exim+courier-imap+ClamAV+системные пользователи

EXIM, sendmail, postfix, Dovecot и прочие. Решение проблем связанных с работой электронной почты

Модератор: xM

Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
wwaaoo
мл. сержант
Сообщения: 107
Зарегистрирован: 2007-04-15 22:51:46

Непрочитанное сообщение wwaaoo » 2007-05-30 15:09:04

dikens3 писал(а):Строку Received пишет принимающий сервер. Спроси у того, чей сервер, почему так. А важно?
Для меня как для начинающего админа FreeBSD, важно знать каждую мелочь, а то как часто бывает пропустишь какую-нибудь мелкую деталь и потом оказывается что из-за неё все траблы. :D

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
wwaaoo
мл. сержант
Сообщения: 107
Зарегистрирован: 2007-04-15 22:51:46

Непрочитанное сообщение wwaaoo » 2007-05-30 15:12:06

dikens3 писал(а):Вот от форума мне пришло письмо(Строки читаются снизу вверх):

Код: Выделить всё

Received: from test.grand-prix.ru (test.grand-prix.ru [77.73.25.203])
        (using TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits))
        (No client certificate requested)
        by mail.mydomain.ru (MailServer) with ESMTP id 2B04B170C9
        for <postmaster@mydomain.ru>; Wed, 30 May 2007 15:40:19 +0400 (MSD)
Received: from lissyara by test.grand-prix.ru with local (Exim 4.67 (FreeBSD))
        (envelope-from <lissyara@test.grand-prix.ru>)
        id 1HtMWI-0002aV-JN
        for postmaster@mydomain.ru; Wed, 30 May 2007 15:39:14 +0400
Нижняя отметка сделана сервером Exim 4.67 (FreeBSD) и получено письмо локально(т.е. с этого же компа а не по TCP и т.п.)
Чуть выше уже мой сервер ставит(postfix). Что принято от test.grand-prix.ru (test.grand-prix.ru [77.73.25.203]) по TLS
Ага, вроде что-то понятно. :shock:

Аватара пользователя
wwaaoo
мл. сержант
Сообщения: 107
Зарегистрирован: 2007-04-15 22:51:46

Непрочитанное сообщение wwaaoo » 2007-05-31 13:07:43

Люди, СВЕРШИЛОСЬ, наконецто я перешел c Kerio MailServer на Exim, вроде все пашет, 90% спама сразу режет, ЗА ПОСЛЕДНИЙ ДЕНЬ ни одного письма с ВИРУСАМИ, ВООБЩЕ понравился, но есть но.

А вот собственно проблемы:

1. Из-за чего появляются эти строки я знаю (я отправляю письмо в котором есть запрос на получение некой информации и после этого должон придти ответ, но ответа нет а есть вот такая запись в логах).И ещё мне кажется что ответ формируется автоматически, а непосылается из почтового клиента. Почему возникает эта запись и почему неприходят письма?

Код: Выделить всё

May 31 09:09:03 mail exim[978]: SMTP protocol synchronization error (next input sent too soon: pipelining was not advertised): rejected "RCPT TO:<kaz@kaz.rtr.ru>" H=(bsstransport) [192.168.101.53] I=[192.168.101.2]:25 next input="QUIT\r\n"
May 31 09:09:03 mail exim[978]: SMTP protocol synchronization error (next input sent too soon: pipelining was not advertised): rejected "RCPT TO:<kaz@kaz.rtr.ru>" H=(bsstransport) [192.168.101.53] I=[192.168.101.2]:25 next input="QUIT\r\n" 
и так может быть

Код: Выделить всё

May 31 09:09:44 mail exim[1002]: SMTP protocol synchronization error (next input sent too soon: pipelining was not advertised): rejected "RCPT TO:<kaz@kaz.rtr.ru>" H=(bsstransport) [192.168.101.53] I=[192.168.101.2]:25 next input="MAIL FROM:<victor@post.ru>\r\nQUIT\r\n"
May 31 09:09:44 mail exim[1002]: SMTP protocol synchronization error (next input sent too soon: pipelining was not advertised): rejected "RCPT TO:<kaz@kaz.rtr.ru>" H=(bsstransport) [192.168.101.53] I=[192.168.101.2]:25 next input="MAIL FROM:<victor@post.ru>\r\nQUIT\r\n"
Помогите очень КРИТИЧНО это!!!
В Kerio MailServer работает очень хорошо а вот в Exim возникают такие траблы.

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Непрочитанное сообщение dikens3 » 2007-05-31 13:11:08

http://www.lissyara.su/?id=1214
Тут почитай по теме:
smtp_enforce_sync

Код: Выделить всё

Спецификация протокола SMTP требует, чтобы клиент ждал ответа сервера в определённых точках диалога. Без PIPELINING, эти точки синхронизации - после каждой команды; с PIPELINING, их меньше, но они всё ещё существуют.
   Некоторые спамеры высылают полный набор команд SMTP без ожидания какого-либо ответаю Exim защищает от этого, путём отклонения сообщения, если клиент посылал будущий ввод (команды - прим. lissyara), когда этого не должно было быть.Посылается ответ о ошибке “554 SMTP synchronization error”, и соединение обрывается. Тестирование на эту ошибку не может быть идеальным, поскольку задержки передачи (неожиданный ввод может находиться в пути, но не получен при проверках exim). Однако, этим детектируется много случаев.
   Эта проверка может быть глобально отключена путём установки “smtp_enforce_sync” в ложь. Если вы хотите выборочно отключить эту проверку (например, только для определённых хостов), вы можете это сделать путём соответствующего использования модификатора “control” в ACL (смотрите раздел 39.18). Также, смотрите опцию “pipelining_advertise_hosts”.
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

Аватара пользователя
wwaaoo
мл. сержант
Сообщения: 107
Зарегистрирован: 2007-04-15 22:51:46

Непрочитанное сообщение wwaaoo » 2007-05-31 13:19:22

Спасибо dikens3, чтобы без тебя делали то. :P

1. Но Kerio MailServer принимает нормально и неругается же?
2. И письма приходят же на мой запрос ааа?

Вот посмотри так правильно будет:
smtp_enforce_sync

Код: Выделить всё

warn hosts   = 87.145.201.35
      control = smtp_enforce_sync

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Непрочитанное сообщение dikens3 » 2007-05-31 13:31:02

wwaaoo писал(а):Спасибо dikens3, чтобы без тебя делали то. :P

1. Но Kerio MailServer принимает нормально и неругается же?
2. И письма приходят же на мой запрос ааа?
1. Ну блин, разные сервера, разные настройки и возможности, как уже говорилось, EXIM сделан в основном для борьбы со спамом. В нём для этого огромная куча возможностей. Актуально всегда будет. :-)

По 2-му вопросу не понял:
Имеешь ввиду, что от почтовиков почта нормально приходит? Нормальные почтовики.
Глючат клиенты, поcтавь другой MUA (BAT точно нормально работает)

Как правильно не знаю, не делал. На форуме уже было обсуждение с полгода назад.
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

Аватара пользователя
wwaaoo
мл. сержант
Сообщения: 107
Зарегистрирован: 2007-04-15 22:51:46

Непрочитанное сообщение wwaaoo » 2007-05-31 13:39:55

По второму вопросы:

Почта приходит и уходит на ура, а вот от этого хоста нет, но я точно знаю что там ответы на наши запросы посылаются автоматически без участия почтовых клиентов.
Вот как это работает:
У нас есть спец. программа которая посылает определенные запросы и в зависимости от запроса их сервер посылает ответ (вот в краце принцеп работы).

Вот посмотри так правильно будет:

Код: Выделить всё

warn hosts   = 87.145.201.35
      control = smtp_enforce_sync

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Непрочитанное сообщение dikens3 » 2007-05-31 14:14:01

У меня нет таких хостов, как я тебе помогу? Как проверю? А наугад в ссылке читай, я там высказался.
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

Аватара пользователя
wwaaoo
мл. сержант
Сообщения: 107
Зарегистрирован: 2007-04-15 22:51:46

Непрочитанное сообщение wwaaoo » 2007-06-04 14:56:00

Проблема разрешилась сама собой (незнаю в чем было дело).

Аватара пользователя
wwaaoo
мл. сержант
Сообщения: 107
Зарегистрирован: 2007-04-15 22:51:46

Непрочитанное сообщение wwaaoo » 2007-06-04 15:08:22

Как-то я задавал вопрос:
wwaaoo писал(а):Опять я:

Заметил такую вещь что люди стараются скрывать информацию о том какой почтовый сервер используют.

Вот и у меня возникло такое желание, как сделать так чтобы скрыть информацию о своем сервере, а в частности вот это:

Код: Выделить всё

Received: from [192.168.1.251]
	by mail.new.org with esmtpa (Exim 4.67 (FreeBSD))
Тоесть как сделать так чтобы он не вставлял в тело письма информацию о себе?

Чтобы было вот так:

Код: Выделить всё

Received: from [192.168.1.251]
	by mail.new.org with esmtpa (Super Puper Server 6.9 (Windows Vista))
и получил ответ:
dikens3 писал(а):
# Поиск маршрута в DNS, если не найден то Unroutable address
dnslookup:
driver = dnslookup
domains = ! +local_domains
headers_remove = Received
transport = remote_smtp
ignore_target_hosts = 0.0.0.0 : 127.0.0.0/8
no_more
Всё во внешний мир не будет иметь поля receved вовсе. А входящие, да фиг с ними.
Но это не всё.

Подскажите пожалуйста:
1. Как сделать тоже самое, но уже для входящих сообщений?
2. Как сделать так чтобы он неудалял это поле, а подменял его другим значением?
Например:

Код: Выделить всё

Received: from [192.168.1.251]
	by mail.new.org with esmtpa (Super Puper Server 6.9 (Windows Vista))

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Непрочитанное сообщение dikens3 » 2007-06-04 16:09:49

1. Как сделать тоже самое, но уже для входящих сообщений?
2. Как сделать так чтобы он неудалял это поле, а подменял его другим значением?
Не стоит так делать, ибо:
1. Средства антиспам проверяют эти поля.
2. Разбор полётов по заголовкам в письме много даёт информации когда что-то не работает.

Если ты собираешься удалить информацию о своём сервере и скрыть от своих пользователей, то 10 раз подумай.
Решение могу описать образно:
Тот же принцип только в другом роутере:

Код: Выделить всё

Типа этого:
mysql_users:
  driver = accept
  domains = ${lookup mysql{MYSQL_DOMAINS}}
  local_parts = ${lookup mysql{MYSQL_USERS}}
  transport = mysql_delivery
Так вот тебе придётся найти уникальную комбинацию в поле received, которую добавляет твой сервер в хидеры. (Обычно это IP-Адрес твоего сервака)
Потом в роутере как то её удалить или заменить. Можно в фильтре наверное это сделать.

Только теория, не делал. Но мысль интересная. Отпишись, если сделаешь.
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

Аватара пользователя
wwaaoo
мл. сержант
Сообщения: 107
Зарегистрирован: 2007-04-15 22:51:46

Непрочитанное сообщение wwaaoo » 2007-06-04 16:36:27

dikens3 писал(а): Не стоит так делать, ибо:
1. Средства антиспам проверяют эти поля.
2. Разбор полётов по заголовкам в письме много даёт информации когда что-то не работает.
1. Например в Exim есть такая опция:

Код: Выделить всё

smtp_banner = "$primary_hostname, ESMTP EXIM $version_number" 
и ничего кроме тестового сообщения оно роли не играет. Правильно?

Вот и тут:

Код: Выделить всё

Received: from [192.168.1.251]
   by mail.new.org with esmtpa (Exim 4.67 (FreeBSD))
Получается мне надо изменить только:

Код: Выделить всё

(Exim 4.67 (FreeBSD))
и соответственно как оно повлияет на обработку почтовыми серверами? Вроде не повлияет.

Так что необходимо чтобы и из локальной сети минимум инфу можно было узнать.

Аватара пользователя
wwaaoo
мл. сержант
Сообщения: 107
Зарегистрирован: 2007-04-15 22:51:46

Непрочитанное сообщение wwaaoo » 2007-06-05 9:41:31

Походу бойкот моим тупым вопросам объявили, ну да ладно.

От одного из моих клиентов идет где-то 70% всего спама (данные все в норме, тоесть HELO, IP все соответствет моему клиенту).

Опять вопрос: Может ли спамер полностью подделать все данные, чтобы письмо казалось что пришло от легального источника?

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Непрочитанное сообщение dikens3 » 2007-06-05 11:05:15

wwaaoo писал(а):Походу бойкот моим тупым вопросам объявили, ну да ладно.

От одного из моих клиентов идет где-то 70% всего спама (данные все в норме, тоесть HELO, IP все соответствет моему клиенту).

Опять вопрос: Может ли спамер полностью подделать все данные, чтобы письмо казалось что пришло от легального источника?
Есть всякие masterhost и т.п. от которых идёт спам. Данные даже в SPF могут верные.

Отсюда:
1. Нужно следить за этим, а хостеру заняться больше нечем?
2. Компы в сети к примеру могут быть заражены вирусами и сами рассылать через свой нормально настроенный почтовик. Опять нужно смотреть за всем.
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

Аватара пользователя
wwaaoo
мл. сержант
Сообщения: 107
Зарегистрирован: 2007-04-15 22:51:46

Непрочитанное сообщение wwaaoo » 2007-06-05 11:13:52

Тогда ещё вопросик:
А если в локальной сети будет авторизованная отправка, то вирусы могут например взять пароль и логин из почтового клиента и уже с авторизацией отправлять? Вообще на практике есть такие случае что ТРОЯНЫ и ЧЕРВИ шлют письма предварительно украв ЛОГИН и ПАРОЛЬ из почтовых клиентов?

Аватара пользователя
wwaaoo
мл. сержант
Сообщения: 107
Зарегистрирован: 2007-04-15 22:51:46

Непрочитанное сообщение wwaaoo » 2007-06-13 15:05:41

wwaaoo писал(а):Тогда ещё вопросик:
А если в локальной сети будет авторизованная отправка, то вирусы могут например взять пароль и логин из почтового клиента и уже с авторизацией отправлять? Вообще на практике есть такие случае что ТРОЯНЫ и ЧЕРВИ шлют письма предварительно украв ЛОГИН и ПАРОЛЬ из почтовых клиентов?
Да видимо на этот вопрос нет ОТВЕТА. :?

jeweller
сержант
Сообщения: 189
Зарегистрирован: 2006-11-17 21:58:43
Откуда: Самара
Контактная информация:

Непрочитанное сообщение jeweller » 2007-06-15 8:36:11

ну а ты сам то как думаешь?
если есть подобные механизмы у троянов которых ты пропустил (а вернее твой антивирус или там файрволл) то все может быть реально.

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Непрочитанное сообщение dikens3 » 2007-06-15 8:45:19

jeweller писал(а):ну а ты сам то как думаешь?
если есть подобные механизмы у троянов которых ты пропустил (а вернее твой антивирус или там файрволл) то все может быть реально.
Всё может быть, могут быть скопированы все E-mail'ы у пользователя, для рассылки спама.

А теперь предположим висит пользователя троян, скопировал всё что мог. Отослал данные куда-то и ждёт команд(т.е. периодически лезет в инет куда-то и что-то ищет)
Когда приходит команда на рассылку, троян рассылает спам(а не себя). Вот тебе отличное средство для рассылки спама.
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

jeweller
сержант
Сообщения: 189
Зарегистрирован: 2006-11-17 21:58:43
Откуда: Самара
Контактная информация:

Непрочитанное сообщение jeweller » 2007-06-15 8:47:00

dikens3 писал(а):
jeweller писал(а):ну а ты сам то как думаешь?
если есть подобные механизмы у троянов которых ты пропустил (а вернее твой антивирус или там файрволл) то все может быть реально.
Всё может быть, могут быть скопированы все E-mail'ы у пользователя, для рассылки спама.

А теперь предположим висит пользователя троян, скопировал всё что мог. Отослал данные куда-то и ждёт команд(т.е. периодически лезет в инет куда-то и что-то ищет)
Когда приходит команда на рассылку, троян рассылает спам(а не себя). Вот тебе отличное средство для рассылки спама.
всецело поддерживаю:)

Аватара пользователя
wwaaoo
мл. сержант
Сообщения: 107
Зарегистрирован: 2007-04-15 22:51:46

Непрочитанное сообщение wwaaoo » 2007-06-15 14:22:42

Охренеть!!! Дык получается, что если Троян будет отсылать спам в малых количествах (ну например 10 писем в день) то невозможно узнать кто это делает Троян или пользователь?

Я прав?

И фактически определить деятельность трояна можно только просматривая километровые логии EXIM - a

Аватара пользователя
wwaaoo
мл. сержант
Сообщения: 107
Зарегистрирован: 2007-04-15 22:51:46

Непрочитанное сообщение wwaaoo » 2007-06-15 14:29:15

Значит получается так, есть у меня 200 компов и 150 из них заражены данным ТРОЯНОМ то отследить рассылку спама фактически нереально!?

И ещё, я понять не могу, например в том же Thunderbird 2.0 пароли хранятся в зашифрованном виде, дык как тогда Троян его может узнать и если он может это сделать то грош цена этим менеджерам паролей

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35454
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2007-06-15 15:28:49

да не защитишься ты от всего....
Убей их всех! Бог потом рассортирует...

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Непрочитанное сообщение dikens3 » 2007-06-15 15:48:35

wwaaoo писал(а):Значит получается так, есть у меня 200 компов и 150 из них заражены данным ТРОЯНОМ то отследить рассылку спама фактически нереально!?

И ещё, я понять не могу, например в том же Thunderbird 2.0 пароли хранятся в зашифрованном виде, дык как тогда Троян его может узнать и если он может это сделать то грош цена этим менеджерам паролей
УУУУУУ... Как всё запущено.
Слыхал наверное про БОТ-net сети? Как думаешь они спам рассылают?
Фактически нереально, но можно. Только средств и сил для этого потребуется очень немало.

К примеру есть такой вариант. Включаешь комп и оставляешь на сутки, если полез в инет, троян. Сам обычно комп в инет не ходит. :-)

Пароли выломать из MUA, OUTLOOK и BAT вообще не вопрос.
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

ashgdw
ефрейтор
Сообщения: 54
Зарегистрирован: 2007-06-19 14:27:22
Контактная информация:

Непрочитанное сообщение ashgdw » 2007-06-19 16:28:08

Привет всем! )

Пока курю документацию, но постоянно отвлекают, а уже не терпится посмотреть в деле как и что..

Сейчас стоит mdaemon 6. Хочу поставить EXIM перед ним, чтоб резал спам и накапливал почту ПОКА сервер с Mdaemon недоступен.

Подскажите пожалуйста, как Сделать:
1. Что бы при получении для своего домена(mydom.com), EXIM переправлял почту на конкретный хост(IP сервера с Mdaemon (не охото указывать виндовый днс-сервер)). Нужно ли в этом случае на фре заводить всех пользователей?

2. И, что бы при отсылке почты во "внешний мир", если не удалось доставить, то exim отправлял бы её на SMTP-релей провайдера.

Спасибо. )

demondem
проходил мимо

Непрочитанное сообщение demondem » 2007-07-09 15:01:27

Уважаемые знатоки вот лог из debug.log не могу понять в чем дело не подключается
bat к серверу база в mysql ПРОШУ ПОМОЩИ

Jul 9 17:55:19 ns pop3d: Connection, ip=[192.168.0.10]
Jul 9 17:55:19 ns authdaemond: received auth request, service=pop3, authtype=login
Jul 9 17:55:19 ns authdaemond: authpam: trying this module
Jul 9 17:55:19 ns authdaemond: authpam: username 'admin' not found in password file
Jul 9 17:55:19 ns authdaemond: authpam: REJECT - try next module
Jul 9 17:55:19 ns authdaemond: authmysql: trying this module
Jul 9 17:55:19 ns authdaemond: SQL query: SELECT 'username', crypt, "", 26, 26, CONCAT('/var/mail/exim','maildir'), "", "", name, "" FROM mailbox WHERE 'username' = "admin"
Jul 9 17:55:19 ns authdaemond: mysql_query failed, reconnecting: Unknown column 'crypt' in 'field list'
Jul 9 17:55:19 ns authdaemond: mysql_query failed second time, giving up: Unknown column 'crypt' in 'field list'
Jul 9 17:55:19 ns authdaemond: authmysql: TEMPFAIL - no more modules will be tried
Jul 9 17:55:55 ns pop3d: Connection, ip=[192.168.0.10]
Jul 9 17:55:55 ns authdaemond: received auth request, service=pop3, authtype=cram-md5
Jul 9 17:55:55 ns authdaemond: authpam: trying this module
Jul 9 17:55:55 ns authdaemond: authpam only handles authtype=login
Jul 9 17:55:55 ns authdaemond: authpam: REJECT - try next module
Jul 9 17:55:55 ns authdaemond: authmysql: trying this module
Jul 9 17:55:55 ns authdaemond: cram: challenge=PDFBNURGQTc5NUFCOENGMzc1MjY3NjBBRjk2RjdGMEU2QG5zLmRpYWxpbi5rej4=, response=YWRtaW4gYzliNjlhZjZhMThkMmM0ZDIwZDRmZWM3NGE2Y2MxMTc=
Jul 9 17:55:55 ns authdaemond: cram: decoded challenge/response, username 'admin'
Jul 9 17:55:55 ns authdaemond: authmysql: TEMPFAIL - no more modules will be tried