Author Topic: Проблема с почтовым сервером Postfix  (Read 970 times)

tunsa

  • Zen Samurai
  • ****
  • Posts: 302
  • Karma: +11/-1
    • View Profile
Проблема с почтовым сервером Postfix
« on: November 14, 2017, 08:54:26 am »
Всем Доброго дня!

Прошу помощи в решении проблемы

Есть почтовый сервер zentyal 2.4, всё работало как часы 5 лет, но недавно начались проблемы.
Письма стали приходят от самого себя или письма от адресов с непонятными названиями впереди моего домена.
Почтовый сервер у меня за натом. Где поправить, чтобы smtp работало с аутентификацией?

Еще такой косяк мой ip попал в базу спам адресов, может ли это быть связно с моей почтой?

конфиг

Code: [Select]
# Generated by Zentyal
# See /usr/share/postfix/main.cf.dist for a commented, more complete version

# Generated by Zentyal
# See /usr/share/postfix/main.cf.dist for a commented, more complete version

# require helo
smtpd_delay_reject  = yes
smtpd_helo_required = yes

strict_rfc821_envelopes = yes
disable_vrfy_command = yes

smtpd_banner = $myhostname ESMTP $mail_name (Ubuntu)
biff = no

# appending .domain is the MUAs job.
append_dot_mydomain = no

# Uncomment the next line to generate "delayed mail" warnings
#delay_warning_time = 4h

myorigin = /etc/mailname
myhostname = mail
mydestination = $myorigin,$myhostname,localhost,localhost.$mydomain
smtp_helo_name = mail.domain.ru
alias_maps = hash:/etc/aliases

alias_database = hash:/etc/aliases
local_recipient_maps = proxy:unix:passwd.byname $alias_maps

relayhost =




mynetworks = 127.0.0.0/8

message_size_limit = 41943040
mailbox_size_limit = 0
virtual_mailbox_limit = 0
recipient_delimiter = +
inet_interfaces = all

# Virtual Aliases
virtual_alias_maps = ldap:valiases
valiases_server_host = 127.0.0.1
valiases_search_base = ou=mailalias,ou=postfix,dc=zentyal2012
valiases_query_filter = (&(mail=%s)(objectClass=CourierMailAlias))
valiases_result_attribute = maildrop
aliases_bind = no

# Virtual Domains
dovecot_destination_recipient_limit = 1
virtual_transport = dovecot
#virtual_transport = virtual
virtual_mailbox_base = /var/vmail/
virtual_mailbox_maps= ldap:ldapvirtualmap

ldapvirtualmap_server_host = 127.0.0.1:389
ldapvirtualmap_bind = no
ldapvirtualmap_search_base = ou=Users,dc=zentyal2012
ldapvirtualmap_query_filter = (&(mail=%s)(!(quota=-1))(objectClass=CourierMailAccount))
ldapvirtualmap_result_attribute = mailbox

virtual_mailbox_domains = ldap:vmaildomains
vmaildomains_server_host = 127.0.0.1
vmaildomains_bind = no
vmaildomains_search_base =  ou=postfix,dc=zentyal2012
vmaildomains_query_filter = (|(&(objectclass=domain)(domainComponent=%s))(&(objectclass=CourierMailAlias)(mail=@%s)))
vmaildomains_result_attribute = dc, maildrop


virtual_minimum_uid = 100
virtual_uid_maps = static:108
virtual_gid_maps = static:114

# TLS/SSL
smtpd_use_tls = yes
smtpd_tls_note_starttls = yes
smtpd_tls_key_file  = /etc/postfix/sasl/postfix.pem
smtpd_tls_cert_file = /etc/postfix/sasl/postfix.pem
smtpd_tls_loglevel = 1

# recipient restrictions
smtpd_recipient_restrictions = permit_sasl_authenticated, permit_mynetworks, reject_unauth_destination, reject_non_fqdn_sender, reject_unknown_sender_domain, reject_invalid_helo_hostname, reject_non_fqdn_helo_hostname, check_helo_access pcre:/etc/postfix/helo_checks.pcre
submission_recipient_restrictions = reject_non_fqdn_sender, reject_non_fqdn_recipient, permit_sasl_authenticated, permit_mynetworks, reject
smtpd_restriction_classes = submission_recipient_restrictions

#SASL authentication
smtpd_sasl_auth_enable = yes
smtpd_sasl_security_options = noanonymous
smtpd_sasl_local_domain =
broken_sasl_auth_clients = yes
smtpd_tls_auth_only = yes
smtpd_sasl_type = dovecot
smtpd_sasl_path = private/auth
smtpd_sasl_local_domain =  $myorigin


content_filter=smtp-amavis:127.0.0.1:10024



luha

  • Zen Samurai
  • ****
  • Posts: 424
  • Karma: +28/-1
    • View Profile
Re: Проблема с почтовым сервером Postfix
« Reply #1 on: November 14, 2017, 10:19:02 am »
Судя по всему сервер не достаточно жёстко настроен и пропускает левую почту. Я в своё время долго крутил ручки на 3.5 чтобы закрыть дыры, написал пару велосипедов. Думаю дело именно в этом.

Сходу всего не вспомню, да и версии серверов у нас разные. Разгребусь немного и гляну что у меня в конфигах, но из практики выходит что одними конфигами увы не отделаться. Надо создать условия блокирования регекспами и настроить отдельный чёрный список, начать мониторить и закидывать туда сервера и сети. Сделать обратную связь, чтобы в случае проблем клиент имел возможность сообщить. Написать скриптик для контроля очереди высылки чтобы знать что происходит и реагировать если что.

tunsa

  • Zen Samurai
  • ****
  • Posts: 302
  • Karma: +11/-1
    • View Profile
Re: Проблема с почтовым сервером Postfix
« Reply #2 on: November 14, 2017, 10:35:37 am »
Судя по всему сервер не достаточно жёстко настроен и пропускает левую почту. Я в своё время долго крутил ручки на 3.5 чтобы закрыть дыры, написал пару велосипедов. Думаю дело именно в этом.

Сходу всего не вспомню, да и версии серверов у нас разные. Разгребусь немного и гляну что у меня в конфигах, но из практики выходит что одними конфигами увы не отделаться. Надо создать условия блокирования регекспами и настроить отдельный чёрный список, начать мониторить и закидывать туда сервера и сети. Сделать обратную связь, чтобы в случае проблем клиент имел возможность сообщить. Написать скриптик для контроля очереди высылки чтобы знать что происходит и реагировать если что.

спасибо за ответ, да надо уже переезжать на zimbra руки все не доходят, там более гибкая настройка, и возможностей больше чем на zentyal, но как-то надо временно решить проблемы пока(

luha

  • Zen Samurai
  • ****
  • Posts: 424
  • Karma: +28/-1
    • View Profile
Re: Проблема с почтовым сервером Postfix
« Reply #3 on: November 14, 2017, 11:38:38 am »
Если уж решили переезжать то может нет смысла городить огород? Я как разгребусь подкину настройки.

Обрати внимание на дистрибутив iredmail но в любом случае сначала погоняй его на стэнде (меня не устроил например).

luha

  • Zen Samurai
  • ****
  • Posts: 424
  • Karma: +28/-1
    • View Profile
Re: Проблема с почтовым сервером Postfix
« Reply #4 on: November 14, 2017, 03:49:18 pm »
В общем глянул. Я там очень многое переделал, поэтому нет смысла давать в точности как у нас, тем более не знаю как должно быть у второго зенчала. Даю первое что можно попробовать сделать.

Редактируй mas файлы!

Дальше будет выхлоп и там можно встретить такое:
hash:/etc/postfix/blacklist - это нестандартный список если что, но можешь его себе легко создать. Если нет то в конфиг не добавлять.

root@host# postconf -n

Основное на что обрати внимание:

append_dot_mydomain = no
broken_sasl_auth_clients = yes
mydestination = $myorigin,$myhostname,localhost,localhost.$mydomain
myorigin = /etc/mailname
smtpd_client_restrictions = permit_mynetworks, permit_sasl_authenticated, check_client_access hash:/etc/postfix/blacklist, reject_unknown_client, reject_unknown_reverse_client_hostname
smtpd_delay_reject = yes
smtpd_helo_required = yes
smtpd_helo_restrictions = permit_mynetworks, permit_sasl_authenticated, check_helo_access pcre:/etc/postfix/helo_checks.pcre, reject_non_fqdn_hostname, reject_invalid_helo_hostname, reject_unknown_helo_hostname, permit
smtpd_recipient_restrictions = permit_sasl_authenticated, permit_mynetworks, reject_unauth_destination, reject_unauth_pipelining, reject_unlisted_recipient, reject_unknown_hostname, reject_invalid_hostname, reject_non_fqdn_hostname, reject_non_fqdn_recipient, reject_unknown_recipient_domain, reject_non_fqdn_sender, reject_unknown_sender_domain, reject_invalid_helo_hostname, reject_non_fqdn_helo_hostname, check_helo_access pcre:/etc/postfix/helo_checks.pcre
smtpd_restriction_classes = submission_recipient_restrictions
smtpd_sasl_auth_enable = yes
smtpd_sasl_local_domain = $myorigin
smtpd_sasl_path = private/auth
smtpd_sasl_security_options = noanonymous
smtpd_sender_restrictions = permit_mynetworks, permit_sasl_authenticated, check_helo_access pcre:/etc/postfix/helo_checks.pcre, check_sender_access hash:/etc/postfix/blacklist, reject_authenticated_sender_login_mismatch, reject_unauthenticated_sender_login_mismatch,
smtpd_tls_auth_only = yes
submission_recipient_restrictions = reject_non_fqdn_sender, reject_non_fqdn_recipient, reject_unlisted_recipient, permit_sasl_authenticated, permit_mynetworks, reject


tunsa

  • Zen Samurai
  • ****
  • Posts: 302
  • Karma: +11/-1
    • View Profile
Re: Проблема с почтовым сервером Postfix
« Reply #5 on: November 14, 2017, 06:04:57 pm »
Спасибо за ответ, а ты можешь скинуть весь конфиг
/usr/share/zentyal/stubs/mail/main.cf.mas

И еще настроен ли relay у тебя, прописан ли Smarthost to send mail: и есть ли авторизация Smarthost authentication:?

И как вообще можно настроить, чтобы от локальных почтовых клиентов, требовалась авторизация по smtp?

Как postfix сделать close relay в этом вся и беда. В настройка стоит postfix стоит smtpd_recipient_restrictions = permit_sasl_authenticated. Но не помогает, все равно у меня open relay postfix из-за этого и используют мой сервер, для отправки спама(
« Last Edit: November 14, 2017, 09:00:15 pm by tunsa »

luha

  • Zen Samurai
  • ****
  • Posts: 424
  • Karma: +28/-1
    • View Profile
Re: Проблема с почтовым сервером Postfix
« Reply #6 on: November 15, 2017, 09:44:27 am »
Ну так я же дал на что надо обратить внимание и что вписать в конфиг. Эти параметры как раз за это и отвечают.

Проверки в Postfix идут в следующей последовательности:

1. smtpd_client_restrictions
2. smtpd_helo_restrictions
3. smtpd_recipient_restrictions
4. smtpd_data_restrictions
5. smtpd_end_of_data_restrictions

Если какое-либо правило в любой из проверок выдает разрешение на письмо, то внутри этой проверки правила далее не проверяются. Но другие проверки всё равно идут. Но если ты письмо отклоняешь, то далее уже ничего не проверяется.

http://freesource.info/wiki/Dokumentacija/Postfix/antispam/restrictions

К сожалению попадаются хитровыкрученные спамеры которые какими-то неведомыми дорожками норовят-таки иногда обойти стандартные встроенные средства постфикса, тут уж только велосипедизм поможет.

tunsa

  • Zen Samurai
  • ****
  • Posts: 302
  • Karma: +11/-1
    • View Profile
Re: Проблема с почтовым сервером Postfix
« Reply #7 on: November 15, 2017, 11:26:41 am »
Ну так я же дал на что надо обратить внимание и что вписать в конфиг. Эти параметры как раз за это и отвечают.

Проверки в Postfix идут в следующей последовательности:

1. smtpd_client_restrictions
2. smtpd_helo_restrictions
3. smtpd_recipient_restrictions
4. smtpd_data_restrictions
5. smtpd_end_of_data_restrictions

Если какое-либо правило в любой из проверок выдает разрешение на письмо, то внутри этой проверки правила далее не проверяются. Но другие проверки всё равно идут. Но если ты письмо отклоняешь, то далее уже ничего не проверяется.

http://freesource.info/wiki/Dokumentacija/Postfix/antispam/restrictions

К сожалению попадаются хитровыкрученные спамеры которые какими-то неведомыми дорожками норовят-таки иногда обойти стандартные встроенные средства постфикса, тут уж только велосипедизм поможет.

Спасибо за ответ. Вы не поняли, я говорю не про фильтрацию спама приходящий ко мне на mail, а про то, что мой домен и ip используют для пересылки сообщений от моего имени. Open relay. Можете скинуть принскрин своих настроек из морды zentyal
« Last Edit: November 15, 2017, 11:33:24 am by tunsa »

luha

  • Zen Samurai
  • ****
  • Posts: 424
  • Karma: +28/-1
    • View Profile
Re: Проблема с почтовым сервером Postfix
« Reply #8 on: November 15, 2017, 11:48:31 am »
Я всё понял и дал то что нужно чтобы ваш сервер не отправлял неавторизированную почту. Хотябы ознакомьтесь. Это не фильтрация спама (хотя тоже), а настройка разрешений для подключения к серверу, приёму и ОТПРАВКИ почты.

Предложенная конфигурация не разрешает пересылку почты, отправка только для зарегистрированных пользователей прошедших авторизацию.

Как пример:
smtpd_sender_restrictions = permit_mynetworks, permit_sasl_authenticated, check_helo_access pcre:/etc/postfix/helo_checks.pcre, check_sender_access hash:/etc/postfix/blacklist, reject_authenticated_sender_login_mismatch,

... настройка определяет как отправляются с сервера письма. Разрешить отправку разрешённым хостам, разрешить отправку для авторизованных пользователей, проверить helo лист (там может быть как разрешено так и запрет), проверить blacklist (тоже может быть разрешено или нет), запретить отправку не со своего адреса (чтобы не отправляли письма с чужих адресов).

Разве это не то о чём вы просите?! О_о
Я что-то не понял в таком случае.

Чтобы точнее настроить надо знать как именно вышла нежелательная почта - тоесть парсить лог. Может кто-то слил свой акк и теперь через его ящик высылают. Я для этих целей использую самописные скрипты которые мониторят что происходит и в случае нездоровых движений алармят (но тебе сейчас это не надо).
« Last Edit: November 15, 2017, 12:04:06 pm by luha »

tunsa

  • Zen Samurai
  • ****
  • Posts: 302
  • Karma: +11/-1
    • View Profile
Re: Проблема с почтовым сервером Postfix
« Reply #9 on: November 15, 2017, 12:46:38 pm »

Как пример:
smtpd_sender_restrictions = permit_mynetworks, permit_sasl_authenticated, check_helo_access pcre:/etc/postfix/helo_checks.pcre, check_sender_access hash:/etc/postfix/blacklist, reject_authenticated_sender_login_mismatch,


Да в том то и дело, что у меня так и настроено, поковыряю еще вечером конфиги и буду тестить telnetом

luha

  • Zen Samurai
  • ****
  • Posts: 424
  • Karma: +28/-1
    • View Profile
Re: Проблема с почтовым сервером Postfix
« Reply #10 on: November 15, 2017, 01:53:28 pm »
Согласно тому что вы дали в первом сообщении не так.

luha

  • Zen Samurai
  • ****
  • Posts: 424
  • Karma: +28/-1
    • View Profile
Re: Проблема с почтовым сервером Postfix
« Reply #11 on: November 20, 2017, 10:45:33 am »
Ну как там, удалось настроить сервер?