W dniu 2020-04-02 o 01:31, Piotr Lechowicz pisze:
>> I działa, ale widzę, że choć w
sendmail.mc dałem Family=inet dla
>> demona przy obu portach to i tak zaczęły mi włazić hosty ipv6.
> A potrzebujesz wogóle dostępu do usług po IPv6?
> Na interfejsie publicznym serwera masz włączone IPv6? Może wystarczy
> wyłączyć?
I to mnie właśnie zdziwiło,bo mam zdisablowane ipv6.
>> Zablokowałem INPUT dla ipv6,
> Jeżeli wyciąłeś ruch IPv6 na firewallu, to jaki cudem ten ruch dociera
> do serwera SMTP?
Po blokadzie ip6tables problem ustał, ale i tak jestem zdumiony, bo
sendmail był ustawiony w konfigu dla Family=inet, a więc ipv4, a mimo to
z opcją delay_checks przyjmował również ipv6.
>
>> ale widzę w mquee i w logach jakieś hosty ze świata np z Ukrainy
>> przedstawiają się jako nasza domena i pakuja spam aż miło. Jak to
>> ukrócić?
>> Myślałem o opcji rela based_on_MX, ale wtedy każdy cwaniak, który
>> sobie wpisze w domenę nasz serwer jako MX bedzie mógł relayowac do woli.
>> Jakies sugestie?
>>
> Żaden cwaniak nie ma szans "relayować" przez twój serwer, o ile mu w
> konfiguracji tego nie umożliwisz!
Cyrk się zaczął dziać, jak ustawiłem sendmailowi w konfigu opcję
`delay_checks', która jeżeli dobrze zrozumiałem ma opóźniać testy
sendmaila do momentu autoryzacji, po poprawnej autoryzacji usera nie
powinny być robione. Efekt był taki, że nie dośc, że pakowały się hosty
po ipv6, to jeszcze różne ruskie i ukraińskie spam serwery przedstawiały
się jako moja domena i pakowały spam rzekomo od
us...@domena.com.pl i to
fikcyjnego usera na adresy ze świata.
Potrzebowałem tego żeby umożliwić faktycznym userom z naszej domeny
wysyłanie poczty ze swoich domowych internetów, bo bez tego sendmail z
pomocą rbl spamhausa pokazywał im fucka DSN 550 5.7.1 relaying denied
Musi być jakiś sposób, skoro serwery publiczne jakoś funkcjonują
poczytam,, bo słabo to wygląda, a nie mogę znaleźć rozwiązania. Móglbym
wyłączyć sprawdzanie w dnsbl, ale po tym, co widzę w logu byłby to
strzał samobójczy, bo na jeden użyteczny link przypada mniej więcej 3, 4
albo więcej spamhaus.
Wytrułem wczoraj błąd w konfiguracji, zła ścieżka do pliku key przez co
certyfikat sendmaila nie byl używny. Do tej pory nie miało to większego
znaczenia, bo w obrębie firmy poczta działała po porcie 25 z autoryzacją
bez szyfrowania otwartym tekstem. Przez to musiałem dziś pojechać do
firmy i poustawiać userom starttls w autoryzacji serwera poczty
wychodzącej, ale nie zmieniło to nic w relayingu z adresów domowych
(dynamicznych), dalej DSN 550 na każdym porcie - 25, 465, 587
Aż się boję spróbować ponownie delay_checks gdy serwer używa starttls.
LFC