переход с 25 на 587 порт

EXIM, sendmail, postfix, Dovecot и прочие. Решение проблем связанных с работой электронной почты

Модератор: xM

Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
mynick
рядовой
Сообщения: 25
Зарегистрирован: 2012-10-24 11:19:39

переход с 25 на 587 порт

Непрочитанное сообщение mynick » 2012-10-24 11:32:40

Добрый день.
Проблема в том что с моей локальной сети идет рассылка спама и соответственно я попадаю в спам листы. Поэтом принял решение перейти на 587 порт.
Почта поднята на базе postfix c виртуальными пользователями. Почтовик стоит в локальной сети
Когда на шлюзе (freebsd 9) в ipfw закрываю 25 порт то почта перестает приходить. Тогда я решил закрыть 25 порт в локальной сети и дать доступ к 25 порту только почтовому серверу. В ipfw сделал такую запись:

Код: Выделить всё

 ${fw} add 9 allow tcp from 192.168.10.109 25 to any out via ${int}
 ${fw} add 7 deny tcp from ${ln} to any 25 out via ${int}
Где
192.168.10.109 - внутрений айпи почтовика,
${ln} - локальная сеть 192.168.10.0/24
${int} - локальный интерфейс
На шлюзе когда пытаюсь подключиться к почтовику получаю следующие:

Код: Выделить всё

telnet 192.168.10.109 25
Trying 192.168.10.109...
telnet: connect to address 192.168.10.109: Permission denied
telnet: Unable to connect to remote host
Но на локальном компе своем я подключаюсь на ура.
Очень нужна Ваша помощь.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

mak_v_
проходил мимо

Re: переход с 25 на 587 порт

Непрочитанное сообщение mak_v_ » 2012-10-24 11:55:21

Красиво:
правлом 7 запрещаем хождение - "рубим сук на котором сидим"
а правилом 9 разрешаем? - "пытаемся его приклеить"?

циферки поменяйте местами и все у вас заработает

mynick
рядовой
Сообщения: 25
Зарегистрирован: 2012-10-24 11:19:39

Re: переход с 25 на 587 порт

Непрочитанное сообщение mynick » 2012-10-24 12:02:01

Нет к сожалению так и не заработало...еще варианты есть?...я уже бьюсь над этим столько времени и все никак не могу решить проблему :(
Идея было в том чтобы локальные компы все кроме почты не могли использовать 25 порт.


mynick
рядовой
Сообщения: 25
Зарегистрирован: 2012-10-24 11:19:39

Re: переход с 25 на 587 порт

Непрочитанное сообщение mynick » 2012-10-24 12:16:36

Пожалуйста
ipfw show
00005 0 0 deny ip from table(1) to me dst-port 2010
00007 0 0 allow tcp from 192.168.10.109 25 to any out via rl1
00009 1 60 deny tcp from 192.168.10.0/24 to any dst-port 25 out via rl1
00020 0 0 deny ip from any to 127.0.0.0/8
00030 0 0 deny ip from 127.0.0.0/8 to any
00102 285 16063 allow tcp from any to 192.168.10.109 dst-port 443,80,143,587,110
00109 2136197 1822085689 divert 8668 ip from any to any via rl0
00209 4156568 3611793990 allow ip from any to any
65535 8 584 allow ip from any to any

rl0 - внешний интерфейс

Аватара пользователя
skeletor
майор
Сообщения: 2527
Зарегистрирован: 2007-11-16 18:22:04
Откуда: Kiev
Контактная информация:

Re: переход с 25 на 587 порт

Непрочитанное сообщение skeletor » 2012-10-24 12:58:01

1) включить авторизацию при отправке почты.
2) разрешить серверу подключаться везде по 25-ому порту и запретить подключение из локалки
allow tcp from me to any 25
allow tcp from 192.168.10.0/24 to me 465
deny tcp from 192.168.10.0/24 to any 25,465
этого достаточно, что бы сервер-шлюз-почтовик нормально принимать\отправлять почту, а юзеры только подключаться по 465 порту. Если заработает, тогда уже добавляйте in\out\via, ибо мне кажется что проблема как раз именно в этом.
"Винда съела дрова и резет здесь не фурычит."
"Все говорят, что у меня /dev/hands криво и я всё делаю через /dev/ass. А у меня этих фалов вообще нет!"

mynick
рядовой
Сообщения: 25
Зарегистрирован: 2012-10-24 11:19:39

Re: переход с 25 на 587 порт

Непрочитанное сообщение mynick » 2012-10-24 13:06:31

skeletor писал(а):1) включить авторизацию при отправке почты.
2) разрешить серверу подключаться везде по 25-ому порту и запретить подключение из локалки
allow tcp from me to any 25
allow tcp from 192.168.10.0/24 to me 465
deny tcp from 192.168.10.0/24 to any 25,465
этого достаточно, что бы сервер-шлюз-почтовик нормально принимать\отправлять почту, а юзеры только подключаться по 465 порту. Если заработает, тогда уже добавляйте in\out\via, ибо мне кажется что проблема как раз именно в этом.
Я так понял что 587 не очень ?
me - это шлюз ?

Аватара пользователя
skeletor
майор
Сообщения: 2527
Зарегистрирован: 2007-11-16 18:22:04
Откуда: Kiev
Контактная информация:

Re: переход с 25 на 587 порт

Непрочитанное сообщение skeletor » 2012-10-24 13:14:33

me - это сервер на котором пишите правила. Лучше используйте стандартный 465 smtps.
"Винда съела дрова и резет здесь не фурычит."
"Все говорят, что у меня /dev/hands криво и я всё делаю через /dev/ass. А у меня этих фалов вообще нет!"

mynick
рядовой
Сообщения: 25
Зарегистрирован: 2012-10-24 11:19:39

Re: переход с 25 на 587 порт

Непрочитанное сообщение mynick » 2012-10-24 13:26:46

Код: Выделить всё

allow tcp from 192.168.10.0/24 to me 465
не работает это правило

Код: Выделить всё

00005      0         0 deny ip from table(1) to me dst-port 1985
00020      0         0 deny ip from any to 127.0.0.0/8
00030      0         0 deny ip from 127.0.0.0/8 to any
00100      0         0 check-state
00102    233     15434 allow tcp from any to 192.168.10.0/24 dst-port 443,80,143,587,110
00200     21       840 allow tcp from me to any dst-port 25
00300      0         0 allow tcp from 192.168.10.0/24 to me dst-port 468
00400   1245     61392 deny tcp from 192.168.10.0/24 to any dst-port 25,468
00500  90351  66490867 divert 8668 ip from any to any via rl0
00600 177169 132790311 allow ip from any to any
65535      8       584 allow ip from any to any
почта от меня не уходит

Аватара пользователя
skeletor
майор
Сообщения: 2527
Зарегистрирован: 2007-11-16 18:22:04
Откуда: Kiev
Контактная информация:

Re: переход с 25 на 587 порт

Непрочитанное сообщение skeletor » 2012-10-24 13:32:27

а вы подключаетесь к 465 порту?
"Винда съела дрова и резет здесь не фурычит."
"Все говорят, что у меня /dev/hands криво и я всё делаю через /dev/ass. А у меня этих фалов вообще нет!"

mynick
рядовой
Сообщения: 25
Зарегистрирован: 2012-10-24 11:19:39

Re: переход с 25 на 587 порт

Непрочитанное сообщение mynick » 2012-10-24 13:36:33

skeletor писал(а):а вы подключаетесь к 465 порту?
да

Код: Выделить всё

telnet 192.168.10.109 468
Trying 192.168.10.109...
Connected to mydomain.
Escape character is '^]'.

Код: Выделить всё

 netstat -na | grep LISTEN
tcp6       0      0 ::1.10024              *.*                    LISTEN
tcp4       0      0 127.0.0.1.10024        *.*                    LISTEN
tcp4       0      0 *.25                   *.*                    LISTEN
tcp4       0      0 *.22                   *.*                    LISTEN
tcp6       0      0 *.22                   *.*                    LISTEN
tcp4       0      0 *.80                   *.*                    LISTEN
tcp6       0      0 *.80                   *.*                    LISTEN
tcp4       0      0 *.143                  *.*                    LISTEN
tcp4       0      0 *.110                  *.*                    LISTEN
tcp4       0      0 127.0.0.1.10025        *.*                    LISTEN
tcp4       0      0 *.468                  *.*                    LISTEN
tcp4       0      0 *.3306                 *.*                    LISTEN
tcp4       0      0 127.0.0.1.783          *.*                    LISTEN

Аватара пользователя
skeletor
майор
Сообщения: 2527
Зарегистрирован: 2007-11-16 18:22:04
Откуда: Kiev
Контактная информация:

Re: переход с 25 на 587 порт

Непрочитанное сообщение skeletor » 2012-10-24 13:53:25

ну и? где правило не работает? Только неясно, почему порт 468, а не 465
"Винда съела дрова и резет здесь не фурычит."
"Все говорят, что у меня /dev/hands криво и я всё делаю через /dev/ass. А у меня этих фалов вообще нет!"

mynick
рядовой
Сообщения: 25
Зарегистрирован: 2012-10-24 11:19:39

Re: переход с 25 на 587 порт

Непрочитанное сообщение mynick » 2012-10-24 13:59:36

я отправляю письмо от себя на укрнет оно не приходит и висит у меня в очереди

Код: Выделить всё

50D423CBF40     5840 Wed Oct 24 13:55:40  it@мойдомен
             (connect to mxs.ukr.net[195.214.192.100]:25: Operation timed out)
                                         amadey_85@ukr.net
С укрнета приходит

Код: Выделить всё

 ipfw show
00005     0        0 deny ip from table(1) to me dst-port 2010
00020     0        0 deny ip from any to 127.0.0.0/8
00030     0        0 deny ip from 127.0.0.0/8 to any
00100     0        0 check-state
00102     0        0 allow tcp from any to 192.168.10.109 dst-port 443,80,143,587,110
00200    24      960 allow tcp from me to any dst-port 25
00300     0        0 allow tcp from 192.168.10.0/24 to me dst-port 465
00400   595    73263 deny tcp from 192.168.10.0/24 to any dst-port 25,465
00500 19455  6866381 divert 8668 ip from any to any via rl0
00600 38216 13689498 allow ip from any to any
65535     8      584 allow ip from any to any

Аватара пользователя
skeletor
майор
Сообщения: 2527
Зарегистрирован: 2007-11-16 18:22:04
Откуда: Kiev
Контактная информация:

Re: переход с 25 на 587 порт

Непрочитанное сообщение skeletor » 2012-10-24 14:05:41

telnet на 195.214.192.100:25 с сервера не проходит?
"Винда съела дрова и резет здесь не фурычит."
"Все говорят, что у меня /dev/hands криво и я всё делаю через /dev/ass. А у меня этих фалов вообще нет!"

mynick
рядовой
Сообщения: 25
Зарегистрирован: 2012-10-24 11:19:39

Re: переход с 25 на 587 порт

Непрочитанное сообщение mynick » 2012-10-24 14:07:22

skeletor писал(а):telnet на 195.214.192.100:25 с сервера не проходит?

Код: Выделить всё

telnet 195.214.192.100 25
Trying 195.214.192.100...
Connected to mxs.ukr.net.
Escape character is '^]'.
220 UKR.NET ESMTP Wed, 24 Oct 2012 14:07:06 +0300
со шлюза да а вот с почтавика нет

Код: Выделить всё

 telnet 195.214.192.100 25
Trying 195.214.192.100...

Аватара пользователя
skeletor
майор
Сообщения: 2527
Зарегистрирован: 2007-11-16 18:22:04
Откуда: Kiev
Контактная информация:

Re: переход с 25 на 587 порт

Непрочитанное сообщение skeletor » 2012-10-24 14:24:19

Ну так разрешите ещё доступ с почтовика. Я ж думал, что вы разрешите его автоматически.
"Винда съела дрова и резет здесь не фурычит."
"Все говорят, что у меня /dev/hands криво и я всё делаю через /dev/ass. А у меня этих фалов вообще нет!"

mynick
рядовой
Сообщения: 25
Зарегистрирован: 2012-10-24 11:19:39

Re: переход с 25 на 587 порт

Непрочитанное сообщение mynick » 2012-10-24 14:26:27

skeletor писал(а):Ну так разрешите ещё доступ с почтовика. Я ж думал, что вы разрешите его автоматически.
типа такого ?

Код: Выделить всё

add allow tcp from 192.168.10.109 from any 25

Аватара пользователя
skeletor
майор
Сообщения: 2527
Зарегистрирован: 2007-11-16 18:22:04
Откуда: Kiev
Контактная информация:

Re: переход с 25 на 587 порт

Непрочитанное сообщение skeletor » 2012-10-24 14:45:02

ну да, только вместо второго from -> to
"Винда съела дрова и резет здесь не фурычит."
"Все говорят, что у меня /dev/hands криво и я всё делаю через /dev/ass. А у меня этих фалов вообще нет!"

mynick
рядовой
Сообщения: 25
Зарегистрирован: 2012-10-24 11:19:39

Re: переход с 25 на 587 порт

Непрочитанное сообщение mynick » 2012-10-24 14:47:44

skeletor писал(а):ну да, только вместо второго from -> to
Нет как-то по другому
Так не ходит почта

Код: Выделить всё

${fw} add allow tcp from me to any 25
${fw} add allow tcp from 192.168.10.0/24 to me 465
${fw} add allow all from 192.168.10.109 to any 25
${fw} add deny tcp from 192.168.10.0/24 to any 25,465

Код: Выделить всё

ipfw show
00005      0         0 deny ip from table(1) to me dst-port 1985
00020      0         0 deny ip from any to 127.0.0.0/8
00030      0         0 deny ip from 127.0.0.0/8 to any
00100      0         0 check-state
00102      0         0 allow tcp from any to 192.168.10.109 dst-port 443,80,143,587,110
00200      3       120 allow tcp from me to any dst-port 25
00300      0         0 allow tcp from 192.168.10.0/24 to me dst-port 465
00400    150      7992 allow ip from 192.168.10.109 to any dst-port 25
00500    924     44352 deny tcp from 192.168.10.0/24 to any dst-port 25,465
00600 318742 257016732 divert 8668 ip from any to any via rl0
00700 633298 513682274 allow ip from any to any
65535      8       584 allow ip from any to any

Аватара пользователя
skeletor
майор
Сообщения: 2527
Зарегистрирован: 2007-11-16 18:22:04
Откуда: Kiev
Контактная информация:

Re: переход с 25 на 587 порт

Непрочитанное сообщение skeletor » 2012-10-24 15:00:14

Проверяйте telnet с почтовика.
"Винда съела дрова и резет здесь не фурычит."
"Все говорят, что у меня /dev/hands криво и я всё делаю через /dev/ass. А у меня этих фалов вообще нет!"

mynick
рядовой
Сообщения: 25
Зарегистрирован: 2012-10-24 11:19:39

Re: переход с 25 на 587 порт

Непрочитанное сообщение mynick » 2012-10-24 15:00:45

skeletor писал(а):Проверяйте telnet с почтовика.
да проверяю не может подключиться

mynick
рядовой
Сообщения: 25
Зарегистрирован: 2012-10-24 11:19:39

Re: переход с 25 на 587 порт

Непрочитанное сообщение mynick » 2012-10-24 15:47:00

Вообщем как ни писал не получается сделать так чтобы почтовик мог подключаться к тому же укрнет по 25

mynick
рядовой
Сообщения: 25
Зарегистрирован: 2012-10-24 11:19:39

Re: переход с 25 на 587 порт

Непрочитанное сообщение mynick » 2012-10-24 23:35:08

Неужели никто не может помочь ?

Аватара пользователя
skeletor
майор
Сообщения: 2527
Зарегистрирован: 2007-11-16 18:22:04
Откуда: Kiev
Контактная информация:

Re: переход с 25 на 587 порт

Непрочитанное сообщение skeletor » 2012-10-25 14:17:30

Достаточно 3(+/-1) правил, что бы решить вашу задачу:
1) разрешить доступ шлюзу везде на 25-ый порт
2) разрешить почтовику доступ везде на 25-ый порт
3) запретить всем в локалке доступ на 25-ый порт
У меня нет идей, почему и что вы делаете неправильно.
"Винда съела дрова и резет здесь не фурычит."
"Все говорят, что у меня /dev/hands криво и я всё делаю через /dev/ass. А у меня этих фалов вообще нет!"

mynick
рядовой
Сообщения: 25
Зарегистрирован: 2012-10-24 11:19:39

Re: переход с 25 на 587 порт

Непрочитанное сообщение mynick » 2012-10-25 16:16:10

skeletor писал(а):Достаточно 3(+/-1) правил, что бы решить вашу задачу:
1) разрешить доступ шлюзу везде на 25-ый порт
2) разрешить почтовику доступ везде на 25-ый порт
3) запретить всем в локалке доступ на 25-ый порт
У меня нет идей, почему и что вы делаете неправильно.
Спасибо Вам что пытаетесь мне помочь.
Вот такие правила:

Код: Выделить всё

${fw} add allow tcp from me to any 25
${fw} add allow all from 192.168.10.109 to any 25
${fw} add deny tcp from 192.168.10.0/24 to any 25
192.168.10.109 - IP сервера почты
В этом случае от меня почта не уходит но приходит.То есть 25 блочиться и на почтавике....:( Почему так ?