не говорит о том, что пропускать только существующих пользователей?

[Alex Keda]

а хрен его знает по какому принципу он проверяет.

[ExH]

И всё таки, может кто знает как разбирать это:
В /etc/virtual/название-домена/passwd находится список пользователей для этого домена.
в acl?

[Alex Keda]

никак, пока не скажешь какой формат файла - телепатов нету...

[ExH]

Логично.

Формат такой:

Код: Выделить всё

user_1:94Jy2Jr084PQg:557:12::/home/xxx/imap/xxx.ru/user_1:/bin/false
user_2:94Jy2Jr084PQg:557:12::/home/xxx/imap/xxx.ru/user_2:/bin/false

Заранее спасибо!

[Alex Keda]

пример из дефолтового конфига

Код: Выделить всё

system_aliases:
  driver = redirect
  allow_fail
  allow_defer
  data = ${lookup{$local_part}lsearch{/etc/aliases}}
  user = mailnull
  group = mail
  file_transport = address_file
  pipe_transport = address_pipe

ссылка на документацию http://www.lissyara.su/?id=1209

[ExH]

Ну да.
На уровне транспортов разрулить можно, это понятно.

А можно ли разрулить на уровне acl?

До попадания в транспорты, просто сказать deny.

[Alex Keda]

это просто пример запроса.

[Гость]

Спасибо за помощь!

Всё решилось так:

exim.conf

Код: Выделить всё

perl_startup = do '/etc/exim.pl';

deny message = "No user here"
        domains = +local_domains
        set acl_m1 = ${perl{is_user_exists}}
        condition = ${if eq{acl_m1}{0}{1}}

exim.pl

Код: Выделить всё

sub is_user_exists
{
  $my domain = Exim::expand_string( '$domain' );
  $my user = Exim::expand_string( '$local_part' );

  if( "" eq $domain ) {
    return 0;
  }

  open( PASSWD, "/etc/virtual/$domain/passwd" ) || return 0;

  while( $entry = <PASSWD> ) {

    ( $usr, $pass ) = split(( /:/, $entry );

    if( $usr eq $user ) {
      close( PASSWD );
      return 1;
    }

    close( PASSWD );

    return 0;
}

И всё работает как надо.

[ExH]

Гость это я.
За час отсеялось 845 сообщений. Фантастика!

[Alex Keda]

мдя... запуск перла на каждое сообщение - жестоко.
Особенно при наличии встроенных средст поиска

[ExH]

Вполне возможно.

Можете поделиться одним из таких "встроенных методов" для моего случая?

[Alex Keda]

http://www.lissyara.su/?id=1209
конкретно - lsearch
запрос не дам - но когда-то писал, я вместо сасла использовал тупой поиск по файлу паролей. Пример был где-то в рассылке родного сайта exim`a

[Alex Keda]

век живи - век учись...
походу оно тока локальных узеров проверяет...
пришлось кондишен у себя так пеерписать:

Код: Выделить всё

        accept  domains = +local_domains
                endpass
                message = "In my mailserver not stored this user"
#               verify  = recipient
                condition = ${if eq{${lookup mysql{SELECT 1 FROM `alias` WHERE \
                        `address`=LCASE('${quote_mysql:$local_part@$domain}') OR \
                        `address`=LCASE('${quote_mysql:@$domain}') AND `active`='1' \
                        ORDER BY SUBSTRING_INDEX(`address`,'@',1) DESC LIMIT 1}}}{1}{yes}{no}}

[Alex Keda]

от ёпть...
за 20 минут - 94 реджекта

[ExH]

Вот и мне кажется что это отличный способ снизить нагрузку на сервер даже с учётом вызова perl в моём случае.

В директ админе перл полюбому вызывается для аутентификации и роутинга.

[Alex Keda]

во, допёрся до пункта касающегося нашего обсуждения.
http://gate.fwtrade.ru/lissyara/exim/sp ... ml#toc0334
инетерсен абзац сразу за листингом кода.
======
вкратце - проверяются пользователи через роутеры, которые могут различать проверку и роутинг для доставки.
либо у тя с роутингом не так, либо х.з...

==========
разбираться надо, короче...

[ExH]

Теперь я знаю как можно решить это всё без perl.

Код: Выделить всё

deny message = "Error. Unknown user. ACL.
        domains = +local_domains
        hosts      = !+relay_hosts
        condition = ${if eq{} {$if exists{/etc/virtual/${domain}/passwd}{${lookup{$local_part}lsearch{/etc/virtual/${domain}/passwd}}}}}{yes}{no}}

Всё бы замечательно, если бы на одном из серверов клиент не захотел включить catch-all, который этой проверкой, естественно не отлавливается.

Собственно вопрос сейчас стоит как бы обработать catch-all.
Данные о catch-all записывается в файл aliases, который лежит там же где и passwd.

Формат:

catch-all отключен:
-------------------------
domain: domain
*: :fail:
-------------------------

catch-all включен:
-------------------------
domain:domain
*: dompop@domain.ru
-------------------------

Дык вот вопрос. Можно ли с помощью lsearch разбивать строчки по знаку : и проверять получившиеся части?

[Alex Keda]

может быть стоит написать процедуру на перле?
===========
кстати - он не вызывает perl каждый раз.
загружает один раз при старте, и в дальнейшем просто вызывает функции...
клёво сделано

[ExH]

А есть ли какая-нибудь возможность выводить результат работы conditions в ACL в лог?
Перл-то, конечно, уже в памяти,а вот скрипт нет. Его надо грузить, а это накладне расходы.
Так что хочется всё-таки на ACL всё это реализовать, ибо должно бть быстрее.

Хотя.. Может они этот конфиг преобразуют на лету в перл скрипт, и потом просто перлом исполняют?