Страница 1 из 3
Qmail - Подозрение на open relay
Добавлено: 2008-08-29 9:20:53
ce-zar
Здравствуйте, гуру! Возможно у кого-то настроен qmail... Подскажите, плиз, в таком вопросе: установил qmail-1.03_5+ucspi-tcp-0.88_2+checkpassword-0.90+procmail-3.22_6+p5-Mail-SpamAssassin-3.2.3 на FreeBSD 6.3. Несколько дней все проработало нормально, потом попали в блэк листы. pop3 и smtp завязаны через tcpserver и файл /etc/tcp.smtp.cdb. В этом файле указаны только 127. и 192.168.0.
При попытке пройти тест на открытый релей на
http://tests.nettools.ru/ выдает такой результат:
Код: Выделить всё
Подключение... OK Запрос Ответ
220 х.ru ESMTP
Тест 1
From: <spamtest@mail.nettools.ru> 250 ok
To: <relaytest@nettools.ru> 553 sorry, that domain isn't in my list of allowed rcpthosts (#5.7.1)
Тест 2
From: <spamtest> 250 ok
To: <relaytest@nettools.ru> 553 sorry, that domain isn't in my list of allowed rcpthosts (#5.7.1)
Тест 3
From: <> 250 ok
To: <relaytest@nettools.ru> 553 sorry, that domain isn't in my list of allowed rcpthosts (#5.7.1)
Тест 4
From: <spamtest@mail.nettools.ru> 250 ok
To: <relaytest@nettools.ru> 553 sorry, that domain isn't in my list of allowed rcpthosts (#5.7.1)
Тест 5
From: <spamtest@[194.87.98.220]> 250 ok
To: <relaytest@nettools.ru> 553 sorry, that domain isn't in my list of allowed rcpthosts (#5.7.1)
Тест 6
From: <spamtest@mail.nettools.ru> 250 ok
To: <relaytest%nettools.ru@mail.nettools.ru> 553 sorry, that domain isn't in my list of allowed rcpthosts (#5.7.1)
Тест 7
From: <spamtest@mail.nettools.ru> 250 ok
To: <relaytest%nettools.ru@[194.87.98.220]> 553 sorry, that domain isn't in my list of allowed rcpthosts (#5.7.1)
Тест 8
From: <spamtest@mail.nettools.ru> 250 ok
To: <"relaytest@nettools.ru"> 553 sorry, that domain isn't in my list of allowed rcpthosts (#5.7.1)
Тест 9
From: <spamtest@mail.nettools.ru> 250 ok
To: <"relaytest%nettools.ru"> 250 ok
Тест не пройден.
Похоже сервер может использоваться в качестве публичного пересыльщика почты.
В гугле внятных разъяснений нет...
Подскажите, пожалуйста, где копать. Может быть ссылку какую дадите.... Готов предоставить любую инфу. Спасибо!
Re: Qmail - Подозрение на open relay
Добавлено: 2008-08-29 9:33:02
icb
Хм... аналогичная проблема, на том же тесте
Хотя домены перечилсены в rcpthosts... почему не срабатывает ограничение?
Re: Qmail - Подозрение на open relay
Добавлено: 2008-08-29 9:35:54
Alex Keda
exim - рулит
Re: Qmail - Подозрение на open relay
Добавлено: 2008-08-29 10:08:42
terminus
Разрешения на релай устанавливаются tcpserver во время TCP соединения как глобальные переменные. Потом tcpserver запускает qmail. qmail смотрит есть в окружении переменная или нет и на основе этого решает можно ли рклаеить или нет.
Выглядят эти разрешения так (tcp.smtp.txt):
Код: Выделить всё
127.0.0.1:allow,RELAYCLIENT="",WHITELISTCLIENT=""
192.168.4.1:allow,RELAYCLIENT="",WHITELISTCLIENT=""
35.98.10.111:allow,RELAYCLIENT="",WHITELISTCLIENT=""
35.98.10.7:allow,WHITELISTCLIENT=""
Присутствие в окружении переменной RELAYCLIENT говорит, что от этого IP можно релаить.
То где находится файл с разрешениями надо смотреть в /var/services/qmail-smtp/run - строка вида
Код: Выделить всё
tcpserver -x/etc/tcp.smtp.cdb -u102 -g101 0 smtp /var/qmail/bin/qmail-smtpd &
параметр -x/etc/tcp.smtp.cdb указывает где CDB база.
база tcp.smtp.cdb создается из текстового файла tcp.smtp.txt с помошью команды
Код: Выделить всё
tcprules /etc/tcp.smtp.cdb /tmp/tcp.smtp.temp < /etc/tcp.smtp.txt
---
З.Ы.
Вот это почитайте
http://ru.qmail.org/docs/lwq/lwq.html
Re: Qmail - Подозрение на open relay
Добавлено: 2008-08-29 10:16:18
icb
Выглядят эти разрешения так (tcp.smtp.txt):
У меня прописно только 1 правило: 127.:allow,RELAYCLIENT=""
Даже попробовал внести % в badmailfrom - тоже не помогло
Re: Qmail - Подозрение на open relay
Добавлено: 2008-08-29 10:43:02
Gegemon
Вот здесь - это разжевывалось:
http://forum.qmailrocks.ru/viewtopic.ph ... tools#p566
Поиск никто не отменял, даже на форуме qmailrocks.ru он есть.
Re: Qmail - Подозрение на open relay
Добавлено: 2008-08-29 10:50:52
icb
Вот здесь - это разжевывалось:
А если почитать что там расжевывалось? А не просто беглым взглядом?
Там написано 2 приема:
чтоб от % избавится надо подправить badmailfrom
Если в /etc/tcp.smtp не указаны айпиадреса/подсети отличные от 127.0.0.1 то использование qmail в качестве relay-сервера невозможно!
И теперь смотрим что написано выше
У меня прописно только 1 правило: 127.:allow,RELAYCLIENT=""
Даже попробовал внести % в badmailfrom - тоже не помогло
Могу добавить что также пробовал писать полностью 127.0.0.1
Re: Qmail - Подозрение на open relay
Добавлено: 2008-08-29 11:11:44
ce-zar
icb писал(а):Вот здесь - это разжевывалось:
А если почитать что там расжевывалось? А не просто беглым взглядом?
Там написано 2 приема:
чтоб от % избавится надо подправить badmailfrom
Если в /etc/tcp.smtp не указаны айпиадреса/подсети отличные от 127.0.0.1 то использование qmail в качестве relay-сервера невозможно!
И теперь смотрим что написано выше
У меня прописно только 1 правило: 127.:allow,RELAYCLIENT=""
Даже попробовал внести % в badmailfrom - тоже не помогло
Могу добавить что также пробовал писать полностью 127.0.0.1
Все аналогично - проблема остается...
Наковырял вот еще что:
http://forum.qmailrocks.ru/viewtopic.php?f=2&t=458, однако файл /var/qmail/control/badrcptto у меня физически не присутствует, а если создать вручную, толку никакого...
Re: Qmail - Подозрение на open relay
Добавлено: 2008-08-29 11:14:59
icb
однако файл /var/qmail/control/badrcptto у меня физически не присутствует, а если создать вручную, толку никакого
Аналогично
Re: Qmail - Подозрение на open relay
Добавлено: 2008-08-29 11:18:43
Gegemon
Смотреть здесь:
http://forum.qmailrocks.ru/viewtopic.ph ... 5%EB%E5%E9
Соответсвенно попадаешь сюда:
http://forum.qmailrocks.ru/viewtopic.ph ... 5%EB%E5%E9
Читаешь ответы и вникаешь в суть вопроса.
В частности здесь:
http://forum.qmailrocks.ru/viewtopic.ph ... tools#p566
Нинадо ничего править, почтовые адреса типа 'user%domain.ru' воспринимаются как 'user%
domain.ru@realdomain.ru' - он не спрашивает авторизацию на отправку, т.к. в данном случае получателем является локальный пользователь, а следовательно - для отправки мессаги на локальный домен авторизация не требуется.
Не забываешь проверять IP адрес своего сервера на предмет поподания в блэклисты (например:
http://www.robtex.com/)
И файл ~vpopmail/domains/domain.com/.qmail-default в студию!
ты случайно не отсылаешь всем подряд отлупы о несуществующих почтовых ящиках?
Re: Qmail - Подозрение на open relay
Добавлено: 2008-08-29 11:33:01
icb
Нинадо ничего править, почтовые адреса типа 'user%domain.ru' воспринимаются как 'user%
domain.ru@realdomain.ru' - он не спрашивает авторизацию на отправку, т.к. в данном случае получателем является локальный пользователь, а следовательно - для отправки мессаги на локальный домен авторизация не требуется.
И что? Мне ведь от этого легче не будет при вносе моего хоста в черный список
И файл ~vpopmail/domains/domain.com/.qmail-default в студию!
ты случайно не отсылаешь всем подряд отлупы о несуществующих почтовых ящиках?
Отсылаю.
Подправил на удаление, но это в корне не меняет ситуацию...
| /home/vpopmail/bin/vdelivermail '' delete
Re: Qmail - Подозрение на open relay
Добавлено: 2008-08-29 12:01:31
ce-zar
ты случайно не отсылаешь всем подряд отлупы о несуществующих почтовых ящикахОтсылаю.?
Подскажите, уважаемый icb, а как это можно сделать? В настоящий момент у меня все письма на несуществующие сыплются в один ящик и набегает до 50000 за день...
Re: Qmail - Подозрение на open relay
Добавлено: 2008-08-29 12:12:05
Gegemon
nettools.ru только проводит проверку, не вносит в RBL списки.( IMHO - поправьте если не прав ).
И то какими алгоритмами и средствами он тестирует - это их дело.
В блэк-листы не так попадают.
Отсылаю.
Подправил на удаление, но это в корне не меняет ситуацию...
Меняет
Вот пример:
тебе пришло письмо в твой домен на несуществующего пользователя
( а ты воспользовался ?!!! патчем qmail "validrcptto.cdb Patch" например?) с реальным адресом отравителя
Так вот твой сервер даст отлуп - и отошлет письмо обратно на реальный адрес бедной жертвы! Так кто ты после этого?? Я знаю ты не СПАМЕР!!! Ты просто им помогаешь
))
Есть еще непонятки о том как ДОЛЖНА работать почта?
Тут я соглашусь с Lissyara:
exim - рулит
Re: Qmail - Подозрение на open relay
Добавлено: 2008-08-29 12:23:53
Alex_hha
Еще раз убеждаюсь какое убожество этот qmail.
2 автор
установи НОРМАЛЬНЫЙ МТА - exim/postfix, а про qmail забудь, как про страшный сон.
Re: Qmail - Подозрение на open relay
Добавлено: 2008-08-29 12:25:37
Alex_hha
2 Gegemon
а ты предлагаешь не делать отлуп на несуществующие ящики?
Re: Qmail - Подозрение на open relay
Добавлено: 2008-08-29 12:49:48
icb
Подскажите, уважаемый icb, а как это можно сделать?
Надо в файле ~vpopmail/domains/ваш_домен/.qmail-default
заменить
bounce-no-mailbox на
delete
nettools.ru только проводит проверку, не вносит в RBL списки.( IMHO - поправьте если не прав ).
Именно так, но ведь нет гарантии что какой-либо RBL не сделает подобную проверку.
Re: Qmail - Подозрение на open relay
Добавлено: 2008-08-29 12:56:39
marykone
ptr запись прописана на dns ?
hello соответствует mx записи ?
извините спрашивал на вскидку по этому мог переспросить заново сейчас логи почитаю и сообщения
Re: Qmail - Подозрение на open relay
Добавлено: 2008-08-29 12:58:20
marykone
логи покажите
Re: Qmail - Подозрение на open relay
Добавлено: 2008-08-29 13:01:44
marykone
Код: Выделить всё
From: <spamtest@mail.nettools.ru> 250 ok
To: <"relaytest%nettools.ru"> 250 ok
Тест не пройден.
Похоже сервер может использоваться в качестве публичного пересыльщика почты.
видите на каком тесет завал ? % вместо @
ps правда не используй кумыло поменяй пока не поздно.
Re: Qmail - Подозрение на open relay
Добавлено: 2008-08-29 13:11:42
Gegemon
2 Alex_hha
Хоть раз смог сам настроить почтовик на qmail, прежде чем:
Еще раз убеждаюсь какое убожество этот qmail.
Я не стану утверждать что " мая кунг-фу лучше чем твая!!!"
Посмотри здесь:
http://ru.wikipedia.org/wiki/Qmail
Код: Выделить всё
qmail был разработан как замена для Sendmail, но не ведет себя точно так же как Sendmail во всех ситуациях. В некоторых случаях эти различия в поведении являются основанием для критики. Например, подход qmail к обработке сообщений о недоставке (формат под названием QSBMF) отличается от рекомендованного IETF в RFC 1894. Кроме того, некоторые функции qmail подвергались критике за введение сложностей в доставку почты; например, механизм шаблонов в адресах и безопасный дизайн не позволяют ему отвергать сообщения для несуществующих пользователей во время SMTP-сессии. В прошлом эта особенность могла использоваться для компрометации qmail-узла как источника спама, тем не менее, сегодня такие техники рассылки спама уже не применяются.
Разница вкратце в том, что qmail по-умолчанию не делает отлуп в начале smtp сессии если ящик не существует.
Это он умеет в том случае, если наложить патч.
Соответственно он пропускает письмо целиком на несуществующий адрес и целиком отправляет на адрес отправителя ( а адрес можно и подменить
).
Но соглашусь в том, что qmail не очень легко настроить без опыта работы с ним.
Тем более не зная по каким мануалам и Howto человек ставил qmail
Re: Qmail - Подозрение на open relay
Добавлено: 2008-08-29 13:41:53
Gegemon
2 marykone
Хоть раз смог сам настроить почтовик на qmail, прежде чем:
видите на каком тесет завал ? % вместо @
ps правда не используй кумыло поменяй пока не поздно.
Я вижу тут многие дают совет из оперы: не получилось - значит "убожество"....
Поясняю:
При прохождении даного теста получается следующее:
1. nettols отсылает тестовое письмо на несуществующего пользователя "relaytest%nettools.ru"
2. qmail воспринимает адрес с "%" как локальный адрес и пропускает его
3. Так как qmail по дефолту не проверяет на валидность адрес получателя своего домена, то и не дает отлуп на стадии установления smtp сессии.
В итоге имеем не прохождение теста от nettools.ru
Что указывает только на то, что их тест не прошёл.
Re: Qmail - Подозрение на open relay
Добавлено: 2008-08-29 14:33:21
ce-zar
Gegemon писал(а):2 Alex_hha
Хоть раз смог сам настроить почтовик на qmail, прежде чем:
Еще раз убеждаюсь какое убожество этот qmail.
Я не стану утверждать что " мая кунг-фу лучше чем твая!!!"
Посмотри здесь:
http://ru.wikipedia.org/wiki/Qmail
Код: Выделить всё
qmail был разработан как замена для Sendmail, но не ведет себя точно так же как Sendmail во всех ситуациях. В некоторых случаях эти различия в поведении являются основанием для критики. Например, подход qmail к обработке сообщений о недоставке (формат под названием QSBMF) отличается от рекомендованного IETF в RFC 1894. Кроме того, некоторые функции qmail подвергались критике за введение сложностей в доставку почты; например, механизм шаблонов в адресах и безопасный дизайн не позволяют ему отвергать сообщения для несуществующих пользователей во время SMTP-сессии. В прошлом эта особенность могла использоваться для компрометации qmail-узла как источника спама, тем не менее, сегодня такие техники рассылки спама уже не применяются.
Разница вкратце в том, что qmail по-умолчанию не делает отлуп в начале smtp сессии если ящик не существует.
Это он умеет в том случае, если наложить патч.
Соответственно он пропускает письмо целиком на несуществующий адрес и целиком отправляет на адрес отправителя ( а адрес можно и подменить
).
Но соглашусь в том, что qmail не очень легко настроить без опыта работы с ним.
Тем более не зная по каким мануалам и Howto человек ставил qmail
Полностью с Вами согласен...
Ставил, в основном, по этой статье:
http://www.tutorial.ru/index.php/tutorial/16/, но из портов, без vpopmail.
Плюс к этому подключил p5-Mail-SpamAssassin-3.2.3.
Re: Qmail - Подозрение на open relay
Добавлено: 2008-08-29 14:43:24
Gegemon
Самому чтоль howto нацарапать?
пока кумыло не забылось
2 ce-zar:
Что то мне подсказывает что оно устарело и не актуально
ставь как здесь описано:
http://www.qmailrocks.org/
Re: Qmail - Подозрение на open relay
Добавлено: 2008-08-29 15:19:15
Alex Keda
нацарапай...
будет хоть куда ткнуть всех этих страждущих....
Re: Qmail - Подозрение на open relay
Добавлено: 2008-08-29 16:16:58
marykone
to
Gegemon
а что вы мне разжовываете это не у меня тест не проходит а у автара.
по поводу нацарапать хоу ту это будет отлично. кумыло плохо поддерживается в отличии от тругих MTA
to автор логи покажите
и в браузере вбейте: жизнь с qmail
ps
это тоже кумыло