Qmail - Подозрение на open relay

EXIM, sendmail, postfix, Dovecot и прочие. Решение проблем связанных с работой электронной почты

Модератор: xM

Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
ce-zar
ефрейтор
Сообщения: 60
Зарегистрирован: 2008-04-03 15:37:09
Откуда: Санкт-Петербург

Qmail - Подозрение на open relay

Непрочитанное сообщение ce-zar » 2008-08-29 9:20:53

Здравствуйте, гуру! Возможно у кого-то настроен qmail... Подскажите, плиз, в таком вопросе: установил qmail-1.03_5+ucspi-tcp-0.88_2+checkpassword-0.90+procmail-3.22_6+p5-Mail-SpamAssassin-3.2.3 на FreeBSD 6.3. Несколько дней все проработало нормально, потом попали в блэк листы. pop3 и smtp завязаны через tcpserver и файл /etc/tcp.smtp.cdb. В этом файле указаны только 127. и 192.168.0.
При попытке пройти тест на открытый релей на http://tests.nettools.ru/ выдает такой результат:

Код: Выделить всё

Подключение... OK Запрос Ответ 
220 х.ru ESMTP  
Тест 1  
From: <spamtest@mail.nettools.ru> 250 ok  
To: <relaytest@nettools.ru> 553 sorry, that domain isn't in my list of allowed rcpthosts (#5.7.1)  
Тест 2  
From: <spamtest> 250 ok  
To: <relaytest@nettools.ru> 553 sorry, that domain isn't in my list of allowed rcpthosts (#5.7.1)  
Тест 3  
From: <> 250 ok  
To: <relaytest@nettools.ru> 553 sorry, that domain isn't in my list of allowed rcpthosts (#5.7.1)  
Тест 4  
From: <spamtest@mail.nettools.ru> 250 ok  
To: <relaytest@nettools.ru> 553 sorry, that domain isn't in my list of allowed rcpthosts (#5.7.1)  
Тест 5  
From: <spamtest@[194.87.98.220]> 250 ok  
To: <relaytest@nettools.ru> 553 sorry, that domain isn't in my list of allowed rcpthosts (#5.7.1)  
Тест 6  
From: <spamtest@mail.nettools.ru> 250 ok  
To: <relaytest%nettools.ru@mail.nettools.ru> 553 sorry, that domain isn't in my list of allowed rcpthosts (#5.7.1)  
Тест 7  
From: <spamtest@mail.nettools.ru> 250 ok  
To: <relaytest%nettools.ru@[194.87.98.220]> 553 sorry, that domain isn't in my list of allowed rcpthosts (#5.7.1)  
Тест 8  
From: <spamtest@mail.nettools.ru> 250 ok  
To: <"relaytest@nettools.ru"> 553 sorry, that domain isn't in my list of allowed rcpthosts (#5.7.1)  
Тест 9  
From: <spamtest@mail.nettools.ru> 250 ok  
To: <"relaytest%nettools.ru"> 250 ok  

Тест не пройден.
Похоже сервер может использоваться в качестве публичного пересыльщика почты.

В гугле внятных разъяснений нет... :(
Подскажите, пожалуйста, где копать. Может быть ссылку какую дадите.... Готов предоставить любую инфу. Спасибо!
Ни фига не пойму...

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

icb
лейтенант
Сообщения: 751
Зарегистрирован: 2008-07-15 16:11:11

Re: Qmail - Подозрение на open relay

Непрочитанное сообщение icb » 2008-08-29 9:33:02

Хм... аналогичная проблема, на том же тесте :(
Хотя домены перечилсены в rcpthosts... почему не срабатывает ограничение?

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35315
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Qmail - Подозрение на open relay

Непрочитанное сообщение Alex Keda » 2008-08-29 9:35:54

exim - рулит =)
Убей их всех! Бог потом рассортирует...

Аватара пользователя
terminus
майор
Сообщения: 2305
Зарегистрирован: 2007-10-29 11:27:35
Откуда: Рига

Re: Qmail - Подозрение на open relay

Непрочитанное сообщение terminus » 2008-08-29 10:08:42

Разрешения на релай устанавливаются tcpserver во время TCP соединения как глобальные переменные. Потом tcpserver запускает qmail. qmail смотрит есть в окружении переменная или нет и на основе этого решает можно ли рклаеить или нет.

Выглядят эти разрешения так (tcp.smtp.txt):

Код: Выделить всё

127.0.0.1:allow,RELAYCLIENT="",WHITELISTCLIENT=""
192.168.4.1:allow,RELAYCLIENT="",WHITELISTCLIENT=""
35.98.10.111:allow,RELAYCLIENT="",WHITELISTCLIENT=""
35.98.10.7:allow,WHITELISTCLIENT=""
Присутствие в окружении переменной RELAYCLIENT говорит, что от этого IP можно релаить.

То где находится файл с разрешениями надо смотреть в /var/services/qmail-smtp/run - строка вида

Код: Выделить всё

tcpserver -x/etc/tcp.smtp.cdb -u102 -g101 0 smtp /var/qmail/bin/qmail-smtpd &
параметр -x/etc/tcp.smtp.cdb указывает где CDB база.

база tcp.smtp.cdb создается из текстового файла tcp.smtp.txt с помошью команды

Код: Выделить всё

tcprules /etc/tcp.smtp.cdb /tmp/tcp.smtp.temp < /etc/tcp.smtp.txt
---

З.Ы.

Вот это почитайте http://ru.qmail.org/docs/lwq/lwq.html
Модель: AST-PM-105/0044; Тип: Универсальный, ремонтный; Название: Терминус; Род повреждения: Распад функций; Выводы: Сдать на слом.

icb
лейтенант
Сообщения: 751
Зарегистрирован: 2008-07-15 16:11:11

Re: Qmail - Подозрение на open relay

Непрочитанное сообщение icb » 2008-08-29 10:16:18

Выглядят эти разрешения так (tcp.smtp.txt):
У меня прописно только 1 правило: 127.:allow,RELAYCLIENT=""

Даже попробовал внести % в badmailfrom - тоже не помогло :(

Gegemon
ст. сержант
Сообщения: 316
Зарегистрирован: 2007-10-28 16:03:30
Контактная информация:

Re: Qmail - Подозрение на open relay

Непрочитанное сообщение Gegemon » 2008-08-29 10:43:02

Вот здесь - это разжевывалось:
http://forum.qmailrocks.ru/viewtopic.ph ... tools#p566
Поиск никто не отменял, даже на форуме qmailrocks.ru он есть.
"Попробую и обязательно отпишусь" - самое популярное последнее сообщение ветки форума

icb
лейтенант
Сообщения: 751
Зарегистрирован: 2008-07-15 16:11:11

Re: Qmail - Подозрение на open relay

Непрочитанное сообщение icb » 2008-08-29 10:50:52

Вот здесь - это разжевывалось:
А если почитать что там расжевывалось? А не просто беглым взглядом? ;)
Там написано 2 приема:
чтоб от % избавится надо подправить badmailfrom
Если в /etc/tcp.smtp не указаны айпиадреса/подсети отличные от 127.0.0.1 то использование qmail в качестве relay-сервера невозможно!
И теперь смотрим что написано выше :roll:
У меня прописно только 1 правило: 127.:allow,RELAYCLIENT=""
Даже попробовал внести % в badmailfrom - тоже не помогло :(
Могу добавить что также пробовал писать полностью 127.0.0.1

Аватара пользователя
ce-zar
ефрейтор
Сообщения: 60
Зарегистрирован: 2008-04-03 15:37:09
Откуда: Санкт-Петербург

Re: Qmail - Подозрение на open relay

Непрочитанное сообщение ce-zar » 2008-08-29 11:11:44

icb писал(а):
Вот здесь - это разжевывалось:
А если почитать что там расжевывалось? А не просто беглым взглядом? ;)
Там написано 2 приема:
чтоб от % избавится надо подправить badmailfrom
Если в /etc/tcp.smtp не указаны айпиадреса/подсети отличные от 127.0.0.1 то использование qmail в качестве relay-сервера невозможно!
И теперь смотрим что написано выше :roll:
У меня прописно только 1 правило: 127.:allow,RELAYCLIENT=""
Даже попробовал внести % в badmailfrom - тоже не помогло :(
Могу добавить что также пробовал писать полностью 127.0.0.1
Все аналогично - проблема остается...
Наковырял вот еще что: http://forum.qmailrocks.ru/viewtopic.php?f=2&t=458, однако файл /var/qmail/control/badrcptto у меня физически не присутствует, а если создать вручную, толку никакого... :unknown:
Ни фига не пойму...

icb
лейтенант
Сообщения: 751
Зарегистрирован: 2008-07-15 16:11:11

Re: Qmail - Подозрение на open relay

Непрочитанное сообщение icb » 2008-08-29 11:14:59

однако файл /var/qmail/control/badrcptto у меня физически не присутствует, а если создать вручную, толку никакого
Аналогично :(

Gegemon
ст. сержант
Сообщения: 316
Зарегистрирован: 2007-10-28 16:03:30
Контактная информация:

Re: Qmail - Подозрение на open relay

Непрочитанное сообщение Gegemon » 2008-08-29 11:18:43

Смотреть здесь:
http://forum.qmailrocks.ru/viewtopic.ph ... 5%EB%E5%E9
Соответсвенно попадаешь сюда:
http://forum.qmailrocks.ru/viewtopic.ph ... 5%EB%E5%E9
Читаешь ответы и вникаешь в суть вопроса.

В частности здесь:
http://forum.qmailrocks.ru/viewtopic.ph ... tools#p566
Нинадо ничего править, почтовые адреса типа 'user%domain.ru' воспринимаются как 'user%domain.ru@realdomain.ru' - он не спрашивает авторизацию на отправку, т.к. в данном случае получателем является локальный пользователь, а следовательно - для отправки мессаги на локальный домен авторизация не требуется.
Не забываешь проверять IP адрес своего сервера на предмет поподания в блэклисты (например: http://www.robtex.com/) :)
И файл ~vpopmail/domains/domain.com/.qmail-default в студию!
ты случайно не отсылаешь всем подряд отлупы о несуществующих почтовых ящиках?
"Попробую и обязательно отпишусь" - самое популярное последнее сообщение ветки форума

icb
лейтенант
Сообщения: 751
Зарегистрирован: 2008-07-15 16:11:11

Re: Qmail - Подозрение на open relay

Непрочитанное сообщение icb » 2008-08-29 11:33:01

Нинадо ничего править, почтовые адреса типа 'user%domain.ru' воспринимаются как 'user%domain.ru@realdomain.ru' - он не спрашивает авторизацию на отправку, т.к. в данном случае получателем является локальный пользователь, а следовательно - для отправки мессаги на локальный домен авторизация не требуется.
И что? Мне ведь от этого легче не будет при вносе моего хоста в черный список :(
И файл ~vpopmail/domains/domain.com/.qmail-default в студию!
ты случайно не отсылаешь всем подряд отлупы о несуществующих почтовых ящиках?
Отсылаю.
Подправил на удаление, но это в корне не меняет ситуацию...
| /home/vpopmail/bin/vdelivermail '' delete

Аватара пользователя
ce-zar
ефрейтор
Сообщения: 60
Зарегистрирован: 2008-04-03 15:37:09
Откуда: Санкт-Петербург

Re: Qmail - Подозрение на open relay

Непрочитанное сообщение ce-zar » 2008-08-29 12:01:31

ты случайно не отсылаешь всем подряд отлупы о несуществующих почтовых ящикахОтсылаю.?
Подскажите, уважаемый icb, а как это можно сделать? В настоящий момент у меня все письма на несуществующие сыплются в один ящик и набегает до 50000 за день...
Ни фига не пойму...

Gegemon
ст. сержант
Сообщения: 316
Зарегистрирован: 2007-10-28 16:03:30
Контактная информация:

Re: Qmail - Подозрение на open relay

Непрочитанное сообщение Gegemon » 2008-08-29 12:12:05

nettools.ru только проводит проверку, не вносит в RBL списки.( IMHO - поправьте если не прав ).
И то какими алгоритмами и средствами он тестирует - это их дело.
В блэк-листы не так попадают.
Отсылаю.
Подправил на удаление, но это в корне не меняет ситуацию...
Меняет :)
Вот пример:
тебе пришло письмо в твой домен на несуществующего пользователя :) ( а ты воспользовался ?!!! патчем qmail "validrcptto.cdb Patch" например?) с реальным адресом отравителя :)

Так вот твой сервер даст отлуп - и отошлет письмо обратно на реальный адрес бедной жертвы! Так кто ты после этого?? Я знаю ты не СПАМЕР!!! Ты просто им помогаешь :)))

Есть еще непонятки о том как ДОЛЖНА работать почта?

Тут я соглашусь с Lissyara:
exim - рулит =)
"Попробую и обязательно отпишусь" - самое популярное последнее сообщение ветки форума

Alex_hha
лейтенант
Сообщения: 755
Зарегистрирован: 2005-11-06 18:25:26
Контактная информация:

Re: Qmail - Подозрение на open relay

Непрочитанное сообщение Alex_hha » 2008-08-29 12:23:53

Еще раз убеждаюсь какое убожество этот qmail.

2 автор
установи НОРМАЛЬНЫЙ МТА - exim/postfix, а про qmail забудь, как про страшный сон.

Alex_hha
лейтенант
Сообщения: 755
Зарегистрирован: 2005-11-06 18:25:26
Контактная информация:

Re: Qmail - Подозрение на open relay

Непрочитанное сообщение Alex_hha » 2008-08-29 12:25:37

2 Gegemon
а ты предлагаешь не делать отлуп на несуществующие ящики?

icb
лейтенант
Сообщения: 751
Зарегистрирован: 2008-07-15 16:11:11

Re: Qmail - Подозрение на open relay

Непрочитанное сообщение icb » 2008-08-29 12:49:48

Подскажите, уважаемый icb, а как это можно сделать?
Надо в файле ~vpopmail/domains/ваш_домен/.qmail-default
заменить bounce-no-mailbox на delete
nettools.ru только проводит проверку, не вносит в RBL списки.( IMHO - поправьте если не прав ).
Именно так, но ведь нет гарантии что какой-либо RBL не сделает подобную проверку.

marykone
рядовой
Сообщения: 46
Зарегистрирован: 2008-03-20 10:00:14

Re: Qmail - Подозрение на open relay

Непрочитанное сообщение marykone » 2008-08-29 12:56:39

ptr запись прописана на dns ?

hello соответствует mx записи ?

извините спрашивал на вскидку по этому мог переспросить заново сейчас логи почитаю и сообщения


marykone
рядовой
Сообщения: 46
Зарегистрирован: 2008-03-20 10:00:14

Re: Qmail - Подозрение на open relay

Непрочитанное сообщение marykone » 2008-08-29 13:01:44

Код: Выделить всё

From: <spamtest@mail.nettools.ru> 250 ok  
To: <"relaytest%nettools.ru"> 250 ok  

Тест не пройден.
Похоже сервер может использоваться в качестве публичного пересыльщика почты.
видите на каком тесет завал ? % вместо @
ps правда не используй кумыло поменяй пока не поздно.

Gegemon
ст. сержант
Сообщения: 316
Зарегистрирован: 2007-10-28 16:03:30
Контактная информация:

Re: Qmail - Подозрение на open relay

Непрочитанное сообщение Gegemon » 2008-08-29 13:11:42

2 Alex_hha
Хоть раз смог сам настроить почтовик на qmail, прежде чем:
Еще раз убеждаюсь какое убожество этот qmail.
Я не стану утверждать что " мая кунг-фу лучше чем твая!!!" :)
Посмотри здесь:
http://ru.wikipedia.org/wiki/Qmail

Код: Выделить всё

qmail был разработан как замена для Sendmail, но не ведет себя точно так же как Sendmail во всех ситуациях. В некоторых случаях эти различия в поведении являются основанием для критики. Например, подход qmail к обработке сообщений о недоставке (формат под названием QSBMF) отличается от рекомендованного IETF в RFC 1894. Кроме того, некоторые функции qmail подвергались критике за введение сложностей в доставку почты; например, механизм шаблонов в адресах и безопасный дизайн не позволяют ему отвергать сообщения для несуществующих пользователей во время SMTP-сессии. В прошлом эта особенность могла использоваться для компрометации qmail-узла как источника спама, тем не менее, сегодня такие техники рассылки спама уже не применяются.
Разница вкратце в том, что qmail по-умолчанию не делает отлуп в начале smtp сессии если ящик не существует.
Это он умеет в том случае, если наложить патч.
Соответственно он пропускает письмо целиком на несуществующий адрес и целиком отправляет на адрес отправителя ( а адрес можно и подменить :) ).

Но соглашусь в том, что qmail не очень легко настроить без опыта работы с ним.
Тем более не зная по каким мануалам и Howto человек ставил qmail ;)
"Попробую и обязательно отпишусь" - самое популярное последнее сообщение ветки форума

Gegemon
ст. сержант
Сообщения: 316
Зарегистрирован: 2007-10-28 16:03:30
Контактная информация:

Re: Qmail - Подозрение на open relay

Непрочитанное сообщение Gegemon » 2008-08-29 13:41:53

2 marykone
Хоть раз смог сам настроить почтовик на qmail, прежде чем:
видите на каком тесет завал ? % вместо @
ps правда не используй кумыло поменяй пока не поздно.
Я вижу тут многие дают совет из оперы: не получилось - значит "убожество"....

Поясняю:
При прохождении даного теста получается следующее:
1. nettols отсылает тестовое письмо на несуществующего пользователя "relaytest%nettools.ru"
2. qmail воспринимает адрес с "%" как локальный адрес и пропускает его :)
3. Так как qmail по дефолту не проверяет на валидность адрес получателя своего домена, то и не дает отлуп на стадии установления smtp сессии.

В итоге имеем не прохождение теста от nettools.ru :)
Что указывает только на то, что их тест не прошёл.
"Попробую и обязательно отпишусь" - самое популярное последнее сообщение ветки форума

Аватара пользователя
ce-zar
ефрейтор
Сообщения: 60
Зарегистрирован: 2008-04-03 15:37:09
Откуда: Санкт-Петербург

Re: Qmail - Подозрение на open relay

Непрочитанное сообщение ce-zar » 2008-08-29 14:33:21

Gegemon писал(а):2 Alex_hha
Хоть раз смог сам настроить почтовик на qmail, прежде чем:
Еще раз убеждаюсь какое убожество этот qmail.
Я не стану утверждать что " мая кунг-фу лучше чем твая!!!" :)
Посмотри здесь:
http://ru.wikipedia.org/wiki/Qmail

Код: Выделить всё

qmail был разработан как замена для Sendmail, но не ведет себя точно так же как Sendmail во всех ситуациях. В некоторых случаях эти различия в поведении являются основанием для критики. Например, подход qmail к обработке сообщений о недоставке (формат под названием QSBMF) отличается от рекомендованного IETF в RFC 1894. Кроме того, некоторые функции qmail подвергались критике за введение сложностей в доставку почты; например, механизм шаблонов в адресах и безопасный дизайн не позволяют ему отвергать сообщения для несуществующих пользователей во время SMTP-сессии. В прошлом эта особенность могла использоваться для компрометации qmail-узла как источника спама, тем не менее, сегодня такие техники рассылки спама уже не применяются.
Разница вкратце в том, что qmail по-умолчанию не делает отлуп в начале smtp сессии если ящик не существует.
Это он умеет в том случае, если наложить патч.
Соответственно он пропускает письмо целиком на несуществующий адрес и целиком отправляет на адрес отправителя ( а адрес можно и подменить :) ).

Но соглашусь в том, что qmail не очень легко настроить без опыта работы с ним.
Тем более не зная по каким мануалам и Howto человек ставил qmail ;)
Полностью с Вами согласен...
Ставил, в основном, по этой статье: http://www.tutorial.ru/index.php/tutorial/16/, но из портов, без vpopmail.
Плюс к этому подключил p5-Mail-SpamAssassin-3.2.3.
Ни фига не пойму...

Gegemon
ст. сержант
Сообщения: 316
Зарегистрирован: 2007-10-28 16:03:30
Контактная информация:

Re: Qmail - Подозрение на open relay

Непрочитанное сообщение Gegemon » 2008-08-29 14:43:24

Самому чтоль howto нацарапать?
пока кумыло не забылось :)
2 ce-zar:
Ставил, в основном, по этой статье: http://www.tutorial.ru/index.php/tutorial/16/, но из портов, без vpopmail.
Что то мне подсказывает что оно устарело и не актуально :)
ставь как здесь описано: http://www.qmailrocks.org/
"Попробую и обязательно отпишусь" - самое популярное последнее сообщение ветки форума

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35315
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Qmail - Подозрение на open relay

Непрочитанное сообщение Alex Keda » 2008-08-29 15:19:15

нацарапай...
будет хоть куда ткнуть всех этих страждущих....
Убей их всех! Бог потом рассортирует...

marykone
рядовой
Сообщения: 46
Зарегистрирован: 2008-03-20 10:00:14

Re: Qmail - Подозрение на open relay

Непрочитанное сообщение marykone » 2008-08-29 16:16:58

to Gegemon
а что вы мне разжовываете это не у меня тест не проходит а у автара.
по поводу нацарапать хоу ту это будет отлично. кумыло плохо поддерживается в отличии от тругих MTA

to автор логи покажите
и в браузере вбейте: жизнь с qmail

ps
это тоже кумыло ;)
Подключение... OK
Запрос Ответ
220 мойдомен.ru ESMTP
Тест 1
From: <spamtest@mail.nettools.ru> 250 ok
To: <relaytest@nettools.ru> 553 sorry, that domain isn't in my list of allowed rcpthosts (#5.7.1)
Тест 2
From: <spamtest>
To: <relaytest@nettools.ru>
Тест 3
From: <>
To: <relaytest@nettools.ru>
Тест 4
From: <spamtest@mail.nettools.ru>
To: <relaytest@nettools.ru>
Тест 5
From: <spamtest@[194.87.98.220]>
To: <relaytest@nettools.ru>
Тест 6
From: <spamtest@mail.nettools.ru>
To: <relaytest%nettools.ru@mail.nettools.ru>
Тест 7
From: <spamtest@mail.nettools.ru>
To: <relaytest%nettools.ru@[194.87.98.220]>
Тест 8
From: <spamtest@mail.nettools.ru>
To: <"relaytest@nettools.ru">
Тест 9
From: <spamtest@mail.nettools.ru>
To: <"relaytest%nettools.ru">
Тест 10
From: <spamtest@mail.nettools.ru>
To: <relaytest@nettools.ru@mail.nettools.ru>
Тест 11
From: <spamtest@mail.nettools.ru>
To: <"relaytest@nettools.ru"@mail.nettools.ru>
Тест 12
From: <spamtest@mail.nettools.ru>
To: <relaytest@nettools.ru@[194.87.98.220]>
Тест 13
From: <spamtest@mail.nettools.ru>
To: <@mail.nettools.ru:relaytest@nettools.ru>
Тест 14
From: <spamtest@mail.nettools.ru>
To: <@[194.87.98.220]:relaytest@nettools.ru>
Тест 15
From: <spamtest@mail.nettools.ru>
To: <nettools.ru!relaytest>
Тест 16
From: <spamtest@mail.nettools.ru>
To: <nettools.ru!relaytest@mail.nettools.ru>
Тест 17
From: <spamtest@mail.nettools.ru>
To: <nettools.ru!relaytest@[194.87.98.220]>

Все тесты пройдены успешно.
Сервер не является публичным пересыльщиком почты.