Re: Postfix/Exim Relay с проверкой по шаблону

[Сергей С .]

Спасибо, большое за помощь!

чт, 18 мая 2023 г. в 19:54, IL Ka :

> Есть
> https://www.postfix.org/BUILTIN_FILTER_README.html
>
> Нужно настроить https://www.postfix.org/header_checks.5.html (в конце
> есть примеры)
>
> Демон cleanup (см диаграмму
> https://paulgorman.org/technical/postfix-architecture-diagram.svg)
> пропускает все сообщения через header_checks(5), и при совпадении регулярки
> может делать разные действия.
>
>

Re: Postfix/Exim Relay с проверкой по шаблону

[IL Ka]

Есть
https://www.postfix.org/BUILTIN_FILTER_README.html

Нужно настроить https://www.postfix.org/header_checks.5.html (в конце есть
примеры)

Демон cleanup (см диаграмму
https://paulgorman.org/technical/postfix-architecture-diagram.svg)
пропускает все сообщения через header_checks(5), и при совпадении регулярки
может делать разные действия.

Postfix/Exim Relay с проверкой по шаблону

[Сергей С .]

Здравствуйте, друзья.
Есть ли возможность настроить Postfix в режиме пересылки почты (релей) так,
чтобы самом релее была настроена политика, которая пропускала бы сообщения
только по шаблону.
Где это можно изучить и почитать?

p.s. Если есть возможность, приложите пример шаблона на стороне релея

exim spamassassin X-Spam-Status

[sergio]

SA вызывается в acl_check_data

в этом месте в экзиме появляются $spam_ переменные, и он делает с ними 
add_header


при этом появляется $spam_report (здоровый такой) а $spam_status в 
экзиме нет



В идеале хочу не настраивать хидеры экзимом, а брать те, что выставляет 
сам SA.


--
sergio.

Re: exim и greylist (!DKIM)

[Ivan Shmakov]

> Artem Chuprina  writes:
> Ivan Shmakov -> debian-russian@ @ Tue, 03 Oct 2017 11:33:44 +:

 >>> Я же письмо не для себя писал.  Оно пропало для получателя.  Как то
 >>> даже не по себе, объяснять такие простые вещи.

 >> 1. Был ли получатель заинтересован в получении этого письма?
 >> Поскольку смысл борьбы с нежелательной корреспонденцией как раз и
 >> состоит в том, чтобы /некоторые/ письма «пропадали» для получателя.

 >> 2. Если недоставка конкретного письма является проблемой, получатель
 >> всегда может обратиться к администратору узла с просьбой ее решить.

 > Тут есть очевидная проблема: получатель _своевременно_ не знает, что
 > письмо было ему отправлено, поскольку он его не получил.

Верно; я предположил, что у отправителя есть и иной канал для
связи с получателем в случае обнаружения отказа в доставке.

 > При молчаливом выбрасывании письма почтовкой у отправителя сходная
 > проблема: он тоже _своевременно_ не знает, что его письмо не было
 > доставлено.

Здесь могу разве что известный анекдот процитировать — «а вы так
не делайте.»  (В связи с чем я, в частности, поостерегся бы
пробовать реализовать «graylist» после DATA.)

В целом же — проблемы случаются; и не всегда можно решить
проблему за тех, вследствие чьих действий она возникает.  Это
отнюдь не ограничивается вопросами работы электронной почты.

-- 
FSF associate member #7257  http://am-1.org/~ivan/7D17 4A59 6A21 3D97 6DDB

Re: Exim, DKIM, mailing lists

[Ivan Shmakov]

> Eugene Berdnikov  writes:
> On Wed, Oct 04, 2017 at 05:25:26PM +, Ivan Shmakov wrote:
> Eugene Berdnikov  writes: >

 >>> По моему скромному мнению, для рассылок следует ограничиться
 >>> подписью заголовков From, To, Cc, Date и Message-Id, плюс,
 >>> возможно, Reply-To, In-Reply-To и References.

 >> Задача определения, идет ли письмо в рассылку или нет, не кажется
 >> мне тривиальной.

 > Ну и решать её незачем.  Просто не нужно тянуть в подпись разный
 > мусор, тогда везде будет меньше проблем, в том числе в рассылках.

«Мусор» не нужно тянуть в заголовок вовсе.  Вот только не
уверен, что это относится к, e. g., List-*.

 >>> При этом не следует подписывать тело (body).

 >> Прошу прощения?  Другими словами, предоставить злоумышленнику
 >> возможность отправить условный «$$$ make money fast $$$» с моим
 >> заголовком и /действительной/ подписью моего MTA?

 > Злоумышленник будет больше озадачен тем, как подделать обратный адрес
 > на транспортном уровне, т. е. в envelope_from.  Потому как MTA именно
 > его обычно проверяют — применяют SPF, грейлистинг и т. д.

А в чем собственно проблема?  Вот как раз год назад стал я
получать нежелательную корреспонденцию со всяческих
cameraforme.ru, network-asp.ru, lambdafsu.ru, …, school38.bid,
etc. — со вполне себе действительными SPF.  И, к слову, DKIM. [1]

[1] news:87vax8xfdm@violet.siamics.net
SPF? DKIM? spammers can do them too // news:comp.mail.misc

 > А те, кто ведётся на «make money fast», они не только про DKIM ничего
 > не слышали, они вообще не догадываются, что в письме может быть
 > какая-то ложь. :)

Разве это важно?  Если десять пользователей узла отметят письма
с @abuse.example.invalid как spam, то можно надеяться, что
автоклассификатор отметит корреспонденцию с того же домена
следующим ста самостоятельно.

Другое дело, что узлам с тремя пользователями (или же без
работающих автоклассификаторов) извлечь пользу из DKIM уже
ощутимо сложнее.  Или?

[…]

 >> Если рассылка вносит сколь угодно существенные изменения, я так
 >> думаю, ее администратор уже вполне может взять на себя
 >> ответственность за распространение пересылаемых сообщений и
 >> настроить их подписывание ключом своего узла.

 > Достаточно просто снести нахрен все заголовки DKIM из входящего
 > письма перед форвардом в рассылку.

Есть подозрение, что отсутствие DKIM-подписей может идти вразрез
с рекомендациями некоторых популярных почтовых служб.  А значит
такое поведение чревато массовым попаданием сообщений в Spam.
(Из-за чего я и озадачился поддержкой DKIM, IIRC.)

А значит необходимо либо сохранять исходную подпись (что, в свою
очередь, предполагает достаточно консервативный подход к правке
транзитных сообщений), либо озаботиться созданием собственной
подписи (и со спокойной совестью добавлять [LIST] в Subject:,
«unsubscribe» в тело, не говоря уже о рекламе…)

 > Но мы ведь сейчас обсуждаем что делать если админ шлюза даже этим не
 > озаботился.

В свое время, администраторы рассылки по SWI Prolog не
справились с DKIM.  В итоге, оная стала «группой Google.»

-- 
FSF associate member #7257  np. Absolution — Makkon   7D17 4A59 6A21 3D97 6DDB

Re: Exim, DKIM, mailing lists

[Коротаев Руслан]

В сообщении от [Чт 2017-10-05 18:17 +0300]
Иван Лох  пишет:

> On Thu, Oct 05, 2017 at 01:33:31PM +0300, Andrey Jr. Melnikov wrote:
> > > То, что менеджер почтовых рассылок модифицирует тему и тело письма ???
> > > совершенно нормально. Как, кстати, и то, что четко помечает рассылки ???
> > > тоже. 
> > Совершенно ненормально. Письмо может быть подписано/зашиврованно PGP.
> 
> На то есть multipart/mixed

У вас проблемы с DKIM, у меня выдает «invalid (public key: not
available)». Возможно селектор другой.

-- 
Коротаев Руслан
https://blog.kr.pp.ru


smime.p7s
Description: S/MIME cryptographic signature

Re: Exim, DKIM, mailing lists

[Иван Лох]

On Thu, Oct 05, 2017 at 01:33:31PM +0300, Andrey Jr. Melnikov wrote:
> > То, что менеджер почтовых рассылок модифицирует тему и тело письма ???
> > совершенно нормально. Как, кстати, и то, что четко помечает рассылки ???
> > тоже. 
> Совершенно ненормально. Письмо может быть подписано/зашиврованно PGP.

На то есть multipart/mixed

> Менеджер почтовой расслки должен отвечать за 2 вещи - знать кому рассылать и
> уметь подписывать/отписывать. Лезть в письмо - он не должен.

Re: Exim, DKIM, mailing lists

[Andrey Jr. Melnikov]

Иван Лох  wrote:
> On Thu, Oct 05, 2017 at 11:48:18AM +0300, Andrey Jr. Melnikov wrote:

> > Нет, надо рассылочный софт лезущий в Subject/Body выкидывать. 21 век на
> > дворе, всё что может читать почту научилось фильтровать по заголовкам.
> > Всё что до сих пор не научилось - в утиль.

> А пользователей, которые не могут отписаться от рассылки не прочитав
> инструкцию в футере письма куда? 
В вконтактик/фейсбучек, где им самое место. Там нету этих страшных 
спамов, почтов и рассылков. А есть котэги и видосики.
Впрочем, гмылы/яндексы давно имеют кнопку "отписаться", а тех, кто ползуется
своим MUA и MTA - это явно не касается.

> То, что менеджер почтовых рассылок модифицирует тему и тело письма ???
> совершенно нормально. Как, кстати, и то, что четко помечает рассылки ???
> тоже. 
Совершенно ненормально. Письмо может быть подписано/зашиврованно PGP.
Менеджер почтовой расслки должен отвечать за 2 вещи - знать кому рассылать и
уметь подписывать/отписывать. Лезть в письмо - он не должен.

Re: Exim, DKIM, mailing lists

[Иван Лох]

On Thu, Oct 05, 2017 at 11:48:18AM +0300, Andrey Jr. Melnikov wrote:

> Нет, надо рассылочный софт лезущий в Subject/Body выкидывать. 21 век на
> дворе, всё что может читать почту научилось фильтровать по заголовкам.
> Всё что до сих пор не научилось - в утиль.

А пользователей, которые не могут отписаться от рассылки не прочитав
инструкцию в футере письма куда? 

То, что менеджер почтовых рассылок модифицирует тему и тело письма —
совершенно нормально. Как, кстати, и то, что четко помечает рассылки —
тоже. 

В действительности, вреда от тронувшихся от перенапряжения борцов со спамом
больше чем от спама.

Re: Exim, DKIM, mailing lists

[Andrey Jr. Melnikov]

Eugene Berdnikov  wrote:
> On Wed, Oct 04, 2017 at 11:31:08PM +0300, Andrey Jr. Melnikov wrote:
> > Eugene Berdnikov  wrote:
> > > On Wed, Oct 04, 2017 at 05:25:26PM +, Ivan Shmakov wrote:
> > > > > Eugene Berdnikov  writes:
> > > >  > По моему скромному мнению, для рассылок следует ограничиться
> > > >  > подписью заголовков From, To, Cc, Date и Message-Id, плюс, возможно,
> > > >  > Reply-To, In-Reply-To и References.
> > > > 
> > > >   Задача определения, идет ли письмо в рассылку или нет, не
> > > >   кажется мне тривиальной.
> > >  Ну и решать её незачем. Просто не нужно тянуть в подпись разный мусор,
> > >  тогда везде будет меньше проблем, в том числе в рассылках.
> > 
> > Даа, далека криптография от народа, очень далека.
>  Да не, криптография уже близка: у нас, например, mail.ru и yandex.ru уже
>  подписывают письма, и это легко включается для корпоративных доменов.
Осталось еще кому-то с выражением прочитать админам яндекса RFC6376 про DKIM, в
особенности пункт 5.3 и может тогда можно начинать верить ихним подписям.

> > А вот письмо, которое в предложенном тобой варианте
> > будет как-то подписано тобой, видоизмененнное до "слезных расказов дочери
> > старшего инструктора организации запрещенной в россии (тм)" может больно
> > стукнуть. И ведь не отмажешься - подписи твои и верные.

>  Несколько заголовков мои, а тело-то не подписано. :) Но да, убедили,
>  что это не вариант и нужно полностью исключать DKIM для рассылок,
>  которые модифицируют тело и/или Subject.
Нет, надо рассылочный софт лезущий в Subject/Body выкидывать. 21 век на
дворе, всё что может читать почту научилось фильтровать по заголовкам.
Всё что до сих пор не научилось - в утиль.

Re: Exim, DKIM, mailing lists

[Eugene Berdnikov]

On Wed, Oct 04, 2017 at 11:31:08PM +0300, Andrey Jr. Melnikov wrote:
> Eugene Berdnikov  wrote:
> > On Wed, Oct 04, 2017 at 05:25:26PM +, Ivan Shmakov wrote:
> > > > Eugene Berdnikov  writes:
> > >  > По моему скромному мнению, для рассылок следует ограничиться
> > >  > подписью заголовков From, To, Cc, Date и Message-Id, плюс, возможно,
> > >  > Reply-To, In-Reply-To и References.
> > > 
> > >   Задача определения, идет ли письмо в рассылку или нет, не
> > >   кажется мне тривиальной.
> >  Ну и решать её незачем. Просто не нужно тянуть в подпись разный мусор,
> >  тогда везде будет меньше проблем, в том числе в рассылках.
> 
> Даа, далека криптография от народа, очень далека.

 Да не, криптография уже близка: у нас, например, mail.ru и yandex.ru уже
 подписывают письма, и это легко включается для корпоративных доменов.

> А вот письмо, которое в предложенном тобой варианте
> будет как-то подписано тобой, видоизмененнное до "слезных расказов дочери
> старшего инструктора организации запрещенной в россии (тм)" может больно
> стукнуть. И ведь не отмажешься - подписи твои и верные.

 Несколько заголовков мои, а тело-то не подписано. :) Но да, убедили,
 что это не вариант и нужно полностью исключать DKIM для рассылок,
 которые модифицируют тело и/или Subject.
-- 
 Eugene Berdnikov

Re: exim и greylist (!DKIM)

[Andrey Jr. Melnikov]

Eugene Berdnikov  wrote:
> On Sun, Oct 01, 2017 at 11:23:03PM +0300, yuri.nefe...@gmail.com wrote:
> >   p.s. У меня есть несколько знакомых с адресами от yahoo.
> >   Почту они там завели еще в прошлом веке и почему то не видят
> >   причин ее менять.
[...]

>  Правда, это не повод банить Yahoo, как предлагают здесь экстремисты.
>  Но повод задуматься о том, стоит ли им пользоваться.
После прочтения таких новостей
https://techcrunch.com/2017/10/03/yahoo-says-all-3b-accounts-were-impacted-by-2013-breach-not-1b-as-thought/
становиться понятно, откуда там столько спама. Впрочем, если учесть, что
yahoo древнейшная почтовая помойка и юзерей с паролями 123456 и qwerty там
тысячами уже было.

Re: Exim, DKIM, mailing lists

[Andrey Jr. Melnikov]

Eugene Berdnikov  wrote:
> On Wed, Oct 04, 2017 at 05:25:26PM +, Ivan Shmakov wrote:
> > > Eugene Berdnikov  writes:
> >  > По моему скромному мнению, для рассылок следует ограничиться
> >  > подписью заголовков From, To, Cc, Date и Message-Id, плюс, возможно,
> >  > Reply-To, In-Reply-To и References.
> > 
> >   Задача определения, идет ли письмо в рассылку или нет, не
> >   кажется мне тривиальной.
>  Ну и решать её незачем. Просто не нужно тянуть в подпись разный мусор,
>  тогда везде будет меньше проблем, в том числе в рассылках.

Даа, далека криптография от народа, очень далека.

> >  > При этом не следует подписывать тело (body).
> > 
> >   Прошу прощения?  Другими словами, предоставить злоумышленнику
> >   возможность отправить условный ??$$$ make money fast $$$?? с моим
> >   заголовком и /действительной/ подписью моего MTA?

>  Злоумышленник будет больше озадачен тем, как подделать обратный адрес
>  на транспортном уровне, т.е. в envelope_from. Потому как MTA именно его
>  обычно проверяют -- применяют SPF, грейлистинг и т.д. А те, кто ведётся
>  на "make money fast", они не только про DKIM ничего не слышали, они
>  вообще не догадываются, что в письме может быть какая-то ложь. :)
Да не вперся он никому тот envelope-from. Нужен только mailer-daemon'у чтоб
отлуп было отправить. А вот письмо, которое в предложенном тобой варианте
будет как-то подписано тобой, видоизмененнное до "слезных расказов дочери
старшего инструктора организации запрещенной в россии (тм)" может больно
стукнуть. И ведь не отмажешься - подписи твои и верные.

> >  > Все остальные заголовки могут быть модифицированы: в Subject иногда
> >  > префиксом [..] вставляется название списка, шлюз также может поменять
> >  > Content-Transfer-Encoding и добавить в тело футер разными способами,
> >  > в том числе изменив Content-type (некоторые шлюзы так делают, если
> >  > тело содержит HTML).
> > 
> >   Если рассылка вносит сколь угодно существенные изменения,
> >   я так думаю, ее администратор уже вполне может взять на себя
> >   ответственность за распространение пересылаемых сообщений и
> >   настроить их подписывание ключом своего узла.

>  Достаточно просто снести нахрен все заголовки DKIM из входящего письма
>  перед форвардом в рассылку. Но мы ведь сейчас обсуждаем что делать
>  если админ шлюза даже этим не озаботился.
Достаточно поставить DKIM-aware софт, который бережно завернет всё письмо в
отдельный контенйнер и разошлет. Их таких есть, но в дебиане -
стааабииильность, даа!

Re: Exim, DKIM, mailing lists

[Eugene Berdnikov]

On Wed, Oct 04, 2017 at 05:25:26PM +, Ivan Shmakov wrote:
> > Eugene Berdnikov  writes:
>  > По моему скромному мнению, для рассылок следует ограничиться
>  > подписью заголовков From, To, Cc, Date и Message-Id, плюс, возможно,
>  > Reply-To, In-Reply-To и References.
> 
>   Задача определения, идет ли письмо в рассылку или нет, не
>   кажется мне тривиальной.

 Ну и решать её незачем. Просто не нужно тянуть в подпись разный мусор,
 тогда везде будет меньше проблем, в том числе в рассылках.

>  > При этом не следует подписывать тело (body).
> 
>   Прошу прощения?  Другими словами, предоставить злоумышленнику
>   возможность отправить условный ??$$$ make money fast $$$?? с моим
>   заголовком и /действительной/ подписью моего MTA?

 Злоумышленник будет больше озадачен тем, как подделать обратный адрес
 на транспортном уровне, т.е. в envelope_from. Потому как MTA именно его
 обычно проверяют -- применяют SPF, грейлистинг и т.д. А те, кто ведётся
 на "make money fast", они не только про DKIM ничего не слышали, они
 вообще не догадываются, что в письме может быть какая-то ложь. :)

>  > Все остальные заголовки могут быть модифицированы: в Subject иногда
>  > префиксом [..] вставляется название списка, шлюз также может поменять
>  > Content-Transfer-Encoding и добавить в тело футер разными способами,
>  > в том числе изменив Content-type (некоторые шлюзы так делают, если
>  > тело содержит HTML).
> 
>   Если рассылка вносит сколь угодно существенные изменения,
>   я так думаю, ее администратор уже вполне может взять на себя
>   ответственность за распространение пересылаемых сообщений и
>   настроить их подписывание ключом своего узла.

 Достаточно просто снести нахрен все заголовки DKIM из входящего письма
 перед форвардом в рассылку. Но мы ведь сейчас обсуждаем что делать
 если админ шлюза даже этим не озаботился.
-- 
 Eugene Berdnikov

Re: Exim, DKIM, mailing lists

[Ivan Shmakov]

>>>>> Eugene Berdnikov <b...@protva.ru> writes:
>>>>> On Wed, Oct 04, 2017 at 02:25:23PM +, Ivan Shmakov wrote:

 >> DKIM_SIGN_HEADERS =
 >> Content-Transfer-Encoding:Content-Type:MIME-Version
 >> :Message-ID:In-Reply-To:Date:References:Subject:To:From:Reply-To:Cc
 >> :Content-ID:Content-Description

 > По моему скромному мнению, для рассылок следует ограничиться
 > подписью заголовков From, To, Cc, Date и Message-Id, плюс, возможно,
 > Reply-To, In-Reply-To и References.

Задача определения, идет ли письмо в рассылку или нет, не
кажется мне тривиальной.  Но если есть конкретные примеры
настройки Exim для этого — я не против на них взглянуть.

 > При этом не следует подписывать тело (body).

Прошу прощения?  Другими словами, предоставить злоумышленнику
возможность отправить условный «$$$ make money fast $$$» с моим
заголовком и /действительной/ подписью моего MTA?

 > Все остальные заголовки могут быть модифицированы: в Subject иногда
 > префиксом [..] вставляется название списка, шлюз также может поменять
 > Content-Transfer-Encoding и добавить в тело футер разными способами,
 > в том числе изменив Content-type (некоторые шлюзы так делают, если
 > тело содержит HTML).

Если рассылка вносит сколь угодно существенные изменения,
я так думаю, ее администратор уже вполне может взять на себя
ответственность за распространение пересылаемых сообщений и
настроить их подписывание ключом своего узла.

-- 
FSF associate member #7257  http://am-1.org/~ivan/7D17 4A59 6A21 3D97 6DDB

Re: exim и greylist (!DKIM)

[Ivan Shmakov]

> Eugene Berdnikov  writes:

[…]

 > Правда, это не повод банить Yahoo, как предлагают здесь

Не вполне понимаю, о каких предложениях идет речь, но JFTR:
я лишь привел информацию о подходе, которого фактически
придерживаюсь.  Без каких-либо рассуждений «за» или «против».

Надо сказать, что я в целом делаю много того, чего не
рекомендую.  Вот, к примеру, не далее, как в июне, обновил
Debian через версию…

 > экстремисты.

Это такой намек на то, что предлагающим следует давать
«от двух до шести»?

 > Но повод задуматься о том, стоит ли им пользоваться.

Поддерживаю.

-- 
FSF associate member #7257  http://am-1.org/~ivan/7D17 4A59 6A21 3D97 6DDB

Re: Exim, DKIM, mailing lists

[Eugene Berdnikov]

On Wed, Oct 04, 2017 at 02:25:23PM +, Ivan Shmakov wrote:
> DKIM_SIGN_HEADERS   = 
> Content-Transfer-Encoding:Content-Type:MIME-Version:Message-ID:In-Reply-To:Date:References:Subject:To:From:Reply-To:Cc:Content-ID:Content-Description

 По моему скромному мнению, для рассылок следует ограничиться подписью
 заголовков From, To, Cc, Date и Message-Id, плюс, возможно, Reply-To,
 In-Reply-To и References. При этом не следует подписывать тело (body).

 Все остальные заголовки могут быть модифицированы: в Subject иногда
 префиксом [..] вставляется название списка, шлюз также может поменять
 Content-Transfer-Encoding и добавить в тело футер разными способами,
 в том числе изменив Content-type (некоторые шлюзы так делают, если
 тело содержит HTML).
-- 
 Eugene Berdnikov

Re: Exim, DKIM, mailing lists

[Andrey Jr. Melnikov]

Ivan Shmakov <i...@siamics.net> wrote:

[...]

> Действительно, я не задавал значения для DKIM_SIGN_HEADERS
> (dkim_sign_headers) в конфигурации Exim.  (Фрагмент которой на
> всякий случай привожу отдельной MIME-частью.)  Согласно
> документации [1], в этом случае используется рекомендуемый
> RFC 4871 (ныне obsolete) список заголовков ??? который включает
> в том числе Sender:, а равно некоторые Resent- и List-.

> После просмотра RFC 6376, RFC 6377 на предмет текущих
> рекомендаций у меня сложилось впечатление, что такого рода
> заголовки действительно следует включать в подпись главным
> образом при их наличии в сообщении.  Любопытно, есть ли готовые
> примеры настройки Exim таким образом?
Есть. Стереть эту ересь из конфига. В момент подписи письма - будут
использованны все заголовки, которые ниже подписи, иначе это какая-то
профанация а не подпись.

> Можно поспорить, однако, что их может быть полезно включать и
> в противном случае ??? если заведомо известно, что сообщение не
> предназначено для каких-либо рассылок.

> (Так или иначе, полагаю, нынешнее умолчание просит bug report.)
Два. Первый на дефолтный конфиг эксима в дебане, второй - на софт списка
рассылки, который ниразу не DKIM-aware.

Exim, DKIM, mailing lists

[Ivan Shmakov]

>>>>> Eugene Berdnikov <b...@protva.ru> writes:
>>>>> On Tue, Oct 03, 2017 at 01:50:27PM +, Ivan Shmakov wrote:
>>>>> Руслан Коротаев <subscr...@mail.kr.pp.ru> writes:

 >>> Не следил за дискуссией по этой теме, но вижу что есть слово DKIM,
 >>> поэтому счел уместным об этом написать.

 >> ACK, благодарю за информацию.  Похоже, однако, что в этом случае
 >> проблема в рассылке.  (Или, возможно, в том, как конкретно
 >> DKIM-подписи с моего MTA проходят через рассылку.)

 > Посмотрите список заголовков, подписанный вашим DKIM.  Там есть
 > такие, которые заведомо модифицируются шлюзом рассылки, например
 > Resent-From: и Resent-Message-Id:.  Подобные заголовки уместно
 > включать в подпись лишь на выделенном для рассылки рилее.

ACK, благодарю!

    Действительно, я не задавал значения для DKIM_SIGN_HEADERS
(dkim_sign_headers) в конфигурации Exim.  (Фрагмент которой на
всякий случай привожу отдельной MIME-частью.)  Согласно
документации [1], в этом случае используется рекомендуемый
RFC 4871 (ныне obsolete) список заголовков — который включает
в том числе Sender:, а равно некоторые Resent- и List-.

После просмотра RFC 6376, RFC 6377 на предмет текущих
рекомендаций у меня сложилось впечатление, что такого рода
заголовки действительно следует включать в подпись главным
образом при их наличии в сообщении.  Любопытно, есть ли готовые
примеры настройки Exim таким образом?

Можно поспорить, однако, что их может быть полезно включать и
в противном случае — если заведомо известно, что сообщение не
предназначено для каких-либо рассылок.

(Так или иначе, полагаю, нынешнее умолчание просит bug report.)

[1] 
http://exim.org/exim-html-current/doc/html/spec_html/ch-support_for_dkim_domainkeys_identified_mail.html

-- 
FSF associate member #7257  http://am-1.org/~ivan/7D17 4A59 6A21 3D97 6DDB
### main/00_local_dkim  -*- Default-Generic -*-

DKIM_DOMAIN = ${lookup  {$sender_address_domain} \
partial-lsearch {CONFDIR/dkim_sign_domains} \
{${extract  {d} {$value} \
{$value} {$sender_address_domain
DKIM_SELECTOR   = ${lookup  {$dkim_domain} \
lsearch {CONFDIR/dkim_sign_domains} \
{${extract {s} {$value} {$value} fail}}}
DKIM_PRIVATE_KEY= CONFDIR/dkim.$dkim_domain.$dkim_selector.key

# DKIM_SIGN_HEADERS   = 
Content-Transfer-Encoding:Content-Type:MIME-Version:Message-ID:In-Reply-To:Date:Sender:References:Subject:To:From:Reply-To:Cc:Content-ID:Content-Description:Resent-Date:Resent-From:Resent-Sender:Resent-To:Resent-Cc:Resent-Message-ID:List-Id:List-Help:List-Unsubscribe:List-Subscribe:List-Post:List-Owner:List-Archive
DKIM_SIGN_HEADERS   = 
Content-Transfer-Encoding:Content-Type:MIME-Version:Message-ID:In-Reply-To:Date:References:Subject:To:From:Reply-To:Cc:Content-ID:Content-Description

Re: exim и greylist (!DKIM)

[Andrey Jr. Melnikov]

Ivan Shmakov <i...@siamics.net> wrote:
> >>>>> Andrey Jr Melnikov <temnota...@gmail.com> writes:
> >>>>> Eugene Berdnikov <b...@protva.ru> wrote:
> >>>>> On Mon, Sep 18, 2017 at 11:03:19PM +0300, Andrey Jr. Melnikov wrote:

[???]

>  > Я тебе открою страшную тайну ??? со времен ??центра американского
>  > английского?? обычные MTA не применялись в спамометах.  Они слишком
>  > умные и тормозные.

> Не уверен.

> Был тут один настойчивый нарушитель.  Последняя активность была
> с адресов AS24875 (вроде 77.220.213.13 IN PTR fastmstart.bid.,
> 185.213.209.120 IN PTR valdis-k.bid., etc.); до этого ??? AS48666,
> AS201094.

>     Было очень похоже, что на используемых IP работал именно
> полновесный MTA.  (Если верить 220 ??? Exim.)
То, что рассылает письма и то что отвечает на 25 порту - это обычно разные
вещи. Да и эксим - хреновый эмиттер, он как ресивер хорош.

Re: exim и greylist (!DKIM)

[Artem Chuprina]

Ivan Shmakov -> debian-russian@lists.debian.org  @ Tue, 03 Oct 2017 11:33:44 
+:

 >> Я же письмо не для себя писал.  Оно пропало для получателя.  Как то
 >> даже не по себе, объяснять такие простые вещи.

 >  1. Был ли получатель заинтересован в получении этого письма?
 > Поскольку смысл борьбы с нежелательной корреспонденцией как
 > раз и состоит в том, чтобы /некоторые/ письма «пропадали» для
 > получателя.

 >  2. Если недоставка конкретного письма является проблемой,
 > получатель всегда может обратиться к администратору узла с
 > просьбой ее решить.

Тут есть очевидная проблема: получатель _своевременно_ не знает, что
письмо было ему отправлено, поскольку он его не получил.

При молчаливом выбрасывании письма почтовкой у отправителя сходная
проблема: он тоже _своевременно_ не знает, что его письмо не было
доставлено.

Re: exim и greylist (!DKIM)

[Eugene Berdnikov]

On Tue, Oct 03, 2017 at 01:50:27PM +, Ivan Shmakov wrote:
> > Руслан Коротаев  writes:
>  > Не следил за дискуссией по этой теме, но вижу что есть слово DKIM,
>  > поэтому счел уместным об этом написать.
> 
>   ACK, благодарю за информацию.  Похоже, однако, что в этом случае
>   проблема в рассылке.  (Или, возможно, в том, как конкретно
>   DKIM-подписи с моего MTA проходят через рассылку.)

 Посмотрите список заголовков, подписанный вашим DKIM. Там есть такие,
 которые заведомо модифицируются шлюзом рассылки, например Resent-From:
 и Resent-Message-Id:. Подобные заголовки уместно включать в подпись
 лишь на выделенном для рассылки рилее.
-- 
 Eugene Berdnikov

Re: exim и greylist (!DKIM)

[Ivan Shmakov]

> Руслан Коротаев  writes:
> Ivan Shmakov  пишет:

 >> 1. Был ли получатель заинтересован в получении этого письма?
 >> Поскольку смысл борьбы с нежелательной корреспонденцией как раз и
 >> состоит в том, чтобы /некоторые/ письма «пропадали» для получателя.

 > У вас проблемы с DKIM, у меня при проверке выдает «fail (message has
 > been altered)», уже несколько писем таких было.  Его или отключить или
 > настроить, иначе ваши письма могут пропадать, если у получателей
 > настроена строгая проверка DKIM.

 > Не следил за дискуссией по этой теме, но вижу что есть слово DKIM,
 > поэтому счел уместным об этом написать.

ACK, благодарю за информацию.  Похоже, однако, что в этом случае
проблема в рассылке.  (Или, возможно, в том, как конкретно
DKIM-подписи с моего MTA проходят через рассылку.)

Отправил проверочное письмо на check-auth at verifier dot port25
dot com ($ swaks --server=ip6-localhost --from=ivan@XXX
--header=Subject:" test " --to=check-auth@YYY) и получил в ответ:

DKIM check details:
--
Result: pass (matches From: i...@siamics.net)

Кроме того, в заголовке сообщения в архиве рассылки [1]
обнаруживаю:

X-Virus-Scanned: at lists.debian.org with policy bank lang-slavic
X-Amavis-Spam-Status: No, score=-1 tagged_above=-1 required=5.3
tests=[BAYES_00=-2, DKIM_SIGNED=0.1, DKIM_VALID=-0.1,
DKIM_VALID_AU=-0.1, FOURLA=0.1, GMAIL=1]
autolearn=no autolearn_force=no

Так что по меньшей мере lists.debian.org эту подпись принял.

[1] nntp://news.gmane.org/gmane.linux.debian.user.russian/126685

-- 
FSF associate member #7257  http://am-1.org/~ivan/7D17 4A59 6A21 3D97 6DDB

Re: exim и greylist (!DKIM)

[Коротаев Руслан]

В сообщении от [Вт 2017-10-03 11:33 +]
Ivan Shmakov  пишет:

> 1. Был ли получатель заинтересован в получении этого письма?
>Поскольку смысл борьбы с нежелательной корреспонденцией как
>раз и состоит в том, чтобы /некоторые/ письма «пропадали» для
>получателя.

У вас проблемы с DKIM, у меня при проверке выдает «fail (message has
been altered)», уже несколько писем таких было. Его или отключить или
настроить, иначе ваши письма могут пропадать, если у получателей
настроена строгая проверка DKIM. 

Не следил за дискуссией по этой теме, но вижу что есть слово DKIM,
поэтому счел уместным об этом написать.

-- 
Коротаев Руслан
https://blog.kr.pp.ru


smime.p7s
Description: S/MIME cryptographic signature

Re: exim и greylist (!DKIM)

[Ivan Shmakov]

> yuri nefedov  writes:
> On Mon, 2 Oct 2017, Ivan Shmakov wrote:

 >>> Такое ощущение, что труд по написанию пропавшего письма, это такая
 >>> мелочь

 >> Пропавшего?  Так ведь во всех приличных MUA есть «отправленные»?

 > Я же письмо не для себя писал.  Оно пропало для получателя.  Как то
 > даже не по себе, объяснять такие простые вещи.

1. Был ли получатель заинтересован в получении этого письма?
   Поскольку смысл борьбы с нежелательной корреспонденцией как
   раз и состоит в том, чтобы /некоторые/ письма «пропадали» для
   получателя.

2. Если недоставка конкретного письма является проблемой,
   получатель всегда может обратиться к администратору узла с
   просьбой ее решить.

3. При невозможности (нежелании) решать проблему ответственным
   лицом — получатель как правило может найти иной (в частности
   — «бесплатный») почтовый ящик.

4. Отправитель, в свою очередь, может обратиться к
   администраторам /своего/ почтового узла, с просьбой внести
   поправки в их политику (или практику ее применения), чтобы
   исключить случаи злоупотреблений — которые обычно и приводят
   к включению почтовых узлов в «черные списки».

5. Иначе, отправитель так же может найти иной почтовый узел.

6. Наконец, отправитель может найти иной способ связаться с
   получателем.  Подчеркну, что в этом случае (как, впрочем, и в
   предыдущих), «труд по написанию» не оказывается напрасным —
   коль скоро письмо можно переслать с нового адреса отправителя.
   (Или на новый адрес получателя.  Или даже зачитать по телефону.)

Я понимаю, что в идеальном мире электронная почта работает
несколько более надежно.  OTOH, в оном не возникает и проблемы
нежелательной корреспонденции.

-- 
FSF associate member #7257  http://am-1.org/~ivan/7D17 4A59 6A21 3D97 6DDB

Re: exim и greylist (!DKIM)

[yuri . nefedov]

On Mon, 2 Oct 2017, Ivan Shmakov wrote:


> Такое ощущение, что труд по написанию пропавшего письма, это такая
> мелочь

Пропавшего?  Так ведь во всех приличных MUA есть «отправленные»?



 Я же письмо не для себя писал. Оно пропало для получателя.
 Как то даже не по себе, объяснять такие простые вещи.
Ю.

Re: exim и greylist (!DKIM)

[Ivan Shmakov]

> yuri nefedov  writes:
> On Sun, 1 Oct 2017, Ivan Shmakov wrote:

 >> Адреса Yahoo пришлось перечислить в local_host_blacklist, поскольку
 >> ценной корреспонденции с них я не припоминаю вовсе.

 > Вот, вот.  Вот так же админы одного из серверов решили, что подлый
 > жмаил исчадье спама.  Письмо с него просто не дошло.

Справедливости ради, с Gmail тоже идет немало нежелательных
сообщений.  Но вот почему-то с Yahoo — больше.  Чем-то он,
видимо, привлекателен для данного класса «пользователей».

При этом, ясно, что едва ли не единственный способ повлиять на
их политику (предполагая, что именно в ней причина) — не
принимать от них почту.

 >> ** Message not delivered **

 >> Learn more here: http://www.sorbs.net/lookup.shtml?209.85.215.42

 > Такое ощущение, что труд по написанию пропавшего письма, это такая
 > мелочь

Пропавшего?  Так ведь во всех приличных MUA есть «отправленные»?

[…]

 > В личной беседе я узнал, что email это пережиток прошлого и мне надо
 > было позвонить по телефону…

Известная проблема.  Задолжал я тут порядка 2 USD одной
компании.  Попытался получить доступ к «личному кабинету» —
отказ.  («Восстановление пароля» проходит, но не далее.)
Контактных email не обнаружилось; на «подобранные» реакции не
последовало.

Видимо, не так уж им нужны мои деньги.

 > p.s.  У меня есть несколько знакомых с адресами от yahoo.  Почту они
 > там завели еще в прошлом веке и почему-то не видят причин ее менять.

У порядка трех пользователей, которых обслуживает мой MTA, таких
знакомых, насколько мне известно, — нет.

-- 
FSF associate member #7257  http://am-1.org/~ivan/7D17 4A59 6A21 3D97 6DDB

Re: exim и greylist (!DKIM)

[Eugene Berdnikov]

On Sun, Oct 01, 2017 at 11:23:03PM +0300, yuri.nefe...@gmail.com wrote:
>   p.s. У меня есть несколько знакомых с адресами от yahoo.
>   Почту они там завели еще в прошлом веке и почему то не видят
>   причин ее менять.

 Помнится, в начале этого года один товарищ в exim-users играл с Yahoo
 в игру "Угадай, отчего режектится твой мейл". :) Ему предлагали искать
 причину методом последовательного исключения хедеров, так как набранный
 в telnet'е тестовый мейл успешно доставлялся. Не знаю, чем его изыскания
 закончились, но по моему мнению почта на *публичный* хостинг должна
 проходить, а не отскакивать, даже если классификатор посчитал её спамом.

 За ним приходили другие, плакались на yahoo-шный SSL для SMTP. Беда,
 многие MTA не умеют при ошибке ssl-ного хендшейка откатываться на
 plain SMTP, и возвращают мейл отправителю.

 Правда, это не повод банить Yahoo, как предлагают здесь экстремисты.
 Но повод задуматься о том, стоит ли им пользоваться.
-- 
 Eugene Berdnikov

Re: exim и greylist (!DKIM)

[yuri . nefedov]

On Sun, 1 Oct 2017, Ivan Shmakov wrote:



Адреса Yahoo пришлось перечислить в local_host_blacklist,
поскольку ценной корреспонденции с них я не припоминаю вовсе.



  Вот, вот. Вот так же админы одного из серверов решили,
  что подлый жмаил исчадье спама. Письмо с него просто не дошло.



** Message not delivered **

Learn more here: http://www.sorbs.net/lookup.shtml?209.85.215.42


  Такое ощущение, что труд по написанию пропавшего письма, это такая
  мелочь по сравнения с доблестным трудом по отражению члено-сисько
  увеличителей с возможностью бесплатно обогатиться и помочь
  родственникам принца Имена-рек.
  В личной беседе я узнал, что email это пережиток прошлого и
  мне надо было позвонить по телефону...
Ю.

  p.s. У меня есть несколько знакомых с адресами от yahoo.
  Почту они там завели еще в прошлом веке и почему то не видят
  причин ее менять.

Re: exim и greylist (!DKIM)

[Ivan Shmakov]

>>>>> Andrey Jr Melnikov <temnota...@gmail.com> writes:
>>>>> Eugene Berdnikov <b...@protva.ru> wrote:
>>>>> On Mon, Sep 18, 2017 at 11:03:19PM +0300, Andrey Jr. Melnikov wrote:

[…]

 >>> Впрочем, я тебя расстрою — еще больше спама ходит с валидным DKIM.
 >>> Спаммеры, они не исповедуют принцип «работает — не тронь», они все
 >>> новомодные фичи внедряют на раз-два не задумываясь, особенно если
 >>> это увеличивает количество проскочивших через фильтры писем.

 >> А вот с этим полностью согласен.  И добавлю, что одной из таких фич
 >> является применение полноценных MTA для рассылки.  Так что те письма,
 >> которые преодолевают традиционный грейлистинг (на стадии RCPT), с
 >> гораздо большей вероятностью могут быть иметь валидные DKIM/SPF и
 >> даже нижние Received:, имитирующие рилеи домена, нарисованного во
 >> From:, чем те письма, которые через грейлистинг на стадии RCPT не
 >> прошли.

 > Я тебе открою страшную тайну — со времен «центра американского
 > английского» обычные MTA не применялись в спамометах.  Они слишком
 > умные и тормозные.

Не уверен.

Был тут один настойчивый нарушитель.  Последняя активность была
с адресов AS24875 (вроде 77.220.213.13 IN PTR fastmstart.bid.,
185.213.209.120 IN PTR valdis-k.bid., etc.); до этого — AS48666,
AS201094.

Было очень похоже, что на используемых IP работал именно
полновесный MTA.  (Если верить 220 — Exim.)

 > А то, что пробивает грейлистинг на стадии rcpt to — умнее,
 > т. к. похоже парсит ответ и приходит ровно через 5/10 минут после.

То, что мне приходило в обход greylisting, в основном шло через
бесплатные ресурсы — вроде Google Mail, Yahoo, etc.

Адреса Yahoo пришлось перечислить в local_host_blacklist,
поскольку ценной корреспонденции с них я не припоминаю вовсе.

[…]

-- 
FSF associate member #7257  http://am-1.org/~ivan/7D17 4A59 6A21 3D97 6DDB

Re: exim и greylist (!DKIM)

[Tim Sattarov]

On 09/19/17 17:48, Eugene Berdnikov wrote:
> On Tue, Sep 19, 2017 at 12:13:30PM +0300, Andrey Jr. Melnikov wrote:
>> Eugene Berdnikov  wrote:
>>>  Ну а поскольку грейлистинг на стадии RCPT убивает 97-98% спама, то
>>>  переность его на стадию DATA ради привязки к DKIM нет никакого смысла.
>> Да не убивает он ничего уже давно, как и SPF. Так, только делает вид.
>
>  А вот эффект от проверки SPF действительно весьма скромный.
Сейчас в чести другие акронимы: DKIM, DMARC...

Re: exim и greylist (!DKIM)

[Eugene Berdnikov]

On Tue, Sep 19, 2017 at 12:13:30PM +0300, Andrey Jr. Melnikov wrote:
> Eugene Berdnikov  wrote:
> >  Ну а поскольку грейлистинг на стадии RCPT убивает 97-98% спама, то
> >  переность его на стадию DATA ради привязки к DKIM нет никакого смысла.
> Да не убивает он ничего уже давно, как и SPF. Так, только делает вид.

# greylist stats root@passat 0:08
Statistics since Tue Feb 13 16:22:00 2007 (3871 days and 8 hours ago)
-
4202 items, matching 326526 requests, are currently whitelisted
   0 items, matching  0 requests, are currently blacklisted
  85 items, matching142 requests, are currently greylisted

Of 16268935 items that were initially greylisted:
 -  1772014 ( 10.9%) became whitelisted
 - 14496921 ( 89.1%) expired from the greylist

# greylist statsroot@typhoon 0:08
Statistics since Tue Feb 13 16:22:00 2007 (3871 days and 8 hours ago)
-
3729 items, matching 336816 requests, are currently whitelisted
   0 items, matching  0 requests, are currently blacklisted
  61 items, matching113 requests, are currently greylisted

Of 15201268 items that were initially greylisted:
 -  1714227 ( 11.3%) became whitelisted
 - 13487041 ( 88.7%) expired from the greylist

# greylist statsroot@tornado 0:09
Statistics
--
3729 items, matching 350488 requests, are currently whitelisted
   0 items, matching  0 requests, are currently blacklisted
  61 items, matching113 requests, are currently greylisted

Of 11104242 items that were initially greylisted:
 -  1328121 ( 12.0%) became whitelisted
 -  9776121 ( 88.0%) expired from the greylist

# greylist statsroot@citrine 0:09
Statistics
--
3812 items, matching 374019 requests, are currently whitelisted
   0 items, matching  0 requests, are currently blacklisted
  63 items, matching115 requests, are currently greylisted

Of 11206337 items that were initially greylisted:
 -  1339635 ( 12.0%) became whitelisted
 -  9866702 ( 88.0%) expired from the greylist

 Правда, тут не чистая статистика, а после выполнения sender verify.
 Так что подтвердить слова о 97-98% не могу, но утверждение о том, что
 грейлистинг "давно не работает", это явно преувеличение. :)

 А вот эффект от проверки SPF действительно весьма скромный.
-- 
 Eugene Berdnikov

Re: exim и greylist (!DKIM)

[Dmitry E. Oboukhov]

On 16:05 Tue 19 Sep , Sergey Matveev wrote:
> *** Dmitry E. Oboukhov  [2017-09-19 16:01]:
>> хм, я ведь анализировал тот спам что сквозь грейлист прошел, а
>> количество непропущенного спама не анализировал.

> Я похоже не понял ваше предыдущее письмо и подумал что вы про
> graylisting сказали что он не работает, а речь была про DKIM.
> Лично я про DKIM сейчас ничего не могу сказать, так как когда-то
> давно его проверял и видел что толку от этих проверок нет, как
> и с SPF, и поэтому сейчас уже давно его отключил.

я долго не настраивал DKIM на своем почтосервере (думал нафиг не
надо).
Столкнулся с тем что растет понемногу количество серверов которые НЕ
принимают почту без DKIM. Когда попала пара ключевых (для меня)
адресов в список "им я не могу написать", в итоге настроил себе DKIM.
ну и вот теперь разглядываю в свете настроенного свой лист со спамом и
вижу что если на валидный DKIM реагировать, то _кажется_ что можно
(пока во вс. случае) отказаться от грейлиста для таких писем.
-- 

. ''`.Dmitry E. Oboukhov 
: :’  :
`. `~’   GPG key: 4096R/08EEA756 2014-08-30
  `- 71ED ACFC 6801 0DD9 1AD1  9B86 8D1F 969A 08EE A756


signature.asc
Description: PGP signature

Re: exim и greylist (!DKIM)

[Dmitry E. Oboukhov]

>>>  Ну а поскольку грейлистинг на стадии RCPT убивает 97-98% спама, то
>>>  переность его на стадию DATA ради привязки к DKIM нет никакого смысла.
>> Да не убивает он ничего уже давно, как и SPF. Так, только делает вид.

> Не соглашусь. По своему личному опыту graylisting действительно убивает
> огромное количество спама, очень вот вероятно что больше 90%. А SPF --
> согласен, мизерное количество.

хм, я ведь анализировал тот спам что сквозь грейлист прошел, а
количество непропущенного спама не анализировал.
так вот из того спама что грейлист прошел на 1000 сообщений примерно
4-5 валидно подписанных DKIM (моя статистика).

Вы думаете что те спамеры что не могут пробить greylist могут валидно
подписать DKIM? Там же подпись с DNS еще увязана
-- 

. ''`.Dmitry E. Oboukhov 
: :’  :
`. `~’   GPG key: 4096R/08EEA756 2014-08-30
  `- 71ED ACFC 6801 0DD9 1AD1  9B86 8D1F 969A 08EE A756


signature.asc
Description: PGP signature

Re: exim и greylist (!DKIM)

[Sergey Matveev]

*** Andrey Jr. Melnikov  [2017-09-19 12:41]:
>>  Ну а поскольку грейлистинг на стадии RCPT убивает 97-98% спама, то
>>  переность его на стадию DATA ради привязки к DKIM нет никакого смысла.
>Да не убивает он ничего уже давно, как и SPF. Так, только делает вид.

Не соглашусь. По своему личному опыту graylisting действительно убивает
огромное количество спама, очень вот вероятно что больше 90%. А SPF --
согласен, мизерное количество.

-- 
Sergey Matveev (http://www.stargrave.org/)
OpenPGP: CF60 E89A 5923 1E76 E263  6422 AE1A 8109 E498 57EF

Re: exim и greylist (!DKIM)

[Andrey Jr. Melnikov]

Eugene Berdnikov <b...@protva.ru> wrote:
> On Mon, Sep 18, 2017 at 11:03:19PM +0300, Andrey Jr. Melnikov wrote:
> > Dmitry E. Oboukhov <un...@debian.org> wrote:
> > > [-- text/plain, кодировка quoted-printable, кодировка: utf-8, 29 строк --]
> > 
> > > Имеется exim и greylistd. Все в целом работает норм, но иногда
> > > задержки нормальной почты поддостают.
> > 
> > > я полистал spam-detected от spamassassin и вижу, что 99.9% спама не
> > > имеет DKIM/senderid.
> > > Соответственно хочется письма имеющие DKIM/senderid не сплавлять в
> > > грей а принимать с первого раза.
> > 
> > > Как это грамотно настроить?
> > Никак. 
> > Чтоб проверить DKIM письмо надо принять. А если ты его принял, то какой 
> > такой грейлистинг?

>  Ну, принять письмо ещё не значит его доставить, вот такой грейлистинг.
Грейлистинг - это не принять.

>  И Exim это уникальный МТА, который позволяет нарисовать грейлистинг на
>  стадии DATA легко и просто. Правда, подход этот слегка хреноватый
>  в плане экономии трафика и, возможно, неадекватного поведения разных
>  там мелкомягких МТА на 45x после DATA, но в целом вполне себе.
>  Особенно если цель экономить время юзеров, при безлимитном трафике,
>  широких каналах и скучающих без майнеров cpu. :)
Так и положи его в папочку \Junk и сотри через месяц. А юзер захочет -
прочитает. Зато разборок - куда делась отправленная картинка с котиком из
очередной бесплатной помойки - станет сразу меньше.

> > Впрочем, я тебя расстрою - еще больше спама ходит с валидным DKIM.
> > Спаммеры, они не исповедуют принцип "работает - не тронь", они все
> > новомодные фичи внедряют на раз-два не задумываясь, особенно если это
> > увеличивает количество проскочивших через фильтры писем.

>  А вот с этим полностью согласен. И добавлю, что одной из таких фич
>  является применение полноценных MTA для рассылки. Так что те письма,
>  которые преодолевают традиционный грейлистинг (на стадии RCPT),
>  с гораздо большей вероятностью могут быть иметь валидные DKIM/SPF и даже
>  нижние Received:, имитирующие рилеи домена, нарисованного во From:, чем
>  те письма, которые через грейлистинг на стадии RCPT не прошли.
Я тебе открою страшную тайну - со времен "центра американского английского"
обычные MTA не применялись в спамометах. Они слишком умные и тормозные. А
то, что пробивает грейлистинг на стадии rctp to - умнее, т.к. похоже парсит
ответ и приходит ровно через 5/10 минут после.

>  Ну а поскольку грейлистинг на стадии RCPT убивает 97-98% спама, то
>  переность его на стадию DATA ради привязки к DKIM нет никакого смысла.
Да не убивает он ничего уже давно, как и SPF. Так, только делает вид.

Re: exim и greylist (!DKIM)

[Andrey Jr. Melnikov]

Михаил Касаджиков <ha...@h13online.net> wrote:
> Andrey Jr. Melnikov <temnota...@gmail.com> писал(а) в своём письме Mon, 18 
> Sep 2017 23:03:19 +0300:

> > Dmitry E. Oboukhov <un...@debian.org> wrote:
> >> [-- text/plain, кодировка quoted-printable, кодировка: utf-8, 29 строк --]
> >
> >> Имеется exim и greylistd. Все в целом работает норм, но иногда
> >> задержки нормальной почты поддостают.
> >
> >> я полистал spam-detected от spamassassin и вижу, что 99.9% спама не
> >> имеет DKIM/senderid.
> >> Соответственно хочется письма имеющие DKIM/senderid не сплавлять в
> >> грей а принимать с первого раза.
> >
> >> Как это грамотно настроить?
> > Никак.
> > Чтоб проверить DKIM письмо надо принять. А если ты его принял, то какой
> > такой грейлистинг?

> Ну, зато в ящике глаза мозолить не будет. Хотя, да, толку немного???

Предлогаю начать с выкидывания spamassassin в мусор. На дврое XXI век - а
оно в 3х оставшихся русских кодировках не разбирается. Ну и до кучи -
медленное, тормозное. Заменить на rspamd - он быстрее и как-то адекватнее
фильтрует.

Re: exim и greylist (!DKIM)

[Eugene Berdnikov]

On Mon, Sep 18, 2017 at 11:03:19PM +0300, Andrey Jr. Melnikov wrote:
> Dmitry E. Oboukhov <un...@debian.org> wrote:
> > [-- text/plain, кодировка quoted-printable, кодировка: utf-8, 29 строк --]
> 
> > Имеется exim и greylistd. Все в целом работает норм, но иногда
> > задержки нормальной почты поддостают.
> 
> > я полистал spam-detected от spamassassin и вижу, что 99.9% спама не
> > имеет DKIM/senderid.
> > Соответственно хочется письма имеющие DKIM/senderid не сплавлять в
> > грей а принимать с первого раза.
> 
> > Как это грамотно настроить?
> Никак. 
> Чтоб проверить DKIM письмо надо принять. А если ты его принял, то какой 
> такой грейлистинг?

 Ну, принять письмо ещё не значит его доставить, вот такой грейлистинг.
 И Exim это уникальный МТА, который позволяет нарисовать грейлистинг на
 стадии DATA легко и просто. Правда, подход этот слегка хреноватый
 в плане экономии трафика и, возможно, неадекватного поведения разных
 там мелкомягких МТА на 45x после DATA, но в целом вполне себе.
 Особенно если цель экономить время юзеров, при безлимитном трафике,
 широких каналах и скучающих без майнеров cpu. :)

> Впрочем, я тебя расстрою - еще больше спама ходит с валидным DKIM.
> Спаммеры, они не исповедуют принцип "работает - не тронь", они все
> новомодные фичи внедряют на раз-два не задумываясь, особенно если это
> увеличивает количество проскочивших через фильтры писем.

 А вот с этим полностью согласен. И добавлю, что одной из таких фич
 является применение полноценных MTA для рассылки. Так что те письма,
 которые преодолевают традиционный грейлистинг (на стадии RCPT),
 с гораздо большей вероятностью могут быть иметь валидные DKIM/SPF и даже
 нижние Received:, имитирующие рилеи домена, нарисованного во From:, чем
 те письма, которые через грейлистинг на стадии RCPT не прошли.

 Ну а поскольку грейлистинг на стадии RCPT убивает 97-98% спама, то
 переность его на стадию DATA ради привязки к DKIM нет никакого смысла.
-- 
 Eugene Berdnikov

Re: exim и greylist (!DKIM)

[Михаил Касаджиков]

Andrey Jr. Melnikov <temnota...@gmail.com> писал(а) в своём письме Mon, 18 Sep 
2017 23:03:19 +0300:


Dmitry E. Oboukhov <un...@debian.org> wrote:

[-- text/plain, кодировка quoted-printable, кодировка: utf-8, 29 строк --]



Имеется exim и greylistd. Все в целом работает норм, но иногда
задержки нормальной почты поддостают.



я полистал spam-detected от spamassassin и вижу, что 99.9% спама не
имеет DKIM/senderid.
Соответственно хочется письма имеющие DKIM/senderid не сплавлять в
грей а принимать с первого раза.



Как это грамотно настроить?

Никак.
Чтоб проверить DKIM письмо надо принять. А если ты его принял, то какой
такой грейлистинг?


Ну, зато в ящике глаза мозолить не будет. Хотя, да, толку немного…

--
Написано с помощью почтового клиента Opera: http://www.opera.com/mail/

Re: exim и greylist (!DKIM)

[Andrey Jr. Melnikov]

Dmitry E. Oboukhov <un...@debian.org> wrote:
> [-- text/plain, кодировка quoted-printable, кодировка: utf-8, 29 строк --]

> Имеется exim и greylistd. Все в целом работает норм, но иногда
> задержки нормальной почты поддостают.

> я полистал spam-detected от spamassassin и вижу, что 99.9% спама не
> имеет DKIM/senderid.
> Соответственно хочется письма имеющие DKIM/senderid не сплавлять в
> грей а принимать с первого раза.

> Как это грамотно настроить?
Никак. 
Чтоб проверить DKIM письмо надо принять. А если ты его принял, то какой 
такой грейлистинг?

Впрочем, я тебя расстрою - еще больше спама ходит с валидным DKIM.
Спаммеры, они не исповедуют принцип "работает - не тронь", они все
новомодные фичи внедряют на раз-два не задумываясь, особенно если это
увеличивает количество проскочивших через фильтры писем.

Re: exim и greylist (!DKIM)

[Михаил Касаджиков]

Dmitry E. Oboukhov  писал(а) в своём письме Mon, 18 Sep 2017 
16:06:02 +0300:


Соответственно хочется письма имеющие DKIM/senderid не сплавлять в
грей а принимать с первого раза.


понятное дело что имеющие _валидные_ DKIM-подписи [и senderid]


Думаю, что использование переменной — самый простой способ. До DKIM у меня руки 
не дошли (лень), а для SPF я когда-то сделал так:

  defer
condition  = ${if eq {$acl_m_spf_code}{0}{no}{yes}}
!authenticated = *
  …

Проверка SPF у меня раньше greylist и в ней устанавливается переменная 
acl_m_spf_code. 0 — SPF_PASS, остальные числа — варианты разной степени 
успешности прохождения проверки.

--
Написано с помощью почтового клиента Opera: http://www.opera.com/mail/

Re: exim и greylist (!DKIM)

[Dmitry E. Oboukhov]

> Соответственно хочется письма имеющие DKIM/senderid не сплавлять в
> грей а принимать с первого раза.

понятное дело что имеющие _валидные_ DKIM-подписи [и senderid]
-- 

. ''`.Dmitry E. Oboukhov 
: :’  :
`. `~’   GPG key: 4096R/08EEA756 2014-08-30
  `- 71ED ACFC 6801 0DD9 1AD1  9B86 8D1F 969A 08EE A756


signature.asc
Description: PGP signature

exim и greylist (!DKIM)

[Dmitry E. Oboukhov]

Имеется exim и greylistd. Все в целом работает норм, но иногда
задержки нормальной почты поддостают.

я полистал spam-detected от spamassassin и вижу, что 99.9% спама не
имеет DKIM/senderid.
Соответственно хочется письма имеющие DKIM/senderid не сплавлять в
грей а принимать с первого раза.

Как это грамотно настроить?
-- 

. ''`.Dmitry E. Oboukhov <un...@debian.org>
: :’  :
`. `~’   GPG key: 4096R/08EEA756 2014-08-30
  `- 71ED ACFC 6801 0DD9 1AD1  9B86 8D1F 969A 08EE A756


signature.asc
Description: PGP signature

Re: rebuild exim

[Anton Gorlov]

09.03.2016 13:09, Андрей Любимец пишет:
> 06.03.2016 3:43, Anton Gorlov пишет:
>> Доброго времени суток Всем.
>> А как в нынешнее время принято пересобирать  exim со своими опциями?
>> Что-то даже просто unpack-config/pack-config не проходят
> https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=783813

Дада - то, что сборка exim-custom сломана я тоже читал.

Не проходит даже
fakeroot debian/rules unpack-configs

Как лежали до него *.diff вместо конфигов так и лежат.
То есть нет возможности пропатчить даже heavy с добавлением нужных опций.

Re: rebuild exim

[Андрей Любимец]

06.03.2016 3:43, Anton Gorlov пишет:
> Доброго времени суток Всем.
> 
> А как в нынешнее время принято пересобирать  exim со своими опциями?
> 
> Что-то даже просто unpack-config/pack-config не проходят
> 
https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=783813

Re: rebuild exim

[Andrey Melnikoff]

Anton Gorlov <stal...@locum.ru> wrote:
> Доброго времени суток Всем.

> А как в нынешнее время принято пересобирать  exim со своими опциями?

> Что-то даже просто unpack-config/pack-config не проходят
А что тебя тут смутило-то?

> ===
> stalker@jessie1:/tmp/exim4/exim4-4.86.2$ debian/rules unpack-configs
> patch -o EDITME.eximon exim_monitor/EDITME \
> /tmp/exim4/exim4-4.86.2/debian/EDITME.eximon.diff
> patching file EDITME.eximon (read from exim_monitor/EDITME)
> patch -o EDITME.exim4-light src/EDITME \
> /tmp/exim4/exim4-4.86.2/debian/EDITME.exim4-light.diff
> patching file EDITME.exim4-light (read from src/EDITME)
> for editme in /tmp/exim4/exim4-4.86.2/debian/EDITME.exim4-*.diff; do \
>   if [ "$editme" !=
> "/tmp/exim4/exim4-4.86.2/debian/EDITME.exim4-light.diff" ]; then \
> TARGETNAME=`basename $editme .diff`; \
> echo patch -o $TARGETNAME EDITME.exim4-light $editme; \
> patch -o $TARGETNAME EDITME.exim4-light $editme; \
>   fi; \
> done
> patch -o EDITME.exim4-heavy EDITME.exim4-light
> /tmp/exim4/exim4-4.86.2/debian/EDITME.exim4-heavy.diff
> patching file EDITME.exim4-heavy (read from EDITME.exim4-light)
> touch unpack-configs-stamp
> stalker@jessie1:/tmp/exim4/exim4-4.86.2$ debian/rules pack-configs
> diff -u src/EDITME EDITME.exim4-light \
> > /tmp/exim4/exim4-4.86.2/debian/EDITME.exim4-light.diff
> debian/rules:161: recipe for target 'pack-configs' failed
> make: [pack-configs] Error 1 (ignored)
> for editme in EDITME.exim4-*; do \
>   if [ "$editme" != "EDITME.exim4-light" ]; then \
> echo diff -u EDITME.exim4-light $editme; \
> diff -u EDITME.exim4-light $editme >
> /tmp/exim4/exim4-4.86.2/debian/${editme}.diff; \
>   fi; \
> done
> diff -u EDITME.exim4-light EDITME.exim4-heavy
> diff -u exim_monitor/EDITME EDITME.eximon \
> > /tmp/exim4/exim4-4.86.2/debian/EDITME.eximon.diff
> debian/rules:161: recipe for target 'pack-configs' failed
> make: [pack-configs] Error 1 (ignored)

вот эта ошибка?

Re: rebuild exim

[Anton Gorlov]

07.03.2016 15:18, Andrey Melnikoff пишет:
> Я давно забил на пересборку конфигов туда-сюда, рихтую debian/rules
> добавляя перед cd $( параметрами:
> printf "EXPERIMENTAL_SRS=yes\nLDFLAGS += -lsrs_alt\n" >>$(

Re: rebuild exim

[Andrey Melnikoff]

Anton Gorlov <stal...@locum.ru> wrote:
> Доброго времени суток Всем.

> А как в нынешнее время принято пересобирать  exim со своими опциями?

Я давно забил на пересборку конфигов туда-сюда, рихтую debian/rules
добавляя перед cd $(<D) && $(MAKE) FULLECHO='' свой printf с нужными
параметрами:
printf "EXPERIMENTAL_SRS=yes\nLDFLAGS += -lsrs_alt\n" >>$(<D)/Local/Makefile

rebuild exim

[Anton Gorlov]

Доброго времени суток Всем.

А как в нынешнее время принято пересобирать  exim со своими опциями?

Что-то даже просто unpack-config/pack-config не проходят

===
stalker@jessie1:/tmp/exim4/exim4-4.86.2$ debian/rules unpack-configs
patch -o EDITME.eximon exim_monitor/EDITME \
/tmp/exim4/exim4-4.86.2/debian/EDITME.eximon.diff
patching file EDITME.eximon (read from exim_monitor/EDITME)
patch -o EDITME.exim4-light src/EDITME \
/tmp/exim4/exim4-4.86.2/debian/EDITME.exim4-light.diff
patching file EDITME.exim4-light (read from src/EDITME)
for editme in /tmp/exim4/exim4-4.86.2/debian/EDITME.exim4-*.diff; do \
  if [ "$editme" !=
"/tmp/exim4/exim4-4.86.2/debian/EDITME.exim4-light.diff" ]; then \
TARGETNAME=`basename $editme .diff`; \
echo patch -o $TARGETNAME EDITME.exim4-light $editme; \
patch -o $TARGETNAME EDITME.exim4-light $editme; \
  fi; \
done
patch -o EDITME.exim4-heavy EDITME.exim4-light
/tmp/exim4/exim4-4.86.2/debian/EDITME.exim4-heavy.diff
patching file EDITME.exim4-heavy (read from EDITME.exim4-light)
touch unpack-configs-stamp
stalker@jessie1:/tmp/exim4/exim4-4.86.2$ debian/rules pack-configs
diff -u src/EDITME EDITME.exim4-light \
> /tmp/exim4/exim4-4.86.2/debian/EDITME.exim4-light.diff
debian/rules:161: recipe for target 'pack-configs' failed
make: [pack-configs] Error 1 (ignored)
for editme in EDITME.exim4-*; do \
  if [ "$editme" != "EDITME.exim4-light" ]; then \
echo diff -u EDITME.exim4-light $editme; \
diff -u EDITME.exim4-light $editme >
/tmp/exim4/exim4-4.86.2/debian/${editme}.diff; \
  fi; \
done
diff -u EDITME.exim4-light EDITME.exim4-heavy
diff -u exim_monitor/EDITME EDITME.eximon \
> /tmp/exim4/exim4-4.86.2/debian/EDITME.eximon.diff
debian/rules:161: recipe for target 'pack-configs' failed
make: [pack-configs] Error 1 (ignored)

Re: параметр Exim, отвечающий за intermediate-сертификат

[Artem Chuprina]

Sohin Vyacheslav -> debian-russian@lists.debian.org  @ Fri, 5 Feb 2016 12:56:28 
+0200:

 >>  >> А отношение к делу имеют tls_certificate и tls_privatekey.  И в
 >>  >> tls_certificate не надо класть private key.  У них, собственно, и
 >>  >> права-то обычно разные.  Сертификат - публичная информация, а секретный
 >>  >> ключ - отнюдь.  А вот оба сертификата - и свой, и промежуточный - как
 >>  >> раз надо, именно в этом порядке.

 SV> я убрал ключ из exim.crt и раскомментировал строку с exim.key в
 SV> exim4.conf => всё так-же работает, визуально в логе ничего не изменилось...


 SV> в http://www.rldp.ru/exim/exim480r/glava38.htm указано:
 SV> tls_certificate =/some/file/name
 SV> tls_privatekey =/some/file/name

 SV> Это может быть один и тот же файл, если в нём содержатся сертификат и ключ.

Да.  Но поскольку степень их публичности разная, делать так вряд ли полезно.

 >> В моем случае я пользуюсь собственным CA, и у меня нет промежуточного,
 >> но разница должна быть исключительно в содержимом файла, на который
 >> указывает tls_certificate.
 >> 
 >> А глядя на конфиг на ноутбуке (на ноуте, в отличие от сервера, он у меня
 >> не ручной, а сконфигурированный через дебиановскую систему), я наблюдаю,
 >> что дефолты будут такие:
 >> 
 >> tls_advertise_hosts = *
 >> tls_certificate = /etc/exim4/exim.crt
 >> tls_privatekey = /etc/exim4/exim.key
 >> tls_verify_certificates = /etc/ssl/certs/ca-certificates.crt
 >> 
 >> (требовать клиентских сертификатов он при этом не будет, поскольку
 >> tls_verify_hosts и tls_try_verify_hosts не выставлены; но тут видно, что
 >> tls_verify_certificates - это набор сертификатов CA, которыми подписаны
 >> клиентские, что логично)
 >> 
 SV> в http://www.rldp.ru/exim/exim480r/glava38.htm также указано:
 SV> Если установлена опция tls_verify_certificates, она должна быть именем
 SV> файла или (только для OpenSSL, не для GnuTLS) каталогом, который как
 SV> ожидается содержит коллекцию серверных сертификатов.

 SV> имеется в виду не сертификат exim.crt, a ca-certificates.crt?

Точно не exim.crt (разве что ты собираешься принимать себя самого как
сетевого клиента).  Но вот насчет ca-certificates - вопрос мутный.  В
переводе слово "сереверных" - гонево.  Речь идет про _клиентские_
сертификаты.  В оригинальной документации сказано

The contents of the certificate are verified by comparing it with a list of 
expected certificates.

These may be the system default set (depending on library version),

an explicit file or, depending on library version, a directory, identified by 
tls_verify_certificates. 

Что, с одной стороны, как бы делает вид, что по списку проверяется
именно сертификат, предъявленный клиентом, а не то, что он подписан
одним из этих CA, и в этом есть логика - мало ли кто что подписал.  С
другой - ни одна из двух используемых библиотек TLS не имеет system
default set именно сертификатов самих агентов.  Имеет system default set
только сертификатов CA, возможо, только корневых и самоподписанных.
Дебиановский дефолт тут может оказаться не аргументом.

Но я все же подозреваю, что это - сертификаты CA, то есть дефолтны
дебиановский конфиг делается правильно.  В норме никто не проверяет сами
сертификаты серверов, проверяют только подпись достаточно доверенного
CA.

Re: параметр Exim, отвечающий за intermediate-сертификат

[Sohin Vyacheslav]

04.02.2016 19:07, Artem Chuprina пишет:
> Sohin Vyacheslav -> debian-russian@lists.debian.org  @ Thu, 4 Feb 2016 
> 13:06:55 +0200:
> 
>  >> А отношение к делу имеют tls_certificate и tls_privatekey.  И в
>  >> tls_certificate не надо класть private key.  У них, собственно, и
>  >> права-то обычно разные.  Сертификат - публичная информация, а секретный
>  >> ключ - отнюдь.  А вот оба сертификата - и свой, и промежуточный - как
>  >> раз надо, именно в этом порядке.

я убрал ключ из exim.crt и раскомментировал строку с exim.key в
exim4.conf => всё так-же работает, визуально в логе ничего не изменилось...


в http://www.rldp.ru/exim/exim480r/glava38.htm указано:
tls_certificate =/some/file/name
tls_privatekey =/some/file/name

Это может быть один и тот же файл, если в нём содержатся сертификат и ключ.

> Права на эти файлы
> 
> -r 1 Debian-exim root 1679 Oct 31  2014 /etc/exim4/lasgalen.nest.key
> -rw-r--r-- 1 rootroot 4824 Mar 23  2014 
> /etc/ssl/certs/lasgalen.nest.crt

спасибо, права на ключ подправил для секьюрности...
> 
> Плюс еще момент в аутентификации:
> 
> begin authenticators
> 
> dovecot_login:
> driver = dovecot
> public_name = LOGIN
> server_advertise_condition = ${if eq{$tls_cipher}{}{no}{yes}}
> server_socket = /var/run/dovecot/auth-client
> server_set_id = $auth1
> 
> dovecot_plain:
> driver = dovecot
> public_name = PLAIN
> server_advertise_condition = ${if eq{$tls_cipher}{}{no}{yes}}
> server_socket = /var/run/dovecot/auth-client
> server_set_id = $auth1
> 
> Типа, если у нас нету TLS, даже не пытаться предлагать аутентификацию.
> 

спасибо, добавил строку условия server_advertise_condition = ${if
eq{$tls_cipher}{}{no}{yes}} в аутентификаторы

> В моем случае я пользуюсь собственным CA, и у меня нет промежуточного,
> но разница должна быть исключительно в содержимом файла, на который
> указывает tls_certificate.
> 
> А глядя на конфиг на ноутбуке (на ноуте, в отличие от сервера, он у меня
> не ручной, а сконфигурированный через дебиановскую систему), я наблюдаю,
> что дефолты будут такие:
> 
> tls_advertise_hosts = *
> tls_certificate = /etc/exim4/exim.crt
> tls_privatekey = /etc/exim4/exim.key
> tls_verify_certificates = /etc/ssl/certs/ca-certificates.crt
> 
> (требовать клиентских сертификатов он при этом не будет, поскольку
> tls_verify_hosts и tls_try_verify_hosts не выставлены; но тут видно, что
> tls_verify_certificates - это набор сертификатов CA, которыми подписаны
> клиентские, что логично)
> 
в http://www.rldp.ru/exim/exim480r/glava38.htm также указано:
Если установлена опция tls_verify_certificates, она должна быть именем
файла или (только для OpenSSL, не для GnuTLS) каталогом, который как
ожидается содержит коллекцию серверных сертификатов.

имеется в виду не сертификат exim.crt, a ca-certificates.crt?


-- 
BW,
Сохин Вячеслав

Re: параметр Exim, отвечающий за intermediate-сертификат

[Sohin Vyacheslav]

04.02.2016 12:37, Artem Chuprina пишет:
> А отношение к делу имеют tls_certificate и tls_privatekey.  И в
> tls_certificate не надо класть private key.  У них, собственно, и
> права-то обычно разные.  Сертификат - публичная информация, а секретный
> ключ - отнюдь.  А вот оба сертификата - и свой, и промежуточный - как
> раз надо, именно в этом порядке.

упс! поторопился, попробую исправить... отпишусь...
Спс!

-- 
BW,
Сохин Вячеслав

Re: параметр Exim, отвечающий за intermediate-сертификат

[Artem Chuprina]

Sohin Vyacheslav -> debian-russian@lists.debian.org  @ Thu, 4 Feb 2016 11:28:38 
+0200:

 >>  SV> $ openssl s_client -connect server:465

 SV> после того, как добавил в exim4.conf параметр tls_verify_certificates =
 SV> /etc/exim4/exim.crt

Эээ, точно?  tls_verify_certificates, судя по описанию, относится к
требованию сертификата от клиента, причем очень сурово относится - если
клиент не предоставляет клиенского сертификата, ему говорят "до
свидания".  К собственному сертификату exim не имеет отношения.

А отношение к делу имеют tls_certificate и tls_privatekey.  И в
tls_certificate не надо класть private key.  У них, собственно, и
права-то обычно разные.  Сертификат - публичная информация, а секретный
ключ - отнюдь.  А вот оба сертификата - и свой, и промежуточный - как
раз надо, именно в этом порядке.

 SV> и пересоздал сам файл сертификата:

 SV> -BEGIN PRIVATE KEY-

 SV> ...
 SV> -END PRIVATE KEY-

 SV> -BEGIN CERTIFICATE-

 SV> ...
 SV> -END CERTIFICATE-

 SV> -BEGIN CERTIFICATE-

 SV> ...
 SV> -END CERTIFICATE-

 SV> где последний-intermediate сертификат, всё заработало!
 SV> и через
 SV> $ openssl s_client -connect server:465
 SV> и через
 SV> % gnutls-cli -p 465 server
 SV> и через
 SV> $ swaks -a -tlsc -q AUTH -s server:465 -au username

 SV> ВСЕМ огромное спасибо! особенно Артёму Чуприне и Магунову Владимиру!

Re: параметр Exim, отвечающий за intermediate-сертификат

[Sohin Vyacheslav]

04.02.2016 08:30, Artem Chuprina пишет:
> Sohin Vyacheslav -> debian-russian@lists.debian.org  @ Wed, 3 Feb 2016 
> 19:43:24 +0200:
>  SV> $ openssl s_client -connect server:465

после того, как добавил в exim4.conf параметр tls_verify_certificates =
/etc/exim4/exim.crt и пересоздал сам файл сертификата:
-BEGIN PRIVATE KEY-

...
-END PRIVATE KEY-

-BEGIN CERTIFICATE-

...
-END CERTIFICATE-

-BEGIN CERTIFICATE-

...
-END CERTIFICATE-

где последний-intermediate сертификат, всё заработало!
и через
$ openssl s_client -connect server:465
и через
% gnutls-cli -p 465 server
и через
$ swaks -a -tlsc -q AUTH -s server:465 -au username

ВСЕМ огромное спасибо! особенно Артёму Чуприне и Магунову Владимиру!

-- 
BW,
Сохин Вячеслав

Re: параметр Exim, отвечающий за intermediate-сертификат

[Artem Chuprina]

Sohin Vyacheslav -> debian-russian@lists.debian.org  @ Thu, 4 Feb 2016 13:06:55 
+0200:

 >> А отношение к делу имеют tls_certificate и tls_privatekey.  И в
 >> tls_certificate не надо класть private key.  У них, собственно, и
 >> права-то обычно разные.  Сертификат - публичная информация, а секретный
 >> ключ - отнюдь.  А вот оба сертификата - и свой, и промежуточный - как
 >> раз надо, именно в этом порядке.

 SV> упс! поторопился, попробую исправить... отпишусь...
 SV> Спс!

Собственно, у меня часть, отвечающая за tls, выглядит так:

tls_advertise_hosts = *
tls_certificate = /etc/ssl/certs/lasgalen.nest.crt
tls_privatekey = /etc/exim4/lasgalen.nest.key
tls_on_connect_ports = 465

Права на эти файлы

-r 1 Debian-exim root 1679 Oct 31  2014 /etc/exim4/lasgalen.nest.key
-rw-r--r-- 1 rootroot 4824 Mar 23  2014 /etc/ssl/certs/lasgalen.nest.crt

Плюс еще момент в аутентификации:

begin authenticators

dovecot_login:
driver = dovecot
public_name = LOGIN
server_advertise_condition = ${if eq{$tls_cipher}{}{no}{yes}}
server_socket = /var/run/dovecot/auth-client
server_set_id = $auth1

dovecot_plain:
driver = dovecot
public_name = PLAIN
server_advertise_condition = ${if eq{$tls_cipher}{}{no}{yes}}
server_socket = /var/run/dovecot/auth-client
server_set_id = $auth1

Типа, если у нас нету TLS, даже не пытаться предлагать аутентификацию.

В моем случае я пользуюсь собственным CA, и у меня нет промежуточного,
но разница должна быть исключительно в содержимом файла, на который
указывает tls_certificate.

А глядя на конфиг на ноутбуке (на ноуте, в отличие от сервера, он у меня
не ручной, а сконфигурированный через дебиановскую систему), я наблюдаю,
что дефолты будут такие:

tls_advertise_hosts = *
tls_certificate = /etc/exim4/exim.crt
tls_privatekey = /etc/exim4/exim.key
tls_verify_certificates = /etc/ssl/certs/ca-certificates.crt

(требовать клиентских сертификатов он при этом не будет, поскольку
tls_verify_hosts и tls_try_verify_hosts не выставлены; но тут видно, что
tls_verify_certificates - это набор сертификатов CA, которыми подписаны
клиентские, что логично)

параметр Exim, отвечающий за intermediate-сертификат

[Sohin Vyacheslav]

День добрый,

при использовании не-самоподписанного, а коммерческого сертификата
присутствуют 3 файла:
domain.com.certificate.key
domain.com.certificate
и intermediate.certificate

для Dovecot указал в /etc/dovecot/conf.d/10-ssl.conf:
ssl_cert_file = /etc/dovecot/domain.com.crt
ssl_key_file = /etc/dovecot/domain.com.key
ssl_ca_file = /etc/dovecot/intermediate.crt

а для Exim не нахожу в документации параметра относительно
intermediate.certificat...

сейчас в exim4.conf:
tls_on_connect_ports = 465
tls_advertise_hosts = *
tls_certificate = /etc/exim4/exim.crt
tls_privatekey = /etc/exim4/exim.key

при подключении по telnet к 465 порту в логе Exim ошибка:
TLS error ... (gnutls_handshake): An unexpected TLS packet was received.

пробовал объединить сертификаты
# cat /etc/ssl/domain.com.certificate /etc/ssl/intermediate.certificate
>> /etc/exim4/exim.crt

рестартанул Exim, но ошибка та же:
TLS error ... (gnutls_handshake): An unexpected TLS packet was received.

может существует какой-то особый параметр для этого "intermediate"
сертификата?


-- 
BW,
Сохин Вячеслав

Re: параметр Exim, отвечающий за intermediate-сертификат

[Artem Chuprina]

Sohin Vyacheslav -> debian-russian@lists.debian.org  @ Wed, 3 Feb 2016 15:54:02 
+0200:

 SV> День добрый,

 SV> при использовании не-самоподписанного, а коммерческого сертификата
 SV> присутствуют 3 файла:
 SV> domain.com.certificate.key
 SV> domain.com.certificate
 SV> и intermediate.certificate

 SV> для Dovecot указал в /etc/dovecot/conf.d/10-ssl.conf:
 SV> ssl_cert_file = /etc/dovecot/domain.com.crt
 SV> ssl_key_file = /etc/dovecot/domain.com.key
 SV> ssl_ca_file = /etc/dovecot/intermediate.crt

 SV> а для Exim не нахожу в документации параметра относительно
 SV> intermediate.certificat...

 SV> сейчас в exim4.conf:
 SV> tls_on_connect_ports = 465
 SV> tls_advertise_hosts = *
 SV> tls_certificate = /etc/exim4/exim.crt
 SV> tls_privatekey = /etc/exim4/exim.key

 SV> при подключении по telnet к 465 порту в логе Exim ошибка:
 SV> TLS error ... (gnutls_handshake): An unexpected TLS packet was received.

Начать с того, что если это реально telnet, а не специальный telnet с
функцией TLS, то такая ошибка и должна быть.  На 465 порту ожидается
TLS-хендшейк, а вовсе не протокол telnet или SMTP.

Собственно, по идее, если проблема с сертификатами сервера, то ругаться
должен клиент.  Если клиент не ругается, а ругается сервер, то проблема,
скорее всего, не в сертификатах.

 SV> пробовал объединить сертификаты
 SV> # cat /etc/ssl/domain.com.certificate /etc/ssl/intermediate.certificate
 >>> /etc/exim4/exim.crt

А они при этом в формате PEM (Base64) или DER (бинарный)?  Впрочем,
такое сливание понимает openssl, за gnutls уверенности нет.

И еще: а корневой сертификат, которым подписан intermediate, на клиенте
точно есть и установлен как доверенный?

Re: параметр Exim, отвечающий за intermediate-сертификат

[Tim Sattarov]

On 03/02/16 08:54 AM, Sohin Vyacheslav wrote:
> День добрый,
>
> при использовании не-самоподписанного, а коммерческого сертификата
> присутствуют 3 файла:
> domain.com.certificate.key
> domain.com.certificate
> и intermediate.certificate
>
> для Dovecot указал в /etc/dovecot/conf.d/10-ssl.conf:
> ssl_cert_file = /etc/dovecot/domain.com.crt
> ssl_key_file = /etc/dovecot/domain.com.key
> ssl_ca_file = /etc/dovecot/intermediate.crt
>
> а для Exim не нахожу в документации параметра относительно
> intermediate.certificat...
>
Попробуй объединить оба сертификата в один файл, один после другого
(сначала intermediate, потом конечный)
(а, вижу что уже пробовал, это единственный способ указания всей цепочки)
> при подключении по telnet к 465 порту в логе Exim ошибка:
> TLS error ... (gnutls_handshake): An unexpected TLS packet was received.
тестировать  SSL/TLS соединения телнетом сложно :)
попробуй
openssl s_client -connect server:port

Тимур

Re: параметр Exim, отвечающий за intermediate-сертификат

[Victor Wagner]

On Wed, 3 Feb 2016 19:36:48 +0300
Eugene Berdnikov  wrote:

> On Wed, Feb 03, 2016 at 06:14:19PM +0300, Artem Chuprina wrote:

>  Конечно же gnutls такое слияние понимает. Вообще, серверу должно быть
>  без разницы, что внутри этого файла: он его содержимое сливает
> клиенту, а клиент уже парсит и раскладывает на цепочки сертификатов.

Это не так. Сервер должен перепаковать эти сертификаты в сообщения
проткола TLS, который весь из себя бинарный, и сертификаты в нем,
естественно, ходят в формате DER.

Если клиент показывает на экране сертификат в формате PEM, то это
значит уже клиент выполнил base64-кодирование полученного от сервера
сертификата, и дописал -BEGIN CERTIFICATE- и 
-END CERTIFICATE
 

Re: параметр Exim, отвечающий за intermediate-сертификат

[Eugene Berdnikov]

On Wed, Feb 03, 2016 at 06:14:19PM +0300, Artem Chuprina wrote:
> Sohin Vyacheslav -> debian-russian@lists.debian.org  @ Wed, 3 Feb 2016 
> 15:54:02 +0200:
>  SV> пробовал объединить сертификаты
>  SV> # cat /etc/ssl/domain.com.certificate /etc/ssl/intermediate.certificate
>  >>> /etc/exim4/exim.crt
> 
> А они при этом в формате PEM (Base64) или DER (бинарный)?  Впрочем,
> такое сливание понимает openssl, за gnutls уверенности нет.

 Конечно же gnutls такое слияние понимает. Вообще, серверу должно быть
 без разницы, что внутри этого файла: он его содержимое сливает клиенту,
 а клиент уже парсит и раскладывает на цепочки сертификатов.

 Но я знаю такую засаду: любимый Ру-Центром Comodo выдаёт сертификаты,
 которые с виду PEM, только последняя строчка не терминируется "\n".
 Поэтому склеивать их катом нельзя, хотя каждый сертификат по отдельности
 openssl считает валидным. :)
-- 
 Eugene Berdnikov

Re: параметр Exim, отвечающий за intermediate-сертификат

[Artem Chuprina]

Sohin Vyacheslav -> debian-russian@lists.debian.org  @ Wed, 3 Feb 2016 19:43:24 
+0200:

 >> тестировать  SSL/TLS соединения телнетом сложно :)
 >> попробуй
 >> openssl s_client -connect server:port

 SV> $ openssl s_client -connect server:465
 SV> CONNECTED(0003)

 SV> write:errno=104

 SV> ---

 SV> no peer certificate available

 SV> ---

 SV> No client certificate CA names sent

 SV> ---

 SV> SSL handshake has read 0 bytes and written 295 bytes

 SV> ---

 SV> New, (NONE), Cipher is (NONE)

 SV> Secure Renegotiation IS NOT supported

 SV> Compression: NONE

 SV> Expansion: NONE

 SV> ---

Есть мнение, что сервер вообще как-то криво сконфигурирован.  Потому что
в случае, когда все сконфигурировано нормально, но не удается проверить
цепочку, openssl s_client успешно соединяется, но рассказывает, что не
поверил в сертификат:

zsh% openssl s_client -connect nest:465
CONNECTED(0003)
depth=0 O = lasgalen.net, CN = nest.lasgalen.net
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 O = lasgalen.net, CN = nest.lasgalen.net
verify error:num=27:certificate not trusted
verify return:1
depth=0 O = lasgalen.net, CN = nest.lasgalen.net
verify error:num=21:unable to verify the first certificate
verify return:1
---
Certificate chain
 0 s:/O=lasgalen.net/CN=nest.lasgalen.net
   i:/O=lasgalen.net/OU=CA/CN=lasgalen.net CA
---
Server certificate
-BEGIN CERTIFICATE-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-END CERTIFICATE-
subject=/O=lasgalen.net/CN=nest.lasgalen.net
issuer=/O=lasgalen.net/OU=CA/CN=lasgalen.net CA
---
No client certificate CA names sent
---
SSL handshake has read 2346 bytes and written 653 bytes
---
New, TLSv1/SSLv3, Cipher is DHE-RSA-AES256-SHA256
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
SSL-Session:
Protocol  : TLSv1.2
Cipher: DHE-RSA-AES256-SHA256
Session-ID: 7B70E3ED421D2C29F9C9FC4EC1CB6C048925798D40DC57C3D5C8A5626B779BB5
Session-ID-ctx: 
Master-Key: 
399C5ADC57DDEA1825CD4A40A19A7C3B17B4A29FE706DF874C3533BA31452D484492614B724DBF9DC137D6C769101336
Key-Arg   : None
PSK identity: None
PSK identity hint: None
SRP username: None
Start Time: 1454566892
Timeout   : 300 (sec)
Verify return code: 21 (unable to verify the first certificate)
---
220 nest.lasgalen.net ESMTP Exim 4.80 Thu, 04 Feb 2016 06:21:33 +


А в твоем случае он оттуда ни байта не прочел.  Он попытался сразу туда
что-то записать (что-то - это, вероятно, ClientHello), и получил write
error.  Причем именно write error, а не непротокольное сообщение, как
было бы в случае, если бы на 465 порту просто не ждали TLS.

Re: параметр Exim, отвечаю щий за intermediate-сертификат

[Artem Chuprina]

Sohin Vyacheslav -> debian-russian@lists.debian.org  @ Wed, 3 Feb 2016 19:51:36 
+0200:

 >> Для этого есть swaks.

 SV> $ swaks -a -tls -q AUTH -s domain:465 -au username

-tlsc, а не -tls.

 SV> Password:
 SV> === Trying domain:465...

 SV> === Connected to domain.com.

 SV> <** Timeout (30 secs) waiting for server respon

 SV>  -> QUIT

 SV> *** Remote host closed connection unexpectedly.

 SV> в логе Exim - та же TLS ошибка:
 SV>  (gnutls_handshake): An unexpected TLS packet was received.

Re: параметр Exim, отвечающий за intermediate-сертификат

[Artem Chuprina]

Sohin Vyacheslav -> debian-russian@lists.debian.org  @ Wed, 3 Feb 2016 19:54:48 
+0200:

 >> Начать с того, что если это реально telnet, а не специальный telnet с
 >> функцией TLS, то такая ошибка и должна быть.  На 465 порту ожидается
 >> TLS-хендшейк, а вовсе не протокол telnet или SMTP.

 SV> нужен пакет telnet-ssl?

Для отладки лучше взять openssl s_client, он как раз отладочный механизм.

А так хоть браузером можно.  HTTP, конечно, не получится, но TLS-то пройдет.

 >> Собственно, по идее, если проблема с сертификатами сервера, то ругаться
 >> должен клиент.  Если клиент не ругается, а ругается сервер, то проблема,
 >> скорее всего, не в сертификатах.
 >> 
 >>  SV> пробовал объединить сертификаты
 >>  SV> # cat /etc/ssl/domain.com.certificate /etc/ssl/intermediate.certificate
 >>  >>> /etc/exim4/exim.crt
 >> 
 >> А они при этом в формате PEM (Base64) или DER (бинарный)?  Впрочем,
 >> такое сливание понимает openssl, за gnutls уверенности нет.
 >> 

 SV> PEM
 >> И еще: а корневой сертификат, которым подписан intermediate, на клиенте
 >> точно есть и установлен как доверенный?
 >> 
 SV> имеется в виду на почтовом клиенте?

На клиенте, которым ты тестируешь TLS.  Если ты тестируешь telnet-ssl,
то про него должен знать openssl или сам telnet-ssl.  Если openssl
c_client - то openssl (он, впрочем, с недоверенным и сам соединится,
просто пожалуется на недоверенность).  Если gnutls-cli - то gnutls.  Ну
и разумеется, потом, когда ты будешь пытаться отдать туда почту почтовым
клиентом, на почтовом клиенте или на общесистемном уровне для той
библиотеки, которой пользуется этот клиент.

Re: параметр Exim, отвечающий за intermediate-сертификат

[Sohin Vyacheslav]

03.02.2016 17:14, Artem Chuprina пишет:
> Начать с того, что если это реально telnet, а не специальный telnet с
> функцией TLS, то такая ошибка и должна быть.  На 465 порту ожидается
> TLS-хендшейк, а вовсе не протокол telnet или SMTP.
> 

нужен пакет telnet-ssl?

> Собственно, по идее, если проблема с сертификатами сервера, то ругаться
> должен клиент.  Если клиент не ругается, а ругается сервер, то проблема,
> скорее всего, не в сертификатах.
> 
>  SV> пробовал объединить сертификаты
>  SV> # cat /etc/ssl/domain.com.certificate /etc/ssl/intermediate.certificate
>  >>> /etc/exim4/exim.crt
> 
> А они при этом в формате PEM (Base64) или DER (бинарный)?  Впрочем,
> такое сливание понимает openssl, за gnutls уверенности нет.
> 

PEM
> И еще: а корневой сертификат, которым подписан intermediate, на клиенте
> точно есть и установлен как доверенный?
> 
имеется в виду на почтовом клиенте?

-- 
BW,
Сохин Вячеслав

Re: параметр Exim, отвечаю щий за intermediate-сертификат

[Sohin Vyacheslav]

03.02.2016 19:39, sergio пишет:
> Для этого есть swaks.

$ swaks -a -tls -q AUTH -s domain:465 -au username

Password:
=== Trying domain:465...

=== Connected to domain.com.

<** Timeout (30 secs) waiting for server respon

 -> QUIT

*** Remote host closed connection unexpectedly.

в логе Exim - та же TLS ошибка:
 (gnutls_handshake): An unexpected TLS packet was received.


-- 
BW,
Сохин Вячеслав

RE: параметр Exim, отвечающий за intermediate-сертификат

[Магунов Владимир]

По-видимости нужен параметр tls_verify_certificates.

Владимир.

-Original Message-
From: Sohin Vyacheslav [mailto:in.s...@yandex.ua] 
Sent: Wednesday, February 03, 2016 4:54 PM
To: debian-russian@lists.debian.org
Subject: параметр Exim, отвечающий за intermediate-сертификат

День добрый,

при использовании не-самоподписанного, а коммерческого сертификата присутствуют 
3 файла:
domain.com.certificate.key
domain.com.certificate
и intermediate.certificate

для Dovecot указал в /etc/dovecot/conf.d/10-ssl.conf:
ssl_cert_file = /etc/dovecot/domain.com.crt
ssl_key_file = /etc/dovecot/domain.com.key
ssl_ca_file = /etc/dovecot/intermediate.crt

а для Exim не нахожу в документации параметра относительно 
intermediate.certificat...

сейчас в exim4.conf:
tls_on_connect_ports = 465
tls_advertise_hosts = *
tls_certificate = /etc/exim4/exim.crt
tls_privatekey = /etc/exim4/exim.key

при подключении по telnet к 465 порту в логе Exim ошибка:
TLS error ... (gnutls_handshake): An unexpected TLS packet was received.

пробовал объединить сертификаты
# cat /etc/ssl/domain.com.certificate /etc/ssl/intermediate.certificate
>> /etc/exim4/exim.crt

рестартанул Exim, но ошибка та же:
TLS error ... (gnutls_handshake): An unexpected TLS packet was received.

может существует какой-то особый параметр для этого "intermediate"
сертификата?


--
BW,
Сохин Вячеслав

Re: параметр Exim, отвечаю щий за intermediate-сертификат

[sergio]

On 03/02/16 19:59, Tim Sattarov wrote:

>> TLS error ... (gnutls_handshake): An unexpected TLS packet was received.
> тестировать  SSL/TLS соединения телнетом сложно :)
> попробуй
> openssl s_client -connect server:port

Для этого есть swaks.

-- 
sergio

Re: параметр Exim, отвечающий за intermediate-сертификат

[Sohin Vyacheslav]

03.02.2016 18:59, Tim Sattarov пишет:
> тестировать  SSL/TLS соединения телнетом сложно :)
> попробуй
> openssl s_client -connect server:port

$ openssl s_client -connect server:465
CONNECTED(0003)

write:errno=104

---

no peer certificate available

---

No client certificate CA names sent

---

SSL handshake has read 0 bytes and written 295 bytes

---

New, (NONE), Cipher is (NONE)

Secure Renegotiation IS NOT supported

Compression: NONE

Expansion: NONE

---



-- 
BW,
Сохин Вячеслав

exim: проверка существования юзеров по нескольким базам в одном роутере

[Антон Понкратов]

Привет!
Есть почтовый сервачёк с юзерами в нескольких разных SQL-базах, доступ к 
которым осуществляется с

использованием разных (не одинаковых) учётных данных.
Как в строке condition роутера проверить поочерёдно по обоим 
переменным существование

юзеров сначала CHECK_VIRTUAL_USER, если неудачно то CHECK1_VIRTUAL_USER
(аналог || в bash)?

1. Устанавливаю переменные
- /etc/exim4/conf.d/main/00_exim4-config_local -
# Запрос проверяет существование пользователя в почтовой системе
CHECK_VIRTUAL_USER = \
${lookup pgsql{servers=xxx.xxx.xxx.xxx::5432/db000/user000/Password; SELECT
egw_addressbook.contact_email \
  FROM egw_addressbook, egw_accounts \
  WHERE egw_addressbook.contact_email = 
'${quote_pgsql:$local_part@$domain}' \

  AND egw_addressbook.account_id IS NOT NULL \
  AND egw_accounts.account_status != '${quote_pgsql:}' \
  AND egw_addressbook.account_id = egw_accounts.account_id}{$value}fail}

# Запрос проверяет существование пользователя в почтовой системе
CHECK1_VIRTUAL_USER = \
${lookup 
pgsql{servers=xxx.xxx.xxx.xxx::5432/db001/user001/PasswordPassword; SELECT

egw_addressbook.contact_email \
  FROM egw_addressbook, egw_accounts \
  WHERE egw_addressbook.contact_email = 
'${quote_pgsql:$local_part@$domain}' \

  AND egw_addressbook.account_id IS NOT NULL \
  AND egw_accounts.account_status != '${quote_pgsql:}' \
  AND egw_addressbook.account_id = egw_accounts.account_id}{$value}fail}
- /etc/exim4/conf.d/main/00_exim4-config_local -

2. Роутер
- /etc/exim4/conf.d/router/950_exim4-config_dovecot_virtual_user -
### router/950_exim4-config_dovecot_virtual_user
#

# This router matches local user mailboxes. If the router fails, the error
# message is Unknown user.

dovecot_virtual_user:
  debug_print = R: dovecot_virtual_user for $local_part@$domain
  driver = accept
  domains = +local_domains
  local_parts = ! root
  transport = LOCAL_DELIVERY
  condition = CHECK_VIRTUAL_USER
  cannot_route_message = Unknown user
  no_more
- /etc/exim4/conf.d/router/950_exim4-config_dovecot_virtual_user -



--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: https://lists.debian.org/53203086.4050...@tower.tomsk.ru

Re: exim: проверка существования юзеров по нескольким базам в одном роутере

[Peter Teslenko]

Возможно скажу странное, но почему бы на одном из серверов не сделать VIEW
http://www.postgresql.org/docs/8.1/static/sql-createview.html с нужными
таблицами с другого сервера?
И lookup'иться в один из серверов.

-- 
Peter Teslenko

Re: exim: проверка существования юзеров по нескольким базам в одном роутере

[Eugene Berdnikov]

On Wed, Mar 12, 2014 at 05:01:42PM +0700, Антон Понкратов wrote:
 Как в строке condition роутера проверить поочерёдно по обоим
 переменным существование
 юзеров сначала CHECK_VIRTUAL_USER, если неудачно то CHECK1_VIRTUAL_USER
 (аналог || в bash)?
...
 ### router/950_exim4-config_dovecot_virtual_user
 #
 
 # This router matches local user mailboxes. If the router fails, the error
 # message is Unknown user.
 
 dovecot_virtual_user:
   debug_print = R: dovecot_virtual_user for $local_part@$domain
   driver = accept
   domains = +local_domains
   local_parts = ! root
   transport = LOCAL_DELIVERY
   condition = CHECK_VIRTUAL_USER
   cannot_route_message = Unknown user
   no_more
 - /etc/exim4/conf.d/router/950_exim4-config_dovecot_virtual_user -

 Выбросьте терминирующие элементы (cannot_route_message и no_more) и
 напишите несколько роутеров подряд, каждый со своим condition.
 Так проще будет отлаживать этот бутерброд...

 Можно конечно, логику с and/or нагородить, но зачем искать по всем базам
 одновременно? И зачем терминаторы? По умолчанию письмо и так режектится.
-- 
 Eugene Berdnikov


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: https://lists.debian.org/20140312115235.ge3...@protva.ru

Re: Настройка exim используя конф игурацию разделённую на файлы

[Konstantin Fadeyev]

Относительно разобрался, насчёт debian-like настройки exim. Как я понял,
достаточно просто найти нужный параметр, посмотреть какой макрос он
использует, определить этот макрос в 01_exim4-config_listmacrosdefs, либо
правлю параметр непосредственно на месте.
Хочу чтоб часть параметров запрашивались из postgresql, куда вписать
параметр подключения к базе лучше всего?


2013/6/26 sergio mail...@sergio.spb.ru

 On 26/06/13 15:20, Konstantin Fadeyev wrote:


 Почитайте /usr/share/doc/exim4-base/**README.Debian.gz

 Ну и там соседние файлы тоже могут быть интересны.

 --
 sergio.



 --
 To UNSUBSCRIBE, email to 
 debian-russian-REQUEST@lists.**debian.orgdebian-russian-requ...@lists.debian.org
 with a subject of unsubscribe. Trouble? Contact
 listmas...@lists.debian.org
 Archive: 
 http://lists.debian.org/**51caf4fc.6000...@sergio.spb.ruhttp://lists.debian.org/51caf4fc.6000...@sergio.spb.ru




-- 
Константин Фадеев

Настройка exim используя конфигурацию разделённую на файлы

[Konstantin Fadeyev]

Здравствуйте!
В общем пытаюсь настроить exim в варианте интернет-сайт.
В принципе документации в интернете довольно много и скажем особых
неясностей нет.
Единственное что удручает, это моё непонимание debian-like подхода к его
настройке, прогнал первоначальную настройку debconf. В конце выбрал
разбиение конфигурации на отдельные файлы, мне это показалось чуть более
правильным, так как планируется внос большой порции изменений, а затем
изменять конфиги буквально в год по чайной ложке. Я прав?

В /etc/exim4/ появилась директория conf.d. Начал с main/ в принципе имена
файлов говорящие. Открыл файл 01_exim4-config_listmacrosdefs и несколько
потерялся. Макросы прописаны и много, но прописаны пополам с настройками.
Часть макросов указывают сами на себя или на несуществующие макросы. С
проверками на определение макросов относительно понятно, но идёт присвоение
несуществующего макроса, откуда он берётся? Часть опций откомментирована,
что мол вот значение по умолчанию если макрос не установлен.

Как я понял файл update-exim4.conf.conf был создан debconf, но как из него
настройки переносятся в файлы конфигурации?

Кто может - объясните ситуацию. Может есть документ какой в дистре
отвечающий на мои вопросы или ссылки может хорошие.

-- 
Константин Фадеев

Re: Настройка exim используя конфигурацию разделённую на файлы

[Alexander Galanin]

On Wed, 26 Jun 2013 15:20:41 +0400
Konstantin Fadeyev jred...@gmail.com wrote:

 Как я понял файл update-exim4.conf.conf был создан debconf, но как из него
 настройки переносятся в файлы конфигурации?

Командой update-exim4.conf. См. в её мане секцию RECOMMENDED USAGE,
чтобы знать, когда её можно запускать.

-- 
Alexander Galanin


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: 
http://lists.debian.org/20130626152859.ac093203ad668b0c14392...@galanin.nnov.ru

Re: Настройка exim используя конфигурацию разделённую на файлы

[Alexander Galanin]

On Wed, 26 Jun 2013 15:20:41 +0400
Konstantin Fadeyev jred...@gmail.com wrote:

 Как я понял файл update-exim4.conf.conf был создан debconf, но как из него
 настройки переносятся в файлы конфигурации?

Командой update-exim4.conf. См. в её мане секцию RECOMMENDED USAGE,
чтобы знать, когда её можно запускать.

-- 
Alexander Galanin


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: 
http://lists.debian.org/20130626152736.e715de9abcdc1d7f32cf8...@galanin.nnov.ru

Re: Настройка exim используя конфигурацию разделённую на файлы

[Konstantin Fadeyev]

О!!! Спасибо!!!


26 июня 2013 г., 15:27 пользователь Alexander Galanin
a...@galanin.nnov.ruнаписал:

 On Wed, 26 Jun 2013 15:20:41 +0400
 Konstantin Fadeyev jred...@gmail.com wrote:

  Как я понял файл update-exim4.conf.conf был создан debconf, но как из
 него
  настройки переносятся в файлы конфигурации?

 Командой update-exim4.conf. См. в её мане секцию RECOMMENDED USAGE,
 чтобы знать, когда её можно запускать.

 --
 Alexander Galanin


 --
 To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
 with a subject of unsubscribe. Trouble? Contact
 listmas...@lists.debian.org
 Archive:
 http://lists.debian.org/20130626152736.e715de9abcdc1d7f32cf8...@galanin.nnov.ru




-- 
Константин Фадеев

Re: Настройка exim используя конф игурацию разделённую на файлы

[sergio]

On 26/06/13 15:20, Konstantin Fadeyev wrote:


Почитайте /usr/share/doc/exim4-base/README.Debian.gz

Ну и там соседние файлы тоже могут быть интересны.

--
sergio.


--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/51caf4fc.6000...@sergio.spb.ru

Re: Настройка exim используя конф игурацию разделённую на файлы

[Konstantin Fadeyev]

Да, копаю там :-) Спасибо, сейчас прояснились многие моменты. :-)


2013/6/26 sergio mail...@sergio.spb.ru

 On 26/06/13 15:20, Konstantin Fadeyev wrote:


 Почитайте /usr/share/doc/exim4-base/**README.Debian.gz

 Ну и там соседние файлы тоже могут быть интересны.

 --
 sergio.



 --
 To UNSUBSCRIBE, email to 
 debian-russian-REQUEST@lists.**debian.orgdebian-russian-requ...@lists.debian.org
 with a subject of unsubscribe. Trouble? Contact
 listmas...@lists.debian.org
 Archive: 
 http://lists.debian.org/**51caf4fc.6000...@sergio.spb.ruhttp://lists.debian.org/51caf4fc.6000...@sergio.spb.ru




-- 
Константин Фадеев

замена sa-exim

[Sergey Spiridonov]

Привет всем

использовал до сегодняшнего дня связку exim+sa-exim+spamassassin. Неделю 
назад обнаружился баг в sa-exim. Написал автору, а он ответил что 
sa-exim уже obsolete. Какой нынче правильный метод прикручивания 
spamassassin к exim?


--
С уважением, Сергей Спиридонов


--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/jsh4vu$l0q$1...@dough.gmane.org

Re: замена sa-exim

[Andrey Tataranovich]

10:35 Thu 28 Jun, Sergey Spiridonov wrote:
 Привет всем
 
 использовал до сегодняшнего дня связку exim+sa-exim+spamassassin.
 Неделю назад обнаружился баг в sa-exim. Написал автору, а он ответил
 что sa-exim уже obsolete. Какой нынче правильный метод прикручивания
 spamassassin к exim?

Посмотрите amavisd-new. У нас работает уже пару лет и пока нареканий нет.

-- 
WBR, Andrey Tataranovich


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/20120628091303.ga2...@debbox.it

Re: замена sa-exim

[Andrey Melnikoff]

Sergey Spiridonov s...@hurd.homeunix.org wrote:
 Привет всем

 использовал до сегодняшнего дня связку exim+sa-exim+spamassassin. Неделю 
 назад обнаружился баг в sa-exim. Написал автору, а он ответил что 
 sa-exim уже obsolete. Какой нынче правильный метод прикручивания 
Ужас, это еще кто-то использует???

 spamassassin к exim?
http://www.exim.org/exim-html-current/doc/html/spec_html/ch43.html
5 строчек в конфиге.


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/bo1ub9-53h@kenga.kmv.ru

Re: замена sa-exim

[Dmitry E. Oboukhov]

 использовал до сегодняшнего дня связку exim+sa-exim+spamassassin. Неделю
 назад обнаружился баг в sa-exim. Написал автору, а он ответил что
 sa-exim уже obsolete. Какой нынче правильный метод прикручивания
 Ужас, это еще кто-то использует???

я использую. лет 6 назад настроил и с тех пор работает.

 spamassassin к exim?
 http://www.exim.org/exim-html-current/doc/html/spec_html/ch43.html
 5 строчек в конфиге.

-- 

. ''`.   Dmitry E. Oboukhov
: :’  :   email: un...@debian.org jabber://un...@uvw.ru
`. `~’  GPGKey: 1024D / F8E26537 2006-11-21
  `- 1B23 D4F8 8EC0 D902 0555  E438 AB8C 00CF F8E2 6537


signature.asc
Description: Digital signature

Re: замена sa-exim

[-=Devil_InSide=-]

,-[Sergey Spiridonov, 28 June 2012 12:35]:

 Привет всем
 
 использовал до сегодняшнего дня связку exim+sa-exim+spamassassin. Неделю
 назад обнаружился баг в sa-exim. Написал автору, а он ответил что
 sa-exim уже obsolete. Какой нынче правильный метод прикручивания
 spamassassin к exim?
 

наверное, не совсем к вопросу, но bogofilter работает хорошо, быстро 
обучается, маленький-нежрущий и прикручивается ко всему, практически.
)


-- 
__
mpd status: [stopped]
**
*  jabber:  devil_ins...@jabber.ru   *
*   Registered linux user #450844*
**



-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/jsi7ov$lof$1...@dough.gmane.org

exim с указанного адреса авторизоваться

[Dmitry E. Oboukhov]

есть exim, который сам доставляет почту (то есть смартхост не
используется)
если через него отправляют почту с адреса f...@domain.com, то надо
чтобы он эту почту клал на smtp-сервер smtp.domain.com и при этом
авторизовывался на нем по smtps с логином совпадающим с мылом, паролем
password.

как пытаюсь решить:

в /etc/exim4/passwd.client

положил запись:

smtp.domain.com:f...@domain.com:password

далее создал в роутах роут:

domaincom:
driver = manualroute
domains = ! +local_domains
route_list = domain.com smtp.domain.com
transport = domaincom_smtp

далее в транспортах скопипастил smarthost-транспорт:

domaincom_smtp:
  debug_print = T: remote_smtp_smarthost for $local_part@$domain
  driver = smtp
  hosts_try_auth = ; ${if exists{CONFDIR/passwd.client} \
{\
${lookup{$host}nwildlsearch{CONFDIR/passwd.client}{$host_address}}\
}\
{} \
  }
.ifdef REMOTE_SMTP_SMARTHOST_HOSTS_AVOID_TLS
  hosts_avoid_tls = REMOTE_SMTP_SMARTHOST_HOSTS_AVOID_TLS
.endif
.ifdef REMOTE_SMTP_HEADERS_REWRITE
  headers_rewrite = REMOTE_SMTP_HEADERS_REWRITE
.endif
.ifdef REMOTE_SMTP_RETURN_PATH
  return_path = REMOTE_SMTP_RETURN_PATH
.endif
.ifdef REMOTE_SMTP_HELO_DATA
  helo_data=REMOTE_SMTP_HELO_DATA
.endif

далее отправляем почту, авторизация судя по всему успешна, но сервер
на который шлем почту (smtp.mail.ru в реале), отвечает следующее:

501 sender address must match authenticated user

то есть авторизация у него прошла, но sender не совпадает с тем что
авторизован.

вопрос как зафорсить sender'а перед передачей письма?

пробовал сделать опции у транспорта (для чего собственно понадобилось
его скопировать):

authenticated_sender = f...@domain.com
authenticated_sender_force = true

но это не помогает.

я в конфиги exim лазию очень редко, поэтому не сильно в них
разбираюсь, посоветуйте как решить данную задачку?
-- 

. ''`.   Dmitry E. Oboukhov
: :’  :   email: un...@debian.org jabber://un...@uvw.ru
`. `~’  GPGKey: 1024D / F8E26537 2006-11-21
  `- 1B23 D4F8 8EC0 D902 0555  E438 AB8C 00CF F8E2 6537


signature.asc
Description: Digital signature

Re: exim с указанного адреса авторизоваться

[Stanislav Maslovski]

On Tue, Jun 26, 2012 at 12:42:19PM +0400, Dmitry E. Oboukhov wrote:
 есть exim, который сам доставляет почту (то есть смартхост не
 используется)
 если через него отправляют почту с адреса f...@domain.com, то надо
 чтобы он эту почту клал на smtp-сервер smtp.domain.com и при этом
 авторизовывался на нем по smtps с логином совпадающим с мылом, паролем
 password.

[skipped]

 501 sender address must match authenticated user

Для полной ясности я бы все же взглянул на полный лог обмена, запустив
exim в режиме отладки:

exim -d-all+transport+lookup f...@domain.com  /dev/null

или так (больше мусора):

exim -d f...@domain.com  /dev/null

-- 
Stanislav


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/20120626214317.GA8010@kaiba.homelan

Re: exim с указанного адреса авторизоваться

[Stanislav Maslovski]

On Wed, Jun 27, 2012 at 01:43:17AM +0400, Stanislav Maslovski wrote:
 On Tue, Jun 26, 2012 at 12:42:19PM +0400, Dmitry E. Oboukhov wrote:
  есть exim, который сам доставляет почту (то есть смартхост не
  используется)
  если через него отправляют почту с адреса f...@domain.com, то надо
  чтобы он эту почту клал на smtp-сервер smtp.domain.com и при этом
  авторизовывался на нем по smtps с логином совпадающим с мылом, паролем
  password.
 
 [skipped]
 
  501 sender address must match authenticated user
 
 Для полной ясности я бы все же взглянул на полный лог обмена, запустив
 exim в режиме отладки:
 
 exim -d-all+transport+lookup f...@domain.com  /dev/null
 
 или так (больше мусора):
 
 exim -d f...@domain.com  /dev/null

Тьфу, похоже я мимо текста прочёл: письмо же _с_ f...@domain.com а не
_на_ этот адрес. Тогда, наверно, надо что-то типа

exim -f f...@domain.com -d s...@example.com  /dev/null

-- 
Stanislav


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/20120626220030.GA10652@kaiba.homelan

Re: exim с указанного адреса авторизоваться

[Dmitry E. Oboukhov]

 501 sender address must match authenticated user
 
 Для полной ясности я бы все же взглянул на полный лог обмена, запустив
 exim в режиме отладки:
 
 exim -d-all+transport+lookup f...@domain.com  /dev/null
 
 или так (больше мусора):
 
 exim -d f...@domain.com  /dev/null

 Тьфу, похоже я мимо текста прочёл: письмо же _с_ f...@domain.com а не
 _на_ этот адрес. Тогда, наверно, надо что-то типа

 exim -f f...@domain.com -d s...@example.com  /dev/null

спасибо, я уже разобрался: добавил опцию return_path = f...@domain.com
и все заработало
-- 

. ''`.   Dmitry E. Oboukhov
: :’  :   email: un...@debian.org jabber://un...@uvw.ru
`. `~’  GPGKey: 1024D / F8E26537 2006-11-21
  `- 1B23 D4F8 8EC0 D902 0555  E438 AB8C 00CF F8E2 6537


signature.asc
Description: Digital signature

Re: exim и 2 ip на вдс

[alexander barakin]

On Thu, Nov 03, 2011 at 03:10:19PM +0400, Дмитрий Савельев wrote:
 P.S. Немного оффтопичный вопрос, хотя и связанный с вопросом нескольких
 ip на одном вдс. Если я не разделяю ip по доменам и в dns прописываю
 одно и то же название хостов для обоих ip (mail.domain.com,
 smtp.domain.com, pop.domain.com) - это нормально или может породить
 какие-то конфликты?

видимо, никто так и не понял суть вопроса·

-- 
wbr, alexander barakin aka sash-kan.
-- 
i will be very thankful to you if you will use natural for the human order:
first question, then the answer.


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/2006092050.GA30457@teta.mezon.local

Re: exim и 2 ip на вдс

[Andrey Rahmatullin]

On Thu, Nov 03, 2011 at 03:10:19PM +0400, Дмитрий Савельев wrote:
 P.S. Немного оффтопичный вопрос, хотя и связанный с вопросом нескольких
 ip на одном вдс. Если я не разделяю ip по доменам и в dns прописываю
 одно и то же название хостов для обоих ip (mail.domain.com,
 smtp.domain.com, pop.domain.com) - это нормально или может породить
 какие-то конфликты?
В какие записи днс? PTR? А в А что?

-- 
WBR, wRAR


signature.asc
Description: Digital signature

Re: exim и 2 ip на вдс

[alexander barakin]

On Wed, Nov 02, 2011 at 07:48:11PM +, Дмитрий Савельев wrote:
 On 02.11.2011 17:42, alexander barakin wrote:
  On Wed, Nov 02, 2011 at 09:50:53AM +, Дмитрий Савельев wrote:

  Имеется вдс под Debian Lenny, у него 2 ip.
  Как заставить exim работать через конкретный ip?
  Поправил в /etc/exim4.conf.template запись hostlist relay_from_hosts =
  127.0.0.1 : ip-addr : second_ip_addr на hostlist relay_from_hosts =
  127.0.0.1 : ip-addr , однако все равно шлет через второй, а не первый 
  адрес.
  
  сбилось ваше форматирование, но, судя по упомянутым словам, не то вы
  исправляли·
 

 Точно, не то, что-то ступил, просто сделал grep -R ipaddr /etc/exim4 и
 других конфигов и записей с ip не обнаружил :)
 А вообще, в этом обилии маленьких файлов тяжело разобраться.
  По документации, такое поведение должно быть, когда указанные адреса
  недоступны, однако они все доступны для него.
  Что делать?
  
  нужно добавить запись
  interface = ip-адрес
  в конфигурацию соответствующего транспорта·
 
  у меня squeeze и exim настроен на «разбиение конфигурации на мелкие
  файлы», поэтому имена файлов — лишь для общей ориентировки, а главный
  ориентир — название секции (ну и, конечно, это всё происходит в разделе,
  описывающем транспорты)·
 
 
  если отправка через smarthost, то в файле
  /etc/exim4/conf.d/transport/30_exim4-config_remote_smtp_smarthost
  в секции
  remote_smtp_smarthost:
  добавляете
  interface=ip-адрес
 
  если отправка своими силами, то в файле
  /etc/exim4/conf.d/transport/30_exim4-config_remote_smtp
  в секции
  remote_smtp:
  добавляете
  interface=ip-адрес
 
  вроде как рекомендуют добавлять эту строку не в начале секции, а после
  строки
  driver=smtp
  но, по-моему, и так cойдёт·
  если не пойдёт, передвиньте·
 
  $ sudo update-exim4.conf
  и проверяйте·
 

 Премного благодарен за подробное разъяснение
 Прописал как Вы написали, однако тестовое письмо пришло со вторым
 ip-адресом.

вы точно в нужном месте записали?
проверьте по сгенерированному файлу /var/lib/exim4/config.autogenerated

если у вас выбрана «вся конфигурация в одном файле», то надо исправлять
этот самый файл /etc/exim4/exim4.conf.template, а не покусочковую
разбивку из /etc/exim4/conf.d

 P.S. Согласно netstat, exim слушает на адресе: :::25 
 Как это изменить?!

$ sudo dpkg-reconfigure exim4-config
примерно третий вопрос:
Please enter a semicolon-separated list of IP addresses. The Exim SMTP
listener daemon will listen on all IP addresses listed here.

-- 
wbr, alexander barakin aka sash-kan.
-- 
i will be very thankful to you if you will use natural for the human order:
first question, then the answer.


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/2003064919.GP27701@teta.mezon.local

Re: exim и 2 ip на вдс

[Дмитрий Савельев]

On 03.11.2011 10:49, alexander barakin wrote:
 On Wed, Nov 02, 2011 at 07:48:11PM +, Дмитрий Савельев wrote:
   
 On 02.11.2011 17:42, alexander barakin wrote:
 
 On Wed, Nov 02, 2011 at 09:50:53AM +, Дмитрий Савельев wrote:
   
   
 Имеется вдс под Debian Lenny, у него 2 ip.
 Как заставить exim работать через конкретный ip?
 Поправил в /etc/exim4.conf.template запись hostlist relay_from_hosts =
 127.0.0.1 : ip-addr : second_ip_addr на hostlist relay_from_hosts =
 127.0.0.1 : ip-addr , однако все равно шлет через второй, а не первый 
 адрес.
 
 
 сбилось ваше форматирование, но, судя по упомянутым словам, не то вы
 исправляли·

   
   
 Точно, не то, что-то ступил, просто сделал grep -R ipaddr /etc/exim4 и
 других конфигов и записей с ip не обнаружил :)
 А вообще, в этом обилии маленьких файлов тяжело разобраться.
 
 По документации, такое поведение должно быть, когда указанные адреса
 недоступны, однако они все доступны для него.
 Что делать?
 
 
 нужно добавить запись
 interface = ip-адрес
 в конфигурацию соответствующего транспорта·

 у меня squeeze и exim настроен на «разбиение конфигурации на мелкие
 файлы», поэтому имена файлов — лишь для общей ориентировки, а главный
 ориентир — название секции (ну и, конечно, это всё происходит в разделе,
 описывающем транспорты)·


 если отправка через smarthost, то в файле
 /etc/exim4/conf.d/transport/30_exim4-config_remote_smtp_smarthost
 в секции
 remote_smtp_smarthost:
 добавляете
 interface=ip-адрес

 если отправка своими силами, то в файле
 /etc/exim4/conf.d/transport/30_exim4-config_remote_smtp
 в секции
 remote_smtp:
 добавляете
 interface=ip-адрес

 вроде как рекомендуют добавлять эту строку не в начале секции, а после
 строки
 driver=smtp
 но, по-моему, и так cойдёт·
 если не пойдёт, передвиньте·

 $ sudo update-exim4.conf
 и проверяйте·

   
   
 Премного благодарен за подробное разъяснение
 Прописал как Вы написали, однако тестовое письмо пришло со вторым
 ip-адресом.
 
 вы точно в нужном месте записали?
 проверьте по сгенерированному файлу /var/lib/exim4/config.autogenerated

 если у вас выбрана «вся конфигурация в одном файле», то надо исправлять
 этот самый файл /etc/exim4/exim4.conf.template, а не покусочковую
 разбивку из /etc/exim4/conf.d

   
Не было параметра в /var/lib/exim4/config.autogenerated
Оказывается, я ступил, извиняюсь, думал, что у меня в маленьких
конфигах, а оказывается я его переконфигурировал в большой конфиг.
Сейчас переконфигурировал в маленькие, и в
/var/lib/exim4/config.autogenerated появился этот параметр. Ну или можно
было в большой конфиг вписать.
И да, большое спасибо, тестовое письмо пришло с первым ip-адресом, с
которым я хотел!!!
P.S. Прошу прощения за то, что ступил.

 P.S. Согласно netstat, exim слушает на адресе: :::25 
 Как это изменить?!
 
 $ sudo dpkg-reconfigure exim4-config
 примерно третий вопрос:
 Please enter a semicolon-separated list of IP addresses. The Exim SMTP
 listener daemon will listen on all IP addresses listed here.

   
Спасибо. Однако это не совсем то, как я понял, это где слушать входящие,
а не откуда отправлять исходящие, что в данном случае для меня не
принципиально.  Но, как говориться, каков вопрос, таков и ответ.
P.S. Немного оффтопичный вопрос, хотя и связанный с вопросом нескольких
ip на одном вдс. Если я не разделяю ip по доменам и в dns прописываю
одно и то же название хостов для обоих ip (mail.domain.com,
smtp.domain.com, pop.domain.com) - это нормально или может породить
какие-то конфликты?


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/1rlvcm-0005hs...@internal.tormail.net

Re: exim и 2 ip на вдс

[alexander barakin]

On Wed, Nov 02, 2011 at 09:50:53AM +, Дмитрий Савельев wrote:
 Имеется вдс под Debian Lenny, у него 2 ip.
 Как заставить exim работать через конкретный ip?
 Поправил в /etc/exim4.conf.template запись hostlist relay_from_hosts =
 127.0.0.1 : ip-addr : second_ip_addr на hostlist relay_from_hosts =
 127.0.0.1 : ip-addr , однако все равно шлет через второй, а не первый адрес.

сбилось ваше форматирование, но, судя по упомянутым словам, не то вы
исправляли·

 По документации, такое поведение должно быть, когда указанные адреса
 недоступны, однако они все доступны для него.
 Что делать?

нужно добавить запись
interface = ip-адрес
в конфигурацию соответствующего транспорта·

у меня squeeze и exim настроен на «разбиение конфигурации на мелкие
файлы», поэтому имена файлов — лишь для общей ориентировки, а главный
ориентир — название секции (ну и, конечно, это всё происходит в разделе,
описывающем транспорты)·


если отправка через smarthost, то в файле
/etc/exim4/conf.d/transport/30_exim4-config_remote_smtp_smarthost
в секции
remote_smtp_smarthost:
добавляете
interface=ip-адрес

если отправка своими силами, то в файле
/etc/exim4/conf.d/transport/30_exim4-config_remote_smtp
в секции
remote_smtp:
добавляете
interface=ip-адрес

вроде как рекомендуют добавлять эту строку не в начале секции, а после
строки
driver=smtp
но, по-моему, и так cойдёт·
если не пойдёт, передвиньте·

$ sudo update-exim4.conf
и проверяйте·

-- 
wbr, alexander barakin aka sash-kan.
-- 
i will be very thankful to you if you will use natural for the human order:
first question, then the answer.


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/2002174246.GO27701@teta.mezon.local

Re: exim и 2 ip на вдс

[Дмитрий Савельев]

On 02.11.2011 17:42, alexander barakin wrote:
 On Wed, Nov 02, 2011 at 09:50:53AM +, Дмитрий Савельев wrote:
   
 Имеется вдс под Debian Lenny, у него 2 ip.
 Как заставить exim работать через конкретный ip?
 Поправил в /etc/exim4.conf.template запись hostlist relay_from_hosts =
 127.0.0.1 : ip-addr : second_ip_addr на hostlist relay_from_hosts =
 127.0.0.1 : ip-addr , однако все равно шлет через второй, а не первый адрес.
 
 сбилось ваше форматирование, но, судя по упомянутым словам, не то вы
 исправляли·

   
Точно, не то, что-то ступил, просто сделал grep -R ipaddr /etc/exim4 и
других конфигов и записей с ip не обнаружил :)
А вообще, в этом обилии маленьких файлов тяжело разобраться.
 По документации, такое поведение должно быть, когда указанные адреса
 недоступны, однако они все доступны для него.
 Что делать?
 
 нужно добавить запись
 interface = ip-адрес
 в конфигурацию соответствующего транспорта·

 у меня squeeze и exim настроен на «разбиение конфигурации на мелкие
 файлы», поэтому имена файлов — лишь для общей ориентировки, а главный
 ориентир — название секции (ну и, конечно, это всё происходит в разделе,
 описывающем транспорты)·


 если отправка через smarthost, то в файле
 /etc/exim4/conf.d/transport/30_exim4-config_remote_smtp_smarthost
 в секции
 remote_smtp_smarthost:
 добавляете
 interface=ip-адрес

 если отправка своими силами, то в файле
 /etc/exim4/conf.d/transport/30_exim4-config_remote_smtp
 в секции
 remote_smtp:
 добавляете
 interface=ip-адрес

 вроде как рекомендуют добавлять эту строку не в начале секции, а после
 строки
 driver=smtp
 но, по-моему, и так cойдёт·
 если не пойдёт, передвиньте·

 $ sudo update-exim4.conf
 и проверяйте·

   
Премного благодарен за подробное разъяснение
Прописал как Вы написали, однако тестовое письмо пришло со вторым
ip-адресом.
P.S. Согласно netstat, exim слушает на адресе: :::25 
Как это изменить?!


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/1rlgnm-000nr1...@internal.tormail.net

Re: про exim -f

[v...@lab127.karelia.ru]

02.09.2011 3:10, sergio пишет:

Всем привет.

Есть exim с виртуальными доменами и пользователями. Не локальные письма он
принимает только от авторизованных пользователей. И только с тех адресов,
которые принадлежат пользователю.

А ещё есть локальные пользователи, от которых exim тоже принимает почту
и отправляет как от localuser@maindomain. Но для локальных пользователей
существуют виртуальные, с принадлежащими им адресами.

Так вот хочется сделать так, что бы локальные пользователи могли отсылать почту
со своих адресов, при этом не позволяя им отсылать почту с любых адресов.

http://www.lissyara.su/articles/freebsd/mail/exim+courier-imap/


--
Александр Сергеевич Волков
Ведущий программист

http://www.rfidjournal.com/article/view/8600/1 - Read the story in RFID

mob: +79215283540
e-mail: v...@lab127.karelia.ru
skype: v2003_2...@mail.ru



--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/4e60896e.2030...@lab127.karelia.ru

про exim -f

[sergio]

Всем привет.

Есть exim с виртуальными доменами и пользователями. Не локальные письма он
принимает только от авторизованных пользователей. И только с тех адресов,
которые принадлежат пользователю.

А ещё есть локальные пользователи, от которых exim тоже принимает почту
и отправляет как от localuser@maindomain. Но для локальных пользователей
существуют виртуальные, с принадлежащими им адресами.

Так вот хочется сделать так, что бы локальные пользователи могли отсылать почту
со своих адресов, при этом не позволяя им отсылать почту с любых адресов.

-- 
sergio.


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/4e6010e1.3000...@sergio.spb.ru

Обновление Exim

[skele...@lissyara.su]

Всем привет.
Что-то в репозиториях нет обновлённого exima'a (в том смысле, что есть 
только версия 4.69). Или всё таки-есть? Хочется закрыть недавнюю 
уюзвимость в exim'e.



--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/4d2d8e11.6020...@lissyara.su

Re: Обновление Exim

[Dmitry E. Oboukhov]

sls Всем привет.
sls Что-то в репозиториях нет обновлённого exima'a
sls (в том смысле, что есть только версия 4.69). Или
sls всё таки-есть? Хочется закрыть недавнюю
sls уюзвимость в exim'e.

дык на нее наложили патч и зааплоадили еще 10 декабря.
см. чейнджлог пакета с екзимом
-- 
... mpd is off

. ''`.   Dmitry E. Oboukhov
: :’  :   email: un...@debian.org jabber://un...@uvw.ru
`. `~’  GPGKey: 1024D / F8E26537 2006-11-21
  `- 1B23 D4F8 8EC0 D902 0555  E438 AB8C 00CF F8E2 6537


signature.asc
Description: Digital signature

Re: Обновление Exim

[Igor Drobot]

Привет,

On 01/12/2011 12:18 PM, skele...@lissyara.su wrote:

Всем привет.
Что-то в репозиториях нет обновлённого exima'a (в том смысле, что есть 
только версия 4.69). Или всё таки-есть? Хочется закрыть недавнюю 
уюзвимость в exim'e.



было только обновление, обновлённая версия в debian lenny: 4.69-9+len
Проверить это вы сможете так: *aptitude search exim4 -F %V%p*


--
Игорь

Re: В Exim обнару жена критическ ая уязвимость, позволяющая получ ить root-права на сервере

[Alexey Pechnikov]

На рассылку сейчас не подписан, не имею возможности ответить в тот же тред.

 один фиг qmail - ацтой. ибо даже в дебиане вынуждены извращаться с
 src-пакетами вместо того чтобы собрать обычный пакет.

Глупости. В дебиане извращаются, как вам угодно было выразиться, отнюдь не
из-за
лицензионной политики qmail, а сами по себе. Уже давно нет ограничений на
распространение
кода и бинарей.

Притом и деб-пакеты давно готовы, подробнее см.
http://smarden.org/pape/Debian/sid.html
http://ftp-master.debian.org/new.html

Замечу, что этот же человек является мантейнером dash и других более
безопасных и быстрых
альтернатив давно прижившегося ПО.

После ситуации с тиклем, где мантейнер отказывается даже смотреть результаты
тестирования
AOL Server с Tcl 8.5, хотя именно эта сборка должна была бы быть в ленни, а
вместо этого
издевается над замшелой версией AOL с древним тиклем 8.4 (признавая, что
дистрибутивная
сборка вовсе нерабочая и ее использовать нельзя); ситуации с эскулайт, где
мантейнер
после моих настойчивых багрепортов об отсутствии поддержки юникода таки
собрал сборку с ICU,
по вскоре по тихому отключил эту самую поддержку, притом не соизволив
отметить это в чанжлоге
(утверждает, на 64 бит хосте могут быть проблемы; как ни странно, у меня в
продакшене на 32 бит и 64
бит работает замечательно - вероятно, потому, что я не использую патчи из
дебиановского пакета,
про которые апстрим говорит, что это дерьмо и их выкинуть надо, т.к. они на
64 бит приведут к
ошибкам) - мое личное мнение, что кроме базовой системы, на
дистрибутивный софт рассчитывать,
как минимум, опрометчиво. Притом мнение апстрима полностью
игнорируется, кроме двух примеров
выше, стоит добавить haproxy и можно дальше продолжать - какие-то
левые патчи накладываются,
которые проблем несут больше чем исправляют, и проч. Подозреваю, что с
другими пакетами не
лучше, если всерьез разобраться... С openssl это лишь верхушка
айсберга была, а сам айсберг - 20
тыщ черт знает какого качества пакетов в репозитории. Выкинуть бы 80% из них
в дополнительные
репозитории, а оставшиеся довести до ума...

-- 
Best regards, Alexey Pechnikov.
http://pechnikov.tel/