Re: Postfix/Exim Relay с проверкой по шаблону
Спасибо, большое за помощь! чт, 18 мая 2023 г. в 19:54, IL Ka : > Есть > https://www.postfix.org/BUILTIN_FILTER_README.html > > Нужно настроить https://www.postfix.org/header_checks.5.html (в конце > есть примеры) > > Демон cleanup (см диаграмму > https://paulgorman.org/technical/postfix-architecture-diagram.svg) > пропускает все сообщения через header_checks(5), и при совпадении регулярки > может делать разные действия. > >
Re: Postfix/Exim Relay с проверкой по шаблону
Есть https://www.postfix.org/BUILTIN_FILTER_README.html Нужно настроить https://www.postfix.org/header_checks.5.html (в конце есть примеры) Демон cleanup (см диаграмму https://paulgorman.org/technical/postfix-architecture-diagram.svg) пропускает все сообщения через header_checks(5), и при совпадении регулярки может делать разные действия.
Postfix/Exim Relay с проверкой по шаблону
Здравствуйте, друзья. Есть ли возможность настроить Postfix в режиме пересылки почты (релей) так, чтобы самом релее была настроена политика, которая пропускала бы сообщения только по шаблону. Где это можно изучить и почитать? p.s. Если есть возможность, приложите пример шаблона на стороне релея
exim spamassassin X-Spam-Status
SA вызывается в acl_check_data в этом месте в экзиме появляются $spam_ переменные, и он делает с ними add_header при этом появляется $spam_report (здоровый такой) а $spam_status в экзиме нет В идеале хочу не настраивать хидеры экзимом, а брать те, что выставляет сам SA. -- sergio.
Re: exim и greylist (!DKIM)
> Artem Chuprinawrites: > Ivan Shmakov -> debian-russian@ @ Tue, 03 Oct 2017 11:33:44 +: >>> Я же письмо не для себя писал. Оно пропало для получателя. Как то >>> даже не по себе, объяснять такие простые вещи. >> 1. Был ли получатель заинтересован в получении этого письма? >> Поскольку смысл борьбы с нежелательной корреспонденцией как раз и >> состоит в том, чтобы /некоторые/ письма «пропадали» для получателя. >> 2. Если недоставка конкретного письма является проблемой, получатель >> всегда может обратиться к администратору узла с просьбой ее решить. > Тут есть очевидная проблема: получатель _своевременно_ не знает, что > письмо было ему отправлено, поскольку он его не получил. Верно; я предположил, что у отправителя есть и иной канал для связи с получателем в случае обнаружения отказа в доставке. > При молчаливом выбрасывании письма почтовкой у отправителя сходная > проблема: он тоже _своевременно_ не знает, что его письмо не было > доставлено. Здесь могу разве что известный анекдот процитировать — «а вы так не делайте.» (В связи с чем я, в частности, поостерегся бы пробовать реализовать «graylist» после DATA.) В целом же — проблемы случаются; и не всегда можно решить проблему за тех, вследствие чьих действий она возникает. Это отнюдь не ограничивается вопросами работы электронной почты. -- FSF associate member #7257 http://am-1.org/~ivan/7D17 4A59 6A21 3D97 6DDB
Re: Exim, DKIM, mailing lists
> Eugene Berdnikovwrites: > On Wed, Oct 04, 2017 at 05:25:26PM +, Ivan Shmakov wrote: > Eugene Berdnikov writes: > >>> По моему скромному мнению, для рассылок следует ограничиться >>> подписью заголовков From, To, Cc, Date и Message-Id, плюс, >>> возможно, Reply-To, In-Reply-To и References. >> Задача определения, идет ли письмо в рассылку или нет, не кажется >> мне тривиальной. > Ну и решать её незачем. Просто не нужно тянуть в подпись разный > мусор, тогда везде будет меньше проблем, в том числе в рассылках. «Мусор» не нужно тянуть в заголовок вовсе. Вот только не уверен, что это относится к, e. g., List-*. >>> При этом не следует подписывать тело (body). >> Прошу прощения? Другими словами, предоставить злоумышленнику >> возможность отправить условный «$$$ make money fast $$$» с моим >> заголовком и /действительной/ подписью моего MTA? > Злоумышленник будет больше озадачен тем, как подделать обратный адрес > на транспортном уровне, т. е. в envelope_from. Потому как MTA именно > его обычно проверяют — применяют SPF, грейлистинг и т. д. А в чем собственно проблема? Вот как раз год назад стал я получать нежелательную корреспонденцию со всяческих cameraforme.ru, network-asp.ru, lambdafsu.ru, …, school38.bid, etc. — со вполне себе действительными SPF. И, к слову, DKIM. [1] [1] news:87vax8xfdm@violet.siamics.net SPF? DKIM? spammers can do them too // news:comp.mail.misc > А те, кто ведётся на «make money fast», они не только про DKIM ничего > не слышали, они вообще не догадываются, что в письме может быть > какая-то ложь. :) Разве это важно? Если десять пользователей узла отметят письма с @abuse.example.invalid как spam, то можно надеяться, что автоклассификатор отметит корреспонденцию с того же домена следующим ста самостоятельно. Другое дело, что узлам с тремя пользователями (или же без работающих автоклассификаторов) извлечь пользу из DKIM уже ощутимо сложнее. Или? […] >> Если рассылка вносит сколь угодно существенные изменения, я так >> думаю, ее администратор уже вполне может взять на себя >> ответственность за распространение пересылаемых сообщений и >> настроить их подписывание ключом своего узла. > Достаточно просто снести нахрен все заголовки DKIM из входящего > письма перед форвардом в рассылку. Есть подозрение, что отсутствие DKIM-подписей может идти вразрез с рекомендациями некоторых популярных почтовых служб. А значит такое поведение чревато массовым попаданием сообщений в Spam. (Из-за чего я и озадачился поддержкой DKIM, IIRC.) А значит необходимо либо сохранять исходную подпись (что, в свою очередь, предполагает достаточно консервативный подход к правке транзитных сообщений), либо озаботиться созданием собственной подписи (и со спокойной совестью добавлять [LIST] в Subject:, «unsubscribe» в тело, не говоря уже о рекламе…) > Но мы ведь сейчас обсуждаем что делать если админ шлюза даже этим не > озаботился. В свое время, администраторы рассылки по SWI Prolog не справились с DKIM. В итоге, оная стала «группой Google.» -- FSF associate member #7257 np. Absolution — Makkon 7D17 4A59 6A21 3D97 6DDB
Re: Exim, DKIM, mailing lists
В сообщении от [Чт 2017-10-05 18:17 +0300] Иван Лохпишет: > On Thu, Oct 05, 2017 at 01:33:31PM +0300, Andrey Jr. Melnikov wrote: > > > То, что менеджер почтовых рассылок модифицирует тему и тело письма ??? > > > совершенно нормально. Как, кстати, и то, что четко помечает рассылки ??? > > > тоже. > > Совершенно ненормально. Письмо может быть подписано/зашиврованно PGP. > > На то есть multipart/mixed У вас проблемы с DKIM, у меня выдает «invalid (public key: not available)». Возможно селектор другой. -- Коротаев Руслан https://blog.kr.pp.ru smime.p7s Description: S/MIME cryptographic signature
Re: Exim, DKIM, mailing lists
On Thu, Oct 05, 2017 at 01:33:31PM +0300, Andrey Jr. Melnikov wrote: > > То, что менеджер почтовых рассылок модифицирует тему и тело письма ??? > > совершенно нормально. Как, кстати, и то, что четко помечает рассылки ??? > > тоже. > Совершенно ненормально. Письмо может быть подписано/зашиврованно PGP. На то есть multipart/mixed > Менеджер почтовой расслки должен отвечать за 2 вещи - знать кому рассылать и > уметь подписывать/отписывать. Лезть в письмо - он не должен.
Re: Exim, DKIM, mailing lists
Иван Лохwrote: > On Thu, Oct 05, 2017 at 11:48:18AM +0300, Andrey Jr. Melnikov wrote: > > Нет, надо рассылочный софт лезущий в Subject/Body выкидывать. 21 век на > > дворе, всё что может читать почту научилось фильтровать по заголовкам. > > Всё что до сих пор не научилось - в утиль. > А пользователей, которые не могут отписаться от рассылки не прочитав > инструкцию в футере письма куда? В вконтактик/фейсбучек, где им самое место. Там нету этих страшных спамов, почтов и рассылков. А есть котэги и видосики. Впрочем, гмылы/яндексы давно имеют кнопку "отписаться", а тех, кто ползуется своим MUA и MTA - это явно не касается. > То, что менеджер почтовых рассылок модифицирует тему и тело письма ??? > совершенно нормально. Как, кстати, и то, что четко помечает рассылки ??? > тоже. Совершенно ненормально. Письмо может быть подписано/зашиврованно PGP. Менеджер почтовой расслки должен отвечать за 2 вещи - знать кому рассылать и уметь подписывать/отписывать. Лезть в письмо - он не должен.
Re: Exim, DKIM, mailing lists
On Thu, Oct 05, 2017 at 11:48:18AM +0300, Andrey Jr. Melnikov wrote: > Нет, надо рассылочный софт лезущий в Subject/Body выкидывать. 21 век на > дворе, всё что может читать почту научилось фильтровать по заголовкам. > Всё что до сих пор не научилось - в утиль. А пользователей, которые не могут отписаться от рассылки не прочитав инструкцию в футере письма куда? То, что менеджер почтовых рассылок модифицирует тему и тело письма — совершенно нормально. Как, кстати, и то, что четко помечает рассылки — тоже. В действительности, вреда от тронувшихся от перенапряжения борцов со спамом больше чем от спама.
Re: Exim, DKIM, mailing lists
Eugene Berdnikovwrote: > On Wed, Oct 04, 2017 at 11:31:08PM +0300, Andrey Jr. Melnikov wrote: > > Eugene Berdnikov wrote: > > > On Wed, Oct 04, 2017 at 05:25:26PM +, Ivan Shmakov wrote: > > > > > Eugene Berdnikov writes: > > > > > По моему скромному мнению, для рассылок следует ограничиться > > > > > подписью заголовков From, To, Cc, Date и Message-Id, плюс, возможно, > > > > > Reply-To, In-Reply-To и References. > > > > > > > > Задача определения, идет ли письмо в рассылку или нет, не > > > > кажется мне тривиальной. > > > Ну и решать её незачем. Просто не нужно тянуть в подпись разный мусор, > > > тогда везде будет меньше проблем, в том числе в рассылках. > > > > Даа, далека криптография от народа, очень далека. > Да не, криптография уже близка: у нас, например, mail.ru и yandex.ru уже > подписывают письма, и это легко включается для корпоративных доменов. Осталось еще кому-то с выражением прочитать админам яндекса RFC6376 про DKIM, в особенности пункт 5.3 и может тогда можно начинать верить ихним подписям. > > А вот письмо, которое в предложенном тобой варианте > > будет как-то подписано тобой, видоизмененнное до "слезных расказов дочери > > старшего инструктора организации запрещенной в россии (тм)" может больно > > стукнуть. И ведь не отмажешься - подписи твои и верные. > Несколько заголовков мои, а тело-то не подписано. :) Но да, убедили, > что это не вариант и нужно полностью исключать DKIM для рассылок, > которые модифицируют тело и/или Subject. Нет, надо рассылочный софт лезущий в Subject/Body выкидывать. 21 век на дворе, всё что может читать почту научилось фильтровать по заголовкам. Всё что до сих пор не научилось - в утиль.
Re: Exim, DKIM, mailing lists
On Wed, Oct 04, 2017 at 11:31:08PM +0300, Andrey Jr. Melnikov wrote: > Eugene Berdnikovwrote: > > On Wed, Oct 04, 2017 at 05:25:26PM +, Ivan Shmakov wrote: > > > > Eugene Berdnikov writes: > > > > По моему скромному мнению, для рассылок следует ограничиться > > > > подписью заголовков From, To, Cc, Date и Message-Id, плюс, возможно, > > > > Reply-To, In-Reply-To и References. > > > > > > Задача определения, идет ли письмо в рассылку или нет, не > > > кажется мне тривиальной. > > Ну и решать её незачем. Просто не нужно тянуть в подпись разный мусор, > > тогда везде будет меньше проблем, в том числе в рассылках. > > Даа, далека криптография от народа, очень далека. Да не, криптография уже близка: у нас, например, mail.ru и yandex.ru уже подписывают письма, и это легко включается для корпоративных доменов. > А вот письмо, которое в предложенном тобой варианте > будет как-то подписано тобой, видоизмененнное до "слезных расказов дочери > старшего инструктора организации запрещенной в россии (тм)" может больно > стукнуть. И ведь не отмажешься - подписи твои и верные. Несколько заголовков мои, а тело-то не подписано. :) Но да, убедили, что это не вариант и нужно полностью исключать DKIM для рассылок, которые модифицируют тело и/или Subject. -- Eugene Berdnikov
Re: exim и greylist (!DKIM)
Eugene Berdnikovwrote: > On Sun, Oct 01, 2017 at 11:23:03PM +0300, yuri.nefe...@gmail.com wrote: > > p.s. У меня есть несколько знакомых с адресами от yahoo. > > Почту они там завели еще в прошлом веке и почему то не видят > > причин ее менять. [...] > Правда, это не повод банить Yahoo, как предлагают здесь экстремисты. > Но повод задуматься о том, стоит ли им пользоваться. После прочтения таких новостей https://techcrunch.com/2017/10/03/yahoo-says-all-3b-accounts-were-impacted-by-2013-breach-not-1b-as-thought/ становиться понятно, откуда там столько спама. Впрочем, если учесть, что yahoo древнейшная почтовая помойка и юзерей с паролями 123456 и qwerty там тысячами уже было.
Re: Exim, DKIM, mailing lists
Eugene Berdnikovwrote: > On Wed, Oct 04, 2017 at 05:25:26PM +, Ivan Shmakov wrote: > > > Eugene Berdnikov writes: > > > По моему скромному мнению, для рассылок следует ограничиться > > > подписью заголовков From, To, Cc, Date и Message-Id, плюс, возможно, > > > Reply-To, In-Reply-To и References. > > > > Задача определения, идет ли письмо в рассылку или нет, не > > кажется мне тривиальной. > Ну и решать её незачем. Просто не нужно тянуть в подпись разный мусор, > тогда везде будет меньше проблем, в том числе в рассылках. Даа, далека криптография от народа, очень далека. > > > При этом не следует подписывать тело (body). > > > > Прошу прощения? Другими словами, предоставить злоумышленнику > > возможность отправить условный ??$$$ make money fast $$$?? с моим > > заголовком и /действительной/ подписью моего MTA? > Злоумышленник будет больше озадачен тем, как подделать обратный адрес > на транспортном уровне, т.е. в envelope_from. Потому как MTA именно его > обычно проверяют -- применяют SPF, грейлистинг и т.д. А те, кто ведётся > на "make money fast", они не только про DKIM ничего не слышали, они > вообще не догадываются, что в письме может быть какая-то ложь. :) Да не вперся он никому тот envelope-from. Нужен только mailer-daemon'у чтоб отлуп было отправить. А вот письмо, которое в предложенном тобой варианте будет как-то подписано тобой, видоизмененнное до "слезных расказов дочери старшего инструктора организации запрещенной в россии (тм)" может больно стукнуть. И ведь не отмажешься - подписи твои и верные. > > > Все остальные заголовки могут быть модифицированы: в Subject иногда > > > префиксом [..] вставляется название списка, шлюз также может поменять > > > Content-Transfer-Encoding и добавить в тело футер разными способами, > > > в том числе изменив Content-type (некоторые шлюзы так делают, если > > > тело содержит HTML). > > > > Если рассылка вносит сколь угодно существенные изменения, > > я так думаю, ее администратор уже вполне может взять на себя > > ответственность за распространение пересылаемых сообщений и > > настроить их подписывание ключом своего узла. > Достаточно просто снести нахрен все заголовки DKIM из входящего письма > перед форвардом в рассылку. Но мы ведь сейчас обсуждаем что делать > если админ шлюза даже этим не озаботился. Достаточно поставить DKIM-aware софт, который бережно завернет всё письмо в отдельный контенйнер и разошлет. Их таких есть, но в дебиане - стааабииильность, даа!
Re: Exim, DKIM, mailing lists
On Wed, Oct 04, 2017 at 05:25:26PM +, Ivan Shmakov wrote: > > Eugene Berdnikovwrites: > > По моему скромному мнению, для рассылок следует ограничиться > > подписью заголовков From, To, Cc, Date и Message-Id, плюс, возможно, > > Reply-To, In-Reply-To и References. > > Задача определения, идет ли письмо в рассылку или нет, не > кажется мне тривиальной. Ну и решать её незачем. Просто не нужно тянуть в подпись разный мусор, тогда везде будет меньше проблем, в том числе в рассылках. > > При этом не следует подписывать тело (body). > > Прошу прощения? Другими словами, предоставить злоумышленнику > возможность отправить условный ??$$$ make money fast $$$?? с моим > заголовком и /действительной/ подписью моего MTA? Злоумышленник будет больше озадачен тем, как подделать обратный адрес на транспортном уровне, т.е. в envelope_from. Потому как MTA именно его обычно проверяют -- применяют SPF, грейлистинг и т.д. А те, кто ведётся на "make money fast", они не только про DKIM ничего не слышали, они вообще не догадываются, что в письме может быть какая-то ложь. :) > > Все остальные заголовки могут быть модифицированы: в Subject иногда > > префиксом [..] вставляется название списка, шлюз также может поменять > > Content-Transfer-Encoding и добавить в тело футер разными способами, > > в том числе изменив Content-type (некоторые шлюзы так делают, если > > тело содержит HTML). > > Если рассылка вносит сколь угодно существенные изменения, > я так думаю, ее администратор уже вполне может взять на себя > ответственность за распространение пересылаемых сообщений и > настроить их подписывание ключом своего узла. Достаточно просто снести нахрен все заголовки DKIM из входящего письма перед форвардом в рассылку. Но мы ведь сейчас обсуждаем что делать если админ шлюза даже этим не озаботился. -- Eugene Berdnikov
Re: Exim, DKIM, mailing lists
>>>>> Eugene Berdnikov <b...@protva.ru> writes: >>>>> On Wed, Oct 04, 2017 at 02:25:23PM +, Ivan Shmakov wrote: >> DKIM_SIGN_HEADERS = >> Content-Transfer-Encoding:Content-Type:MIME-Version >> :Message-ID:In-Reply-To:Date:References:Subject:To:From:Reply-To:Cc >> :Content-ID:Content-Description > По моему скромному мнению, для рассылок следует ограничиться > подписью заголовков From, To, Cc, Date и Message-Id, плюс, возможно, > Reply-To, In-Reply-To и References. Задача определения, идет ли письмо в рассылку или нет, не кажется мне тривиальной. Но если есть конкретные примеры настройки Exim для этого — я не против на них взглянуть. > При этом не следует подписывать тело (body). Прошу прощения? Другими словами, предоставить злоумышленнику возможность отправить условный «$$$ make money fast $$$» с моим заголовком и /действительной/ подписью моего MTA? > Все остальные заголовки могут быть модифицированы: в Subject иногда > префиксом [..] вставляется название списка, шлюз также может поменять > Content-Transfer-Encoding и добавить в тело футер разными способами, > в том числе изменив Content-type (некоторые шлюзы так делают, если > тело содержит HTML). Если рассылка вносит сколь угодно существенные изменения, я так думаю, ее администратор уже вполне может взять на себя ответственность за распространение пересылаемых сообщений и настроить их подписывание ключом своего узла. -- FSF associate member #7257 http://am-1.org/~ivan/7D17 4A59 6A21 3D97 6DDB
Re: exim и greylist (!DKIM)
> Eugene Berdnikovwrites: […] > Правда, это не повод банить Yahoo, как предлагают здесь Не вполне понимаю, о каких предложениях идет речь, но JFTR: я лишь привел информацию о подходе, которого фактически придерживаюсь. Без каких-либо рассуждений «за» или «против». Надо сказать, что я в целом делаю много того, чего не рекомендую. Вот, к примеру, не далее, как в июне, обновил Debian через версию… > экстремисты. Это такой намек на то, что предлагающим следует давать «от двух до шести»? > Но повод задуматься о том, стоит ли им пользоваться. Поддерживаю. -- FSF associate member #7257 http://am-1.org/~ivan/7D17 4A59 6A21 3D97 6DDB
Re: Exim, DKIM, mailing lists
On Wed, Oct 04, 2017 at 02:25:23PM +, Ivan Shmakov wrote: > DKIM_SIGN_HEADERS = > Content-Transfer-Encoding:Content-Type:MIME-Version:Message-ID:In-Reply-To:Date:References:Subject:To:From:Reply-To:Cc:Content-ID:Content-Description По моему скромному мнению, для рассылок следует ограничиться подписью заголовков From, To, Cc, Date и Message-Id, плюс, возможно, Reply-To, In-Reply-To и References. При этом не следует подписывать тело (body). Все остальные заголовки могут быть модифицированы: в Subject иногда префиксом [..] вставляется название списка, шлюз также может поменять Content-Transfer-Encoding и добавить в тело футер разными способами, в том числе изменив Content-type (некоторые шлюзы так делают, если тело содержит HTML). -- Eugene Berdnikov
Re: Exim, DKIM, mailing lists
Ivan Shmakov <i...@siamics.net> wrote: [...] > Действительно, я не задавал значения для DKIM_SIGN_HEADERS > (dkim_sign_headers) в конфигурации Exim. (Фрагмент которой на > всякий случай привожу отдельной MIME-частью.) Согласно > документации [1], в этом случае используется рекомендуемый > RFC 4871 (ныне obsolete) список заголовков ??? который включает > в том числе Sender:, а равно некоторые Resent- и List-. > После просмотра RFC 6376, RFC 6377 на предмет текущих > рекомендаций у меня сложилось впечатление, что такого рода > заголовки действительно следует включать в подпись главным > образом при их наличии в сообщении. Любопытно, есть ли готовые > примеры настройки Exim таким образом? Есть. Стереть эту ересь из конфига. В момент подписи письма - будут использованны все заголовки, которые ниже подписи, иначе это какая-то профанация а не подпись. > Можно поспорить, однако, что их может быть полезно включать и > в противном случае ??? если заведомо известно, что сообщение не > предназначено для каких-либо рассылок. > (Так или иначе, полагаю, нынешнее умолчание просит bug report.) Два. Первый на дефолтный конфиг эксима в дебане, второй - на софт списка рассылки, который ниразу не DKIM-aware.
Exim, DKIM, mailing lists
>>>>> Eugene Berdnikov <b...@protva.ru> writes: >>>>> On Tue, Oct 03, 2017 at 01:50:27PM +, Ivan Shmakov wrote: >>>>> Руслан Коротаев <subscr...@mail.kr.pp.ru> writes: >>> Не следил за дискуссией по этой теме, но вижу что есть слово DKIM, >>> поэтому счел уместным об этом написать. >> ACK, благодарю за информацию. Похоже, однако, что в этом случае >> проблема в рассылке. (Или, возможно, в том, как конкретно >> DKIM-подписи с моего MTA проходят через рассылку.) > Посмотрите список заголовков, подписанный вашим DKIM. Там есть > такие, которые заведомо модифицируются шлюзом рассылки, например > Resent-From: и Resent-Message-Id:. Подобные заголовки уместно > включать в подпись лишь на выделенном для рассылки рилее. ACK, благодарю! Действительно, я не задавал значения для DKIM_SIGN_HEADERS (dkim_sign_headers) в конфигурации Exim. (Фрагмент которой на всякий случай привожу отдельной MIME-частью.) Согласно документации [1], в этом случае используется рекомендуемый RFC 4871 (ныне obsolete) список заголовков — который включает в том числе Sender:, а равно некоторые Resent- и List-. После просмотра RFC 6376, RFC 6377 на предмет текущих рекомендаций у меня сложилось впечатление, что такого рода заголовки действительно следует включать в подпись главным образом при их наличии в сообщении. Любопытно, есть ли готовые примеры настройки Exim таким образом? Можно поспорить, однако, что их может быть полезно включать и в противном случае — если заведомо известно, что сообщение не предназначено для каких-либо рассылок. (Так или иначе, полагаю, нынешнее умолчание просит bug report.) [1] http://exim.org/exim-html-current/doc/html/spec_html/ch-support_for_dkim_domainkeys_identified_mail.html -- FSF associate member #7257 http://am-1.org/~ivan/7D17 4A59 6A21 3D97 6DDB ### main/00_local_dkim -*- Default-Generic -*- DKIM_DOMAIN = ${lookup {$sender_address_domain} \ partial-lsearch {CONFDIR/dkim_sign_domains} \ {${extract {d} {$value} \ {$value} {$sender_address_domain DKIM_SELECTOR = ${lookup {$dkim_domain} \ lsearch {CONFDIR/dkim_sign_domains} \ {${extract {s} {$value} {$value} fail}}} DKIM_PRIVATE_KEY= CONFDIR/dkim.$dkim_domain.$dkim_selector.key # DKIM_SIGN_HEADERS = Content-Transfer-Encoding:Content-Type:MIME-Version:Message-ID:In-Reply-To:Date:Sender:References:Subject:To:From:Reply-To:Cc:Content-ID:Content-Description:Resent-Date:Resent-From:Resent-Sender:Resent-To:Resent-Cc:Resent-Message-ID:List-Id:List-Help:List-Unsubscribe:List-Subscribe:List-Post:List-Owner:List-Archive DKIM_SIGN_HEADERS = Content-Transfer-Encoding:Content-Type:MIME-Version:Message-ID:In-Reply-To:Date:References:Subject:To:From:Reply-To:Cc:Content-ID:Content-Description
Re: exim и greylist (!DKIM)
Ivan Shmakov <i...@siamics.net> wrote: > >>>>> Andrey Jr Melnikov <temnota...@gmail.com> writes: > >>>>> Eugene Berdnikov <b...@protva.ru> wrote: > >>>>> On Mon, Sep 18, 2017 at 11:03:19PM +0300, Andrey Jr. Melnikov wrote: [???] > > Я тебе открою страшную тайну ??? со времен ??центра американского > > английского?? обычные MTA не применялись в спамометах. Они слишком > > умные и тормозные. > Не уверен. > Был тут один настойчивый нарушитель. Последняя активность была > с адресов AS24875 (вроде 77.220.213.13 IN PTR fastmstart.bid., > 185.213.209.120 IN PTR valdis-k.bid., etc.); до этого ??? AS48666, > AS201094. > Было очень похоже, что на используемых IP работал именно > полновесный MTA. (Если верить 220 ??? Exim.) То, что рассылает письма и то что отвечает на 25 порту - это обычно разные вещи. Да и эксим - хреновый эмиттер, он как ресивер хорош.
Re: exim и greylist (!DKIM)
Ivan Shmakov -> debian-russian@lists.debian.org @ Tue, 03 Oct 2017 11:33:44 +: >> Я же письмо не для себя писал. Оно пропало для получателя. Как то >> даже не по себе, объяснять такие простые вещи. > 1. Был ли получатель заинтересован в получении этого письма? > Поскольку смысл борьбы с нежелательной корреспонденцией как > раз и состоит в том, чтобы /некоторые/ письма «пропадали» для > получателя. > 2. Если недоставка конкретного письма является проблемой, > получатель всегда может обратиться к администратору узла с > просьбой ее решить. Тут есть очевидная проблема: получатель _своевременно_ не знает, что письмо было ему отправлено, поскольку он его не получил. При молчаливом выбрасывании письма почтовкой у отправителя сходная проблема: он тоже _своевременно_ не знает, что его письмо не было доставлено.
Re: exim и greylist (!DKIM)
On Tue, Oct 03, 2017 at 01:50:27PM +, Ivan Shmakov wrote: > > Руслан Коротаевwrites: > > Не следил за дискуссией по этой теме, но вижу что есть слово DKIM, > > поэтому счел уместным об этом написать. > > ACK, благодарю за информацию. Похоже, однако, что в этом случае > проблема в рассылке. (Или, возможно, в том, как конкретно > DKIM-подписи с моего MTA проходят через рассылку.) Посмотрите список заголовков, подписанный вашим DKIM. Там есть такие, которые заведомо модифицируются шлюзом рассылки, например Resent-From: и Resent-Message-Id:. Подобные заголовки уместно включать в подпись лишь на выделенном для рассылки рилее. -- Eugene Berdnikov
Re: exim и greylist (!DKIM)
> Руслан Коротаевwrites: > Ivan Shmakov пишет: >> 1. Был ли получатель заинтересован в получении этого письма? >> Поскольку смысл борьбы с нежелательной корреспонденцией как раз и >> состоит в том, чтобы /некоторые/ письма «пропадали» для получателя. > У вас проблемы с DKIM, у меня при проверке выдает «fail (message has > been altered)», уже несколько писем таких было. Его или отключить или > настроить, иначе ваши письма могут пропадать, если у получателей > настроена строгая проверка DKIM. > Не следил за дискуссией по этой теме, но вижу что есть слово DKIM, > поэтому счел уместным об этом написать. ACK, благодарю за информацию. Похоже, однако, что в этом случае проблема в рассылке. (Или, возможно, в том, как конкретно DKIM-подписи с моего MTA проходят через рассылку.) Отправил проверочное письмо на check-auth at verifier dot port25 dot com ($ swaks --server=ip6-localhost --from=ivan@XXX --header=Subject:" test " --to=check-auth@YYY) и получил в ответ: DKIM check details: -- Result: pass (matches From: i...@siamics.net) Кроме того, в заголовке сообщения в архиве рассылки [1] обнаруживаю: X-Virus-Scanned: at lists.debian.org with policy bank lang-slavic X-Amavis-Spam-Status: No, score=-1 tagged_above=-1 required=5.3 tests=[BAYES_00=-2, DKIM_SIGNED=0.1, DKIM_VALID=-0.1, DKIM_VALID_AU=-0.1, FOURLA=0.1, GMAIL=1] autolearn=no autolearn_force=no Так что по меньшей мере lists.debian.org эту подпись принял. [1] nntp://news.gmane.org/gmane.linux.debian.user.russian/126685 -- FSF associate member #7257 http://am-1.org/~ivan/7D17 4A59 6A21 3D97 6DDB
Re: exim и greylist (!DKIM)
В сообщении от [Вт 2017-10-03 11:33 +] Ivan Shmakovпишет: > 1. Был ли получатель заинтересован в получении этого письма? >Поскольку смысл борьбы с нежелательной корреспонденцией как >раз и состоит в том, чтобы /некоторые/ письма «пропадали» для >получателя. У вас проблемы с DKIM, у меня при проверке выдает «fail (message has been altered)», уже несколько писем таких было. Его или отключить или настроить, иначе ваши письма могут пропадать, если у получателей настроена строгая проверка DKIM. Не следил за дискуссией по этой теме, но вижу что есть слово DKIM, поэтому счел уместным об этом написать. -- Коротаев Руслан https://blog.kr.pp.ru smime.p7s Description: S/MIME cryptographic signature
Re: exim и greylist (!DKIM)
> yuri nefedovwrites: > On Mon, 2 Oct 2017, Ivan Shmakov wrote: >>> Такое ощущение, что труд по написанию пропавшего письма, это такая >>> мелочь >> Пропавшего? Так ведь во всех приличных MUA есть «отправленные»? > Я же письмо не для себя писал. Оно пропало для получателя. Как то > даже не по себе, объяснять такие простые вещи. 1. Был ли получатель заинтересован в получении этого письма? Поскольку смысл борьбы с нежелательной корреспонденцией как раз и состоит в том, чтобы /некоторые/ письма «пропадали» для получателя. 2. Если недоставка конкретного письма является проблемой, получатель всегда может обратиться к администратору узла с просьбой ее решить. 3. При невозможности (нежелании) решать проблему ответственным лицом — получатель как правило может найти иной (в частности — «бесплатный») почтовый ящик. 4. Отправитель, в свою очередь, может обратиться к администраторам /своего/ почтового узла, с просьбой внести поправки в их политику (или практику ее применения), чтобы исключить случаи злоупотреблений — которые обычно и приводят к включению почтовых узлов в «черные списки». 5. Иначе, отправитель так же может найти иной почтовый узел. 6. Наконец, отправитель может найти иной способ связаться с получателем. Подчеркну, что в этом случае (как, впрочем, и в предыдущих), «труд по написанию» не оказывается напрасным — коль скоро письмо можно переслать с нового адреса отправителя. (Или на новый адрес получателя. Или даже зачитать по телефону.) Я понимаю, что в идеальном мире электронная почта работает несколько более надежно. OTOH, в оном не возникает и проблемы нежелательной корреспонденции. -- FSF associate member #7257 http://am-1.org/~ivan/7D17 4A59 6A21 3D97 6DDB
Re: exim и greylist (!DKIM)
On Mon, 2 Oct 2017, Ivan Shmakov wrote: > Такое ощущение, что труд по написанию пропавшего письма, это такая > мелочь Пропавшего? Так ведь во всех приличных MUA есть «отправленные»? Я же письмо не для себя писал. Оно пропало для получателя. Как то даже не по себе, объяснять такие простые вещи. Ю.
Re: exim и greylist (!DKIM)
> yuri nefedovwrites: > On Sun, 1 Oct 2017, Ivan Shmakov wrote: >> Адреса Yahoo пришлось перечислить в local_host_blacklist, поскольку >> ценной корреспонденции с них я не припоминаю вовсе. > Вот, вот. Вот так же админы одного из серверов решили, что подлый > жмаил исчадье спама. Письмо с него просто не дошло. Справедливости ради, с Gmail тоже идет немало нежелательных сообщений. Но вот почему-то с Yahoo — больше. Чем-то он, видимо, привлекателен для данного класса «пользователей». При этом, ясно, что едва ли не единственный способ повлиять на их политику (предполагая, что именно в ней причина) — не принимать от них почту. >> ** Message not delivered ** >> Learn more here: http://www.sorbs.net/lookup.shtml?209.85.215.42 > Такое ощущение, что труд по написанию пропавшего письма, это такая > мелочь Пропавшего? Так ведь во всех приличных MUA есть «отправленные»? […] > В личной беседе я узнал, что email это пережиток прошлого и мне надо > было позвонить по телефону… Известная проблема. Задолжал я тут порядка 2 USD одной компании. Попытался получить доступ к «личному кабинету» — отказ. («Восстановление пароля» проходит, но не далее.) Контактных email не обнаружилось; на «подобранные» реакции не последовало. Видимо, не так уж им нужны мои деньги. > p.s. У меня есть несколько знакомых с адресами от yahoo. Почту они > там завели еще в прошлом веке и почему-то не видят причин ее менять. У порядка трех пользователей, которых обслуживает мой MTA, таких знакомых, насколько мне известно, — нет. -- FSF associate member #7257 http://am-1.org/~ivan/7D17 4A59 6A21 3D97 6DDB
Re: exim и greylist (!DKIM)
On Sun, Oct 01, 2017 at 11:23:03PM +0300, yuri.nefe...@gmail.com wrote: > p.s. У меня есть несколько знакомых с адресами от yahoo. > Почту они там завели еще в прошлом веке и почему то не видят > причин ее менять. Помнится, в начале этого года один товарищ в exim-users играл с Yahoo в игру "Угадай, отчего режектится твой мейл". :) Ему предлагали искать причину методом последовательного исключения хедеров, так как набранный в telnet'е тестовый мейл успешно доставлялся. Не знаю, чем его изыскания закончились, но по моему мнению почта на *публичный* хостинг должна проходить, а не отскакивать, даже если классификатор посчитал её спамом. За ним приходили другие, плакались на yahoo-шный SSL для SMTP. Беда, многие MTA не умеют при ошибке ssl-ного хендшейка откатываться на plain SMTP, и возвращают мейл отправителю. Правда, это не повод банить Yahoo, как предлагают здесь экстремисты. Но повод задуматься о том, стоит ли им пользоваться. -- Eugene Berdnikov
Re: exim и greylist (!DKIM)
On Sun, 1 Oct 2017, Ivan Shmakov wrote: Адреса Yahoo пришлось перечислить в local_host_blacklist, поскольку ценной корреспонденции с них я не припоминаю вовсе. Вот, вот. Вот так же админы одного из серверов решили, что подлый жмаил исчадье спама. Письмо с него просто не дошло. ** Message not delivered ** Learn more here: http://www.sorbs.net/lookup.shtml?209.85.215.42 Такое ощущение, что труд по написанию пропавшего письма, это такая мелочь по сравнения с доблестным трудом по отражению члено-сисько увеличителей с возможностью бесплатно обогатиться и помочь родственникам принца Имена-рек. В личной беседе я узнал, что email это пережиток прошлого и мне надо было позвонить по телефону... Ю. p.s. У меня есть несколько знакомых с адресами от yahoo. Почту они там завели еще в прошлом веке и почему то не видят причин ее менять.
Re: exim и greylist (!DKIM)
>>>>> Andrey Jr Melnikov <temnota...@gmail.com> writes: >>>>> Eugene Berdnikov <b...@protva.ru> wrote: >>>>> On Mon, Sep 18, 2017 at 11:03:19PM +0300, Andrey Jr. Melnikov wrote: […] >>> Впрочем, я тебя расстрою — еще больше спама ходит с валидным DKIM. >>> Спаммеры, они не исповедуют принцип «работает — не тронь», они все >>> новомодные фичи внедряют на раз-два не задумываясь, особенно если >>> это увеличивает количество проскочивших через фильтры писем. >> А вот с этим полностью согласен. И добавлю, что одной из таких фич >> является применение полноценных MTA для рассылки. Так что те письма, >> которые преодолевают традиционный грейлистинг (на стадии RCPT), с >> гораздо большей вероятностью могут быть иметь валидные DKIM/SPF и >> даже нижние Received:, имитирующие рилеи домена, нарисованного во >> From:, чем те письма, которые через грейлистинг на стадии RCPT не >> прошли. > Я тебе открою страшную тайну — со времен «центра американского > английского» обычные MTA не применялись в спамометах. Они слишком > умные и тормозные. Не уверен. Был тут один настойчивый нарушитель. Последняя активность была с адресов AS24875 (вроде 77.220.213.13 IN PTR fastmstart.bid., 185.213.209.120 IN PTR valdis-k.bid., etc.); до этого — AS48666, AS201094. Было очень похоже, что на используемых IP работал именно полновесный MTA. (Если верить 220 — Exim.) > А то, что пробивает грейлистинг на стадии rcpt to — умнее, > т. к. похоже парсит ответ и приходит ровно через 5/10 минут после. То, что мне приходило в обход greylisting, в основном шло через бесплатные ресурсы — вроде Google Mail, Yahoo, etc. Адреса Yahoo пришлось перечислить в local_host_blacklist, поскольку ценной корреспонденции с них я не припоминаю вовсе. […] -- FSF associate member #7257 http://am-1.org/~ivan/7D17 4A59 6A21 3D97 6DDB
Re: exim и greylist (!DKIM)
On 09/19/17 17:48, Eugene Berdnikov wrote: > On Tue, Sep 19, 2017 at 12:13:30PM +0300, Andrey Jr. Melnikov wrote: >> Eugene Berdnikovwrote: >>> Ну а поскольку грейлистинг на стадии RCPT убивает 97-98% спама, то >>> переность его на стадию DATA ради привязки к DKIM нет никакого смысла. >> Да не убивает он ничего уже давно, как и SPF. Так, только делает вид. > > А вот эффект от проверки SPF действительно весьма скромный. Сейчас в чести другие акронимы: DKIM, DMARC...
Re: exim и greylist (!DKIM)
On Tue, Sep 19, 2017 at 12:13:30PM +0300, Andrey Jr. Melnikov wrote: > Eugene Berdnikovwrote: > > Ну а поскольку грейлистинг на стадии RCPT убивает 97-98% спама, то > > переность его на стадию DATA ради привязки к DKIM нет никакого смысла. > Да не убивает он ничего уже давно, как и SPF. Так, только делает вид. # greylist stats root@passat 0:08 Statistics since Tue Feb 13 16:22:00 2007 (3871 days and 8 hours ago) - 4202 items, matching 326526 requests, are currently whitelisted 0 items, matching 0 requests, are currently blacklisted 85 items, matching142 requests, are currently greylisted Of 16268935 items that were initially greylisted: - 1772014 ( 10.9%) became whitelisted - 14496921 ( 89.1%) expired from the greylist # greylist statsroot@typhoon 0:08 Statistics since Tue Feb 13 16:22:00 2007 (3871 days and 8 hours ago) - 3729 items, matching 336816 requests, are currently whitelisted 0 items, matching 0 requests, are currently blacklisted 61 items, matching113 requests, are currently greylisted Of 15201268 items that were initially greylisted: - 1714227 ( 11.3%) became whitelisted - 13487041 ( 88.7%) expired from the greylist # greylist statsroot@tornado 0:09 Statistics -- 3729 items, matching 350488 requests, are currently whitelisted 0 items, matching 0 requests, are currently blacklisted 61 items, matching113 requests, are currently greylisted Of 11104242 items that were initially greylisted: - 1328121 ( 12.0%) became whitelisted - 9776121 ( 88.0%) expired from the greylist # greylist statsroot@citrine 0:09 Statistics -- 3812 items, matching 374019 requests, are currently whitelisted 0 items, matching 0 requests, are currently blacklisted 63 items, matching115 requests, are currently greylisted Of 11206337 items that were initially greylisted: - 1339635 ( 12.0%) became whitelisted - 9866702 ( 88.0%) expired from the greylist Правда, тут не чистая статистика, а после выполнения sender verify. Так что подтвердить слова о 97-98% не могу, но утверждение о том, что грейлистинг "давно не работает", это явно преувеличение. :) А вот эффект от проверки SPF действительно весьма скромный. -- Eugene Berdnikov
Re: exim и greylist (!DKIM)
On 16:05 Tue 19 Sep , Sergey Matveev wrote: > *** Dmitry E. Oboukhov[2017-09-19 16:01]: >> хм, я ведь анализировал тот спам что сквозь грейлист прошел, а >> количество непропущенного спама не анализировал. > Я похоже не понял ваше предыдущее письмо и подумал что вы про > graylisting сказали что он не работает, а речь была про DKIM. > Лично я про DKIM сейчас ничего не могу сказать, так как когда-то > давно его проверял и видел что толку от этих проверок нет, как > и с SPF, и поэтому сейчас уже давно его отключил. я долго не настраивал DKIM на своем почтосервере (думал нафиг не надо). Столкнулся с тем что растет понемногу количество серверов которые НЕ принимают почту без DKIM. Когда попала пара ключевых (для меня) адресов в список "им я не могу написать", в итоге настроил себе DKIM. ну и вот теперь разглядываю в свете настроенного свой лист со спамом и вижу что если на валидный DKIM реагировать, то _кажется_ что можно (пока во вс. случае) отказаться от грейлиста для таких писем. -- . ''`.Dmitry E. Oboukhov : :’ : `. `~’ GPG key: 4096R/08EEA756 2014-08-30 `- 71ED ACFC 6801 0DD9 1AD1 9B86 8D1F 969A 08EE A756 signature.asc Description: PGP signature
Re: exim и greylist (!DKIM)
>>> Ну а поскольку грейлистинг на стадии RCPT убивает 97-98% спама, то >>> переность его на стадию DATA ради привязки к DKIM нет никакого смысла. >> Да не убивает он ничего уже давно, как и SPF. Так, только делает вид. > Не соглашусь. По своему личному опыту graylisting действительно убивает > огромное количество спама, очень вот вероятно что больше 90%. А SPF -- > согласен, мизерное количество. хм, я ведь анализировал тот спам что сквозь грейлист прошел, а количество непропущенного спама не анализировал. так вот из того спама что грейлист прошел на 1000 сообщений примерно 4-5 валидно подписанных DKIM (моя статистика). Вы думаете что те спамеры что не могут пробить greylist могут валидно подписать DKIM? Там же подпись с DNS еще увязана -- . ''`.Dmitry E. Oboukhov: :’ : `. `~’ GPG key: 4096R/08EEA756 2014-08-30 `- 71ED ACFC 6801 0DD9 1AD1 9B86 8D1F 969A 08EE A756 signature.asc Description: PGP signature
Re: exim и greylist (!DKIM)
*** Andrey Jr. Melnikov[2017-09-19 12:41]: >> Ну а поскольку грейлистинг на стадии RCPT убивает 97-98% спама, то >> переность его на стадию DATA ради привязки к DKIM нет никакого смысла. >Да не убивает он ничего уже давно, как и SPF. Так, только делает вид. Не соглашусь. По своему личному опыту graylisting действительно убивает огромное количество спама, очень вот вероятно что больше 90%. А SPF -- согласен, мизерное количество. -- Sergey Matveev (http://www.stargrave.org/) OpenPGP: CF60 E89A 5923 1E76 E263 6422 AE1A 8109 E498 57EF
Re: exim и greylist (!DKIM)
Eugene Berdnikov <b...@protva.ru> wrote: > On Mon, Sep 18, 2017 at 11:03:19PM +0300, Andrey Jr. Melnikov wrote: > > Dmitry E. Oboukhov <un...@debian.org> wrote: > > > [-- text/plain, кодировка quoted-printable, кодировка: utf-8, 29 строк --] > > > > > Имеется exim и greylistd. Все в целом работает норм, но иногда > > > задержки нормальной почты поддостают. > > > > > я полистал spam-detected от spamassassin и вижу, что 99.9% спама не > > > имеет DKIM/senderid. > > > Соответственно хочется письма имеющие DKIM/senderid не сплавлять в > > > грей а принимать с первого раза. > > > > > Как это грамотно настроить? > > Никак. > > Чтоб проверить DKIM письмо надо принять. А если ты его принял, то какой > > такой грейлистинг? > Ну, принять письмо ещё не значит его доставить, вот такой грейлистинг. Грейлистинг - это не принять. > И Exim это уникальный МТА, который позволяет нарисовать грейлистинг на > стадии DATA легко и просто. Правда, подход этот слегка хреноватый > в плане экономии трафика и, возможно, неадекватного поведения разных > там мелкомягких МТА на 45x после DATA, но в целом вполне себе. > Особенно если цель экономить время юзеров, при безлимитном трафике, > широких каналах и скучающих без майнеров cpu. :) Так и положи его в папочку \Junk и сотри через месяц. А юзер захочет - прочитает. Зато разборок - куда делась отправленная картинка с котиком из очередной бесплатной помойки - станет сразу меньше. > > Впрочем, я тебя расстрою - еще больше спама ходит с валидным DKIM. > > Спаммеры, они не исповедуют принцип "работает - не тронь", они все > > новомодные фичи внедряют на раз-два не задумываясь, особенно если это > > увеличивает количество проскочивших через фильтры писем. > А вот с этим полностью согласен. И добавлю, что одной из таких фич > является применение полноценных MTA для рассылки. Так что те письма, > которые преодолевают традиционный грейлистинг (на стадии RCPT), > с гораздо большей вероятностью могут быть иметь валидные DKIM/SPF и даже > нижние Received:, имитирующие рилеи домена, нарисованного во From:, чем > те письма, которые через грейлистинг на стадии RCPT не прошли. Я тебе открою страшную тайну - со времен "центра американского английского" обычные MTA не применялись в спамометах. Они слишком умные и тормозные. А то, что пробивает грейлистинг на стадии rctp to - умнее, т.к. похоже парсит ответ и приходит ровно через 5/10 минут после. > Ну а поскольку грейлистинг на стадии RCPT убивает 97-98% спама, то > переность его на стадию DATA ради привязки к DKIM нет никакого смысла. Да не убивает он ничего уже давно, как и SPF. Так, только делает вид.
Re: exim и greylist (!DKIM)
Михаил Касаджиков <ha...@h13online.net> wrote: > Andrey Jr. Melnikov <temnota...@gmail.com> писал(а) в своём письме Mon, 18 > Sep 2017 23:03:19 +0300: > > Dmitry E. Oboukhov <un...@debian.org> wrote: > >> [-- text/plain, кодировка quoted-printable, кодировка: utf-8, 29 строк --] > > > >> Имеется exim и greylistd. Все в целом работает норм, но иногда > >> задержки нормальной почты поддостают. > > > >> я полистал spam-detected от spamassassin и вижу, что 99.9% спама не > >> имеет DKIM/senderid. > >> Соответственно хочется письма имеющие DKIM/senderid не сплавлять в > >> грей а принимать с первого раза. > > > >> Как это грамотно настроить? > > Никак. > > Чтоб проверить DKIM письмо надо принять. А если ты его принял, то какой > > такой грейлистинг? > Ну, зато в ящике глаза мозолить не будет. Хотя, да, толку немного??? Предлогаю начать с выкидывания spamassassin в мусор. На дврое XXI век - а оно в 3х оставшихся русских кодировках не разбирается. Ну и до кучи - медленное, тормозное. Заменить на rspamd - он быстрее и как-то адекватнее фильтрует.
Re: exim и greylist (!DKIM)
On Mon, Sep 18, 2017 at 11:03:19PM +0300, Andrey Jr. Melnikov wrote: > Dmitry E. Oboukhov <un...@debian.org> wrote: > > [-- text/plain, кодировка quoted-printable, кодировка: utf-8, 29 строк --] > > > Имеется exim и greylistd. Все в целом работает норм, но иногда > > задержки нормальной почты поддостают. > > > я полистал spam-detected от spamassassin и вижу, что 99.9% спама не > > имеет DKIM/senderid. > > Соответственно хочется письма имеющие DKIM/senderid не сплавлять в > > грей а принимать с первого раза. > > > Как это грамотно настроить? > Никак. > Чтоб проверить DKIM письмо надо принять. А если ты его принял, то какой > такой грейлистинг? Ну, принять письмо ещё не значит его доставить, вот такой грейлистинг. И Exim это уникальный МТА, который позволяет нарисовать грейлистинг на стадии DATA легко и просто. Правда, подход этот слегка хреноватый в плане экономии трафика и, возможно, неадекватного поведения разных там мелкомягких МТА на 45x после DATA, но в целом вполне себе. Особенно если цель экономить время юзеров, при безлимитном трафике, широких каналах и скучающих без майнеров cpu. :) > Впрочем, я тебя расстрою - еще больше спама ходит с валидным DKIM. > Спаммеры, они не исповедуют принцип "работает - не тронь", они все > новомодные фичи внедряют на раз-два не задумываясь, особенно если это > увеличивает количество проскочивших через фильтры писем. А вот с этим полностью согласен. И добавлю, что одной из таких фич является применение полноценных MTA для рассылки. Так что те письма, которые преодолевают традиционный грейлистинг (на стадии RCPT), с гораздо большей вероятностью могут быть иметь валидные DKIM/SPF и даже нижние Received:, имитирующие рилеи домена, нарисованного во From:, чем те письма, которые через грейлистинг на стадии RCPT не прошли. Ну а поскольку грейлистинг на стадии RCPT убивает 97-98% спама, то переность его на стадию DATA ради привязки к DKIM нет никакого смысла. -- Eugene Berdnikov
Re: exim и greylist (!DKIM)
Andrey Jr. Melnikov <temnota...@gmail.com> писал(а) в своём письме Mon, 18 Sep 2017 23:03:19 +0300: Dmitry E. Oboukhov <un...@debian.org> wrote: [-- text/plain, кодировка quoted-printable, кодировка: utf-8, 29 строк --] Имеется exim и greylistd. Все в целом работает норм, но иногда задержки нормальной почты поддостают. я полистал spam-detected от spamassassin и вижу, что 99.9% спама не имеет DKIM/senderid. Соответственно хочется письма имеющие DKIM/senderid не сплавлять в грей а принимать с первого раза. Как это грамотно настроить? Никак. Чтоб проверить DKIM письмо надо принять. А если ты его принял, то какой такой грейлистинг? Ну, зато в ящике глаза мозолить не будет. Хотя, да, толку немного… -- Написано с помощью почтового клиента Opera: http://www.opera.com/mail/
Re: exim и greylist (!DKIM)
Dmitry E. Oboukhov <un...@debian.org> wrote: > [-- text/plain, кодировка quoted-printable, кодировка: utf-8, 29 строк --] > Имеется exim и greylistd. Все в целом работает норм, но иногда > задержки нормальной почты поддостают. > я полистал spam-detected от spamassassin и вижу, что 99.9% спама не > имеет DKIM/senderid. > Соответственно хочется письма имеющие DKIM/senderid не сплавлять в > грей а принимать с первого раза. > Как это грамотно настроить? Никак. Чтоб проверить DKIM письмо надо принять. А если ты его принял, то какой такой грейлистинг? Впрочем, я тебя расстрою - еще больше спама ходит с валидным DKIM. Спаммеры, они не исповедуют принцип "работает - не тронь", они все новомодные фичи внедряют на раз-два не задумываясь, особенно если это увеличивает количество проскочивших через фильтры писем.
Re: exim и greylist (!DKIM)
Dmitry E. Oboukhovписал(а) в своём письме Mon, 18 Sep 2017 16:06:02 +0300: Соответственно хочется письма имеющие DKIM/senderid не сплавлять в грей а принимать с первого раза. понятное дело что имеющие _валидные_ DKIM-подписи [и senderid] Думаю, что использование переменной — самый простой способ. До DKIM у меня руки не дошли (лень), а для SPF я когда-то сделал так: defer condition = ${if eq {$acl_m_spf_code}{0}{no}{yes}} !authenticated = * … Проверка SPF у меня раньше greylist и в ней устанавливается переменная acl_m_spf_code. 0 — SPF_PASS, остальные числа — варианты разной степени успешности прохождения проверки. -- Написано с помощью почтового клиента Opera: http://www.opera.com/mail/
Re: exim и greylist (!DKIM)
> Соответственно хочется письма имеющие DKIM/senderid не сплавлять в > грей а принимать с первого раза. понятное дело что имеющие _валидные_ DKIM-подписи [и senderid] -- . ''`.Dmitry E. Oboukhov: :’ : `. `~’ GPG key: 4096R/08EEA756 2014-08-30 `- 71ED ACFC 6801 0DD9 1AD1 9B86 8D1F 969A 08EE A756 signature.asc Description: PGP signature
exim и greylist (!DKIM)
Имеется exim и greylistd. Все в целом работает норм, но иногда задержки нормальной почты поддостают. я полистал spam-detected от spamassassin и вижу, что 99.9% спама не имеет DKIM/senderid. Соответственно хочется письма имеющие DKIM/senderid не сплавлять в грей а принимать с первого раза. Как это грамотно настроить? -- . ''`.Dmitry E. Oboukhov <un...@debian.org> : :’ : `. `~’ GPG key: 4096R/08EEA756 2014-08-30 `- 71ED ACFC 6801 0DD9 1AD1 9B86 8D1F 969A 08EE A756 signature.asc Description: PGP signature
Re: rebuild exim
09.03.2016 13:09, Андрей Любимец пишет: > 06.03.2016 3:43, Anton Gorlov пишет: >> Доброго времени суток Всем. >> А как в нынешнее время принято пересобирать exim со своими опциями? >> Что-то даже просто unpack-config/pack-config не проходят > https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=783813 Дада - то, что сборка exim-custom сломана я тоже читал. Не проходит даже fakeroot debian/rules unpack-configs Как лежали до него *.diff вместо конфигов так и лежат. То есть нет возможности пропатчить даже heavy с добавлением нужных опций.
Re: rebuild exim
06.03.2016 3:43, Anton Gorlov пишет: > Доброго времени суток Всем. > > А как в нынешнее время принято пересобирать exim со своими опциями? > > Что-то даже просто unpack-config/pack-config не проходят > https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=783813
Re: rebuild exim
Anton Gorlov <stal...@locum.ru> wrote: > Доброго времени суток Всем. > А как в нынешнее время принято пересобирать exim со своими опциями? > Что-то даже просто unpack-config/pack-config не проходят А что тебя тут смутило-то? > === > stalker@jessie1:/tmp/exim4/exim4-4.86.2$ debian/rules unpack-configs > patch -o EDITME.eximon exim_monitor/EDITME \ > /tmp/exim4/exim4-4.86.2/debian/EDITME.eximon.diff > patching file EDITME.eximon (read from exim_monitor/EDITME) > patch -o EDITME.exim4-light src/EDITME \ > /tmp/exim4/exim4-4.86.2/debian/EDITME.exim4-light.diff > patching file EDITME.exim4-light (read from src/EDITME) > for editme in /tmp/exim4/exim4-4.86.2/debian/EDITME.exim4-*.diff; do \ > if [ "$editme" != > "/tmp/exim4/exim4-4.86.2/debian/EDITME.exim4-light.diff" ]; then \ > TARGETNAME=`basename $editme .diff`; \ > echo patch -o $TARGETNAME EDITME.exim4-light $editme; \ > patch -o $TARGETNAME EDITME.exim4-light $editme; \ > fi; \ > done > patch -o EDITME.exim4-heavy EDITME.exim4-light > /tmp/exim4/exim4-4.86.2/debian/EDITME.exim4-heavy.diff > patching file EDITME.exim4-heavy (read from EDITME.exim4-light) > touch unpack-configs-stamp > stalker@jessie1:/tmp/exim4/exim4-4.86.2$ debian/rules pack-configs > diff -u src/EDITME EDITME.exim4-light \ > > /tmp/exim4/exim4-4.86.2/debian/EDITME.exim4-light.diff > debian/rules:161: recipe for target 'pack-configs' failed > make: [pack-configs] Error 1 (ignored) > for editme in EDITME.exim4-*; do \ > if [ "$editme" != "EDITME.exim4-light" ]; then \ > echo diff -u EDITME.exim4-light $editme; \ > diff -u EDITME.exim4-light $editme > > /tmp/exim4/exim4-4.86.2/debian/${editme}.diff; \ > fi; \ > done > diff -u EDITME.exim4-light EDITME.exim4-heavy > diff -u exim_monitor/EDITME EDITME.eximon \ > > /tmp/exim4/exim4-4.86.2/debian/EDITME.eximon.diff > debian/rules:161: recipe for target 'pack-configs' failed > make: [pack-configs] Error 1 (ignored) вот эта ошибка?
Re: rebuild exim
07.03.2016 15:18, Andrey Melnikoff пишет: > Я давно забил на пересборку конфигов туда-сюда, рихтую debian/rules > добавляя перед cd $(параметрами: > printf "EXPERIMENTAL_SRS=yes\nLDFLAGS += -lsrs_alt\n" >>$(
Re: rebuild exim
Anton Gorlov <stal...@locum.ru> wrote: > Доброго времени суток Всем. > А как в нынешнее время принято пересобирать exim со своими опциями? Я давно забил на пересборку конфигов туда-сюда, рихтую debian/rules добавляя перед cd $(<D) && $(MAKE) FULLECHO='' свой printf с нужными параметрами: printf "EXPERIMENTAL_SRS=yes\nLDFLAGS += -lsrs_alt\n" >>$(<D)/Local/Makefile
rebuild exim
Доброго времени суток Всем. А как в нынешнее время принято пересобирать exim со своими опциями? Что-то даже просто unpack-config/pack-config не проходят === stalker@jessie1:/tmp/exim4/exim4-4.86.2$ debian/rules unpack-configs patch -o EDITME.eximon exim_monitor/EDITME \ /tmp/exim4/exim4-4.86.2/debian/EDITME.eximon.diff patching file EDITME.eximon (read from exim_monitor/EDITME) patch -o EDITME.exim4-light src/EDITME \ /tmp/exim4/exim4-4.86.2/debian/EDITME.exim4-light.diff patching file EDITME.exim4-light (read from src/EDITME) for editme in /tmp/exim4/exim4-4.86.2/debian/EDITME.exim4-*.diff; do \ if [ "$editme" != "/tmp/exim4/exim4-4.86.2/debian/EDITME.exim4-light.diff" ]; then \ TARGETNAME=`basename $editme .diff`; \ echo patch -o $TARGETNAME EDITME.exim4-light $editme; \ patch -o $TARGETNAME EDITME.exim4-light $editme; \ fi; \ done patch -o EDITME.exim4-heavy EDITME.exim4-light /tmp/exim4/exim4-4.86.2/debian/EDITME.exim4-heavy.diff patching file EDITME.exim4-heavy (read from EDITME.exim4-light) touch unpack-configs-stamp stalker@jessie1:/tmp/exim4/exim4-4.86.2$ debian/rules pack-configs diff -u src/EDITME EDITME.exim4-light \ > /tmp/exim4/exim4-4.86.2/debian/EDITME.exim4-light.diff debian/rules:161: recipe for target 'pack-configs' failed make: [pack-configs] Error 1 (ignored) for editme in EDITME.exim4-*; do \ if [ "$editme" != "EDITME.exim4-light" ]; then \ echo diff -u EDITME.exim4-light $editme; \ diff -u EDITME.exim4-light $editme > /tmp/exim4/exim4-4.86.2/debian/${editme}.diff; \ fi; \ done diff -u EDITME.exim4-light EDITME.exim4-heavy diff -u exim_monitor/EDITME EDITME.eximon \ > /tmp/exim4/exim4-4.86.2/debian/EDITME.eximon.diff debian/rules:161: recipe for target 'pack-configs' failed make: [pack-configs] Error 1 (ignored)
Re: параметр Exim, отвечающий за intermediate-сертификат
Sohin Vyacheslav -> debian-russian@lists.debian.org @ Fri, 5 Feb 2016 12:56:28 +0200: >> >> А отношение к делу имеют tls_certificate и tls_privatekey. И в >> >> tls_certificate не надо класть private key. У них, собственно, и >> >> права-то обычно разные. Сертификат - публичная информация, а секретный >> >> ключ - отнюдь. А вот оба сертификата - и свой, и промежуточный - как >> >> раз надо, именно в этом порядке. SV> я убрал ключ из exim.crt и раскомментировал строку с exim.key в SV> exim4.conf => всё так-же работает, визуально в логе ничего не изменилось... SV> в http://www.rldp.ru/exim/exim480r/glava38.htm указано: SV> tls_certificate =/some/file/name SV> tls_privatekey =/some/file/name SV> Это может быть один и тот же файл, если в нём содержатся сертификат и ключ. Да. Но поскольку степень их публичности разная, делать так вряд ли полезно. >> В моем случае я пользуюсь собственным CA, и у меня нет промежуточного, >> но разница должна быть исключительно в содержимом файла, на который >> указывает tls_certificate. >> >> А глядя на конфиг на ноутбуке (на ноуте, в отличие от сервера, он у меня >> не ручной, а сконфигурированный через дебиановскую систему), я наблюдаю, >> что дефолты будут такие: >> >> tls_advertise_hosts = * >> tls_certificate = /etc/exim4/exim.crt >> tls_privatekey = /etc/exim4/exim.key >> tls_verify_certificates = /etc/ssl/certs/ca-certificates.crt >> >> (требовать клиентских сертификатов он при этом не будет, поскольку >> tls_verify_hosts и tls_try_verify_hosts не выставлены; но тут видно, что >> tls_verify_certificates - это набор сертификатов CA, которыми подписаны >> клиентские, что логично) >> SV> в http://www.rldp.ru/exim/exim480r/glava38.htm также указано: SV> Если установлена опция tls_verify_certificates, она должна быть именем SV> файла или (только для OpenSSL, не для GnuTLS) каталогом, который как SV> ожидается содержит коллекцию серверных сертификатов. SV> имеется в виду не сертификат exim.crt, a ca-certificates.crt? Точно не exim.crt (разве что ты собираешься принимать себя самого как сетевого клиента). Но вот насчет ca-certificates - вопрос мутный. В переводе слово "сереверных" - гонево. Речь идет про _клиентские_ сертификаты. В оригинальной документации сказано The contents of the certificate are verified by comparing it with a list of expected certificates. These may be the system default set (depending on library version), an explicit file or, depending on library version, a directory, identified by tls_verify_certificates. Что, с одной стороны, как бы делает вид, что по списку проверяется именно сертификат, предъявленный клиентом, а не то, что он подписан одним из этих CA, и в этом есть логика - мало ли кто что подписал. С другой - ни одна из двух используемых библиотек TLS не имеет system default set именно сертификатов самих агентов. Имеет system default set только сертификатов CA, возможо, только корневых и самоподписанных. Дебиановский дефолт тут может оказаться не аргументом. Но я все же подозреваю, что это - сертификаты CA, то есть дефолтны дебиановский конфиг делается правильно. В норме никто не проверяет сами сертификаты серверов, проверяют только подпись достаточно доверенного CA.
Re: параметр Exim, отвечающий за intermediate-сертификат
04.02.2016 19:07, Artem Chuprina пишет: > Sohin Vyacheslav -> debian-russian@lists.debian.org @ Thu, 4 Feb 2016 > 13:06:55 +0200: > > >> А отношение к делу имеют tls_certificate и tls_privatekey. И в > >> tls_certificate не надо класть private key. У них, собственно, и > >> права-то обычно разные. Сертификат - публичная информация, а секретный > >> ключ - отнюдь. А вот оба сертификата - и свой, и промежуточный - как > >> раз надо, именно в этом порядке. я убрал ключ из exim.crt и раскомментировал строку с exim.key в exim4.conf => всё так-же работает, визуально в логе ничего не изменилось... в http://www.rldp.ru/exim/exim480r/glava38.htm указано: tls_certificate =/some/file/name tls_privatekey =/some/file/name Это может быть один и тот же файл, если в нём содержатся сертификат и ключ. > Права на эти файлы > > -r 1 Debian-exim root 1679 Oct 31 2014 /etc/exim4/lasgalen.nest.key > -rw-r--r-- 1 rootroot 4824 Mar 23 2014 > /etc/ssl/certs/lasgalen.nest.crt спасибо, права на ключ подправил для секьюрности... > > Плюс еще момент в аутентификации: > > begin authenticators > > dovecot_login: > driver = dovecot > public_name = LOGIN > server_advertise_condition = ${if eq{$tls_cipher}{}{no}{yes}} > server_socket = /var/run/dovecot/auth-client > server_set_id = $auth1 > > dovecot_plain: > driver = dovecot > public_name = PLAIN > server_advertise_condition = ${if eq{$tls_cipher}{}{no}{yes}} > server_socket = /var/run/dovecot/auth-client > server_set_id = $auth1 > > Типа, если у нас нету TLS, даже не пытаться предлагать аутентификацию. > спасибо, добавил строку условия server_advertise_condition = ${if eq{$tls_cipher}{}{no}{yes}} в аутентификаторы > В моем случае я пользуюсь собственным CA, и у меня нет промежуточного, > но разница должна быть исключительно в содержимом файла, на который > указывает tls_certificate. > > А глядя на конфиг на ноутбуке (на ноуте, в отличие от сервера, он у меня > не ручной, а сконфигурированный через дебиановскую систему), я наблюдаю, > что дефолты будут такие: > > tls_advertise_hosts = * > tls_certificate = /etc/exim4/exim.crt > tls_privatekey = /etc/exim4/exim.key > tls_verify_certificates = /etc/ssl/certs/ca-certificates.crt > > (требовать клиентских сертификатов он при этом не будет, поскольку > tls_verify_hosts и tls_try_verify_hosts не выставлены; но тут видно, что > tls_verify_certificates - это набор сертификатов CA, которыми подписаны > клиентские, что логично) > в http://www.rldp.ru/exim/exim480r/glava38.htm также указано: Если установлена опция tls_verify_certificates, она должна быть именем файла или (только для OpenSSL, не для GnuTLS) каталогом, который как ожидается содержит коллекцию серверных сертификатов. имеется в виду не сертификат exim.crt, a ca-certificates.crt? -- BW, Сохин Вячеслав
Re: параметр Exim, отвечающий за intermediate-сертификат
04.02.2016 12:37, Artem Chuprina пишет: > А отношение к делу имеют tls_certificate и tls_privatekey. И в > tls_certificate не надо класть private key. У них, собственно, и > права-то обычно разные. Сертификат - публичная информация, а секретный > ключ - отнюдь. А вот оба сертификата - и свой, и промежуточный - как > раз надо, именно в этом порядке. упс! поторопился, попробую исправить... отпишусь... Спс! -- BW, Сохин Вячеслав
Re: параметр Exim, отвечающий за intermediate-сертификат
Sohin Vyacheslav -> debian-russian@lists.debian.org @ Thu, 4 Feb 2016 11:28:38 +0200: >> SV> $ openssl s_client -connect server:465 SV> после того, как добавил в exim4.conf параметр tls_verify_certificates = SV> /etc/exim4/exim.crt Эээ, точно? tls_verify_certificates, судя по описанию, относится к требованию сертификата от клиента, причем очень сурово относится - если клиент не предоставляет клиенского сертификата, ему говорят "до свидания". К собственному сертификату exim не имеет отношения. А отношение к делу имеют tls_certificate и tls_privatekey. И в tls_certificate не надо класть private key. У них, собственно, и права-то обычно разные. Сертификат - публичная информация, а секретный ключ - отнюдь. А вот оба сертификата - и свой, и промежуточный - как раз надо, именно в этом порядке. SV> и пересоздал сам файл сертификата: SV> -BEGIN PRIVATE KEY- SV> ... SV> -END PRIVATE KEY- SV> -BEGIN CERTIFICATE- SV> ... SV> -END CERTIFICATE- SV> -BEGIN CERTIFICATE- SV> ... SV> -END CERTIFICATE- SV> где последний-intermediate сертификат, всё заработало! SV> и через SV> $ openssl s_client -connect server:465 SV> и через SV> % gnutls-cli -p 465 server SV> и через SV> $ swaks -a -tlsc -q AUTH -s server:465 -au username SV> ВСЕМ огромное спасибо! особенно Артёму Чуприне и Магунову Владимиру!
Re: параметр Exim, отвечающий за intermediate-сертификат
04.02.2016 08:30, Artem Chuprina пишет: > Sohin Vyacheslav -> debian-russian@lists.debian.org @ Wed, 3 Feb 2016 > 19:43:24 +0200: > SV> $ openssl s_client -connect server:465 после того, как добавил в exim4.conf параметр tls_verify_certificates = /etc/exim4/exim.crt и пересоздал сам файл сертификата: -BEGIN PRIVATE KEY- ... -END PRIVATE KEY- -BEGIN CERTIFICATE- ... -END CERTIFICATE- -BEGIN CERTIFICATE- ... -END CERTIFICATE- где последний-intermediate сертификат, всё заработало! и через $ openssl s_client -connect server:465 и через % gnutls-cli -p 465 server и через $ swaks -a -tlsc -q AUTH -s server:465 -au username ВСЕМ огромное спасибо! особенно Артёму Чуприне и Магунову Владимиру! -- BW, Сохин Вячеслав
Re: параметр Exim, отвечающий за intermediate-сертификат
Sohin Vyacheslav -> debian-russian@lists.debian.org @ Thu, 4 Feb 2016 13:06:55 +0200: >> А отношение к делу имеют tls_certificate и tls_privatekey. И в >> tls_certificate не надо класть private key. У них, собственно, и >> права-то обычно разные. Сертификат - публичная информация, а секретный >> ключ - отнюдь. А вот оба сертификата - и свой, и промежуточный - как >> раз надо, именно в этом порядке. SV> упс! поторопился, попробую исправить... отпишусь... SV> Спс! Собственно, у меня часть, отвечающая за tls, выглядит так: tls_advertise_hosts = * tls_certificate = /etc/ssl/certs/lasgalen.nest.crt tls_privatekey = /etc/exim4/lasgalen.nest.key tls_on_connect_ports = 465 Права на эти файлы -r 1 Debian-exim root 1679 Oct 31 2014 /etc/exim4/lasgalen.nest.key -rw-r--r-- 1 rootroot 4824 Mar 23 2014 /etc/ssl/certs/lasgalen.nest.crt Плюс еще момент в аутентификации: begin authenticators dovecot_login: driver = dovecot public_name = LOGIN server_advertise_condition = ${if eq{$tls_cipher}{}{no}{yes}} server_socket = /var/run/dovecot/auth-client server_set_id = $auth1 dovecot_plain: driver = dovecot public_name = PLAIN server_advertise_condition = ${if eq{$tls_cipher}{}{no}{yes}} server_socket = /var/run/dovecot/auth-client server_set_id = $auth1 Типа, если у нас нету TLS, даже не пытаться предлагать аутентификацию. В моем случае я пользуюсь собственным CA, и у меня нет промежуточного, но разница должна быть исключительно в содержимом файла, на который указывает tls_certificate. А глядя на конфиг на ноутбуке (на ноуте, в отличие от сервера, он у меня не ручной, а сконфигурированный через дебиановскую систему), я наблюдаю, что дефолты будут такие: tls_advertise_hosts = * tls_certificate = /etc/exim4/exim.crt tls_privatekey = /etc/exim4/exim.key tls_verify_certificates = /etc/ssl/certs/ca-certificates.crt (требовать клиентских сертификатов он при этом не будет, поскольку tls_verify_hosts и tls_try_verify_hosts не выставлены; но тут видно, что tls_verify_certificates - это набор сертификатов CA, которыми подписаны клиентские, что логично)
параметр Exim, отвечающий за intermediate-сертификат
День добрый, при использовании не-самоподписанного, а коммерческого сертификата присутствуют 3 файла: domain.com.certificate.key domain.com.certificate и intermediate.certificate для Dovecot указал в /etc/dovecot/conf.d/10-ssl.conf: ssl_cert_file = /etc/dovecot/domain.com.crt ssl_key_file = /etc/dovecot/domain.com.key ssl_ca_file = /etc/dovecot/intermediate.crt а для Exim не нахожу в документации параметра относительно intermediate.certificat... сейчас в exim4.conf: tls_on_connect_ports = 465 tls_advertise_hosts = * tls_certificate = /etc/exim4/exim.crt tls_privatekey = /etc/exim4/exim.key при подключении по telnet к 465 порту в логе Exim ошибка: TLS error ... (gnutls_handshake): An unexpected TLS packet was received. пробовал объединить сертификаты # cat /etc/ssl/domain.com.certificate /etc/ssl/intermediate.certificate >> /etc/exim4/exim.crt рестартанул Exim, но ошибка та же: TLS error ... (gnutls_handshake): An unexpected TLS packet was received. может существует какой-то особый параметр для этого "intermediate" сертификата? -- BW, Сохин Вячеслав
Re: параметр Exim, отвечающий за intermediate-сертификат
Sohin Vyacheslav -> debian-russian@lists.debian.org @ Wed, 3 Feb 2016 15:54:02 +0200: SV> День добрый, SV> при использовании не-самоподписанного, а коммерческого сертификата SV> присутствуют 3 файла: SV> domain.com.certificate.key SV> domain.com.certificate SV> и intermediate.certificate SV> для Dovecot указал в /etc/dovecot/conf.d/10-ssl.conf: SV> ssl_cert_file = /etc/dovecot/domain.com.crt SV> ssl_key_file = /etc/dovecot/domain.com.key SV> ssl_ca_file = /etc/dovecot/intermediate.crt SV> а для Exim не нахожу в документации параметра относительно SV> intermediate.certificat... SV> сейчас в exim4.conf: SV> tls_on_connect_ports = 465 SV> tls_advertise_hosts = * SV> tls_certificate = /etc/exim4/exim.crt SV> tls_privatekey = /etc/exim4/exim.key SV> при подключении по telnet к 465 порту в логе Exim ошибка: SV> TLS error ... (gnutls_handshake): An unexpected TLS packet was received. Начать с того, что если это реально telnet, а не специальный telnet с функцией TLS, то такая ошибка и должна быть. На 465 порту ожидается TLS-хендшейк, а вовсе не протокол telnet или SMTP. Собственно, по идее, если проблема с сертификатами сервера, то ругаться должен клиент. Если клиент не ругается, а ругается сервер, то проблема, скорее всего, не в сертификатах. SV> пробовал объединить сертификаты SV> # cat /etc/ssl/domain.com.certificate /etc/ssl/intermediate.certificate >>> /etc/exim4/exim.crt А они при этом в формате PEM (Base64) или DER (бинарный)? Впрочем, такое сливание понимает openssl, за gnutls уверенности нет. И еще: а корневой сертификат, которым подписан intermediate, на клиенте точно есть и установлен как доверенный?
Re: параметр Exim, отвечающий за intermediate-сертификат
On 03/02/16 08:54 AM, Sohin Vyacheslav wrote: > День добрый, > > при использовании не-самоподписанного, а коммерческого сертификата > присутствуют 3 файла: > domain.com.certificate.key > domain.com.certificate > и intermediate.certificate > > для Dovecot указал в /etc/dovecot/conf.d/10-ssl.conf: > ssl_cert_file = /etc/dovecot/domain.com.crt > ssl_key_file = /etc/dovecot/domain.com.key > ssl_ca_file = /etc/dovecot/intermediate.crt > > а для Exim не нахожу в документации параметра относительно > intermediate.certificat... > Попробуй объединить оба сертификата в один файл, один после другого (сначала intermediate, потом конечный) (а, вижу что уже пробовал, это единственный способ указания всей цепочки) > при подключении по telnet к 465 порту в логе Exim ошибка: > TLS error ... (gnutls_handshake): An unexpected TLS packet was received. тестировать SSL/TLS соединения телнетом сложно :) попробуй openssl s_client -connect server:port Тимур
Re: параметр Exim, отвечающий за intermediate-сертификат
On Wed, 3 Feb 2016 19:36:48 +0300 Eugene Berdnikovwrote: > On Wed, Feb 03, 2016 at 06:14:19PM +0300, Artem Chuprina wrote: > Конечно же gnutls такое слияние понимает. Вообще, серверу должно быть > без разницы, что внутри этого файла: он его содержимое сливает > клиенту, а клиент уже парсит и раскладывает на цепочки сертификатов. Это не так. Сервер должен перепаковать эти сертификаты в сообщения проткола TLS, который весь из себя бинарный, и сертификаты в нем, естественно, ходят в формате DER. Если клиент показывает на экране сертификат в формате PEM, то это значит уже клиент выполнил base64-кодирование полученного от сервера сертификата, и дописал -BEGIN CERTIFICATE- и -END CERTIFICATE
Re: параметр Exim, отвечающий за intermediate-сертификат
On Wed, Feb 03, 2016 at 06:14:19PM +0300, Artem Chuprina wrote: > Sohin Vyacheslav -> debian-russian@lists.debian.org @ Wed, 3 Feb 2016 > 15:54:02 +0200: > SV> пробовал объединить сертификаты > SV> # cat /etc/ssl/domain.com.certificate /etc/ssl/intermediate.certificate > >>> /etc/exim4/exim.crt > > А они при этом в формате PEM (Base64) или DER (бинарный)? Впрочем, > такое сливание понимает openssl, за gnutls уверенности нет. Конечно же gnutls такое слияние понимает. Вообще, серверу должно быть без разницы, что внутри этого файла: он его содержимое сливает клиенту, а клиент уже парсит и раскладывает на цепочки сертификатов. Но я знаю такую засаду: любимый Ру-Центром Comodo выдаёт сертификаты, которые с виду PEM, только последняя строчка не терминируется "\n". Поэтому склеивать их катом нельзя, хотя каждый сертификат по отдельности openssl считает валидным. :) -- Eugene Berdnikov
Re: параметр Exim, отвечающий за intermediate-сертификат
Sohin Vyacheslav -> debian-russian@lists.debian.org @ Wed, 3 Feb 2016 19:43:24 +0200: >> тестировать SSL/TLS соединения телнетом сложно :) >> попробуй >> openssl s_client -connect server:port SV> $ openssl s_client -connect server:465 SV> CONNECTED(0003) SV> write:errno=104 SV> --- SV> no peer certificate available SV> --- SV> No client certificate CA names sent SV> --- SV> SSL handshake has read 0 bytes and written 295 bytes SV> --- SV> New, (NONE), Cipher is (NONE) SV> Secure Renegotiation IS NOT supported SV> Compression: NONE SV> Expansion: NONE SV> --- Есть мнение, что сервер вообще как-то криво сконфигурирован. Потому что в случае, когда все сконфигурировано нормально, но не удается проверить цепочку, openssl s_client успешно соединяется, но рассказывает, что не поверил в сертификат: zsh% openssl s_client -connect nest:465 CONNECTED(0003) depth=0 O = lasgalen.net, CN = nest.lasgalen.net verify error:num=20:unable to get local issuer certificate verify return:1 depth=0 O = lasgalen.net, CN = nest.lasgalen.net verify error:num=27:certificate not trusted verify return:1 depth=0 O = lasgalen.net, CN = nest.lasgalen.net verify error:num=21:unable to verify the first certificate verify return:1 --- Certificate chain 0 s:/O=lasgalen.net/CN=nest.lasgalen.net i:/O=lasgalen.net/OU=CA/CN=lasgalen.net CA --- Server certificate -BEGIN CERTIFICATE- MIID+jCCAuKgAwIBAgIBFzANBgkqhkiG9w0BAQUFADA+MRUwEwYDVQQKDAxsYXNn YWxlbi5uZXQxCzAJBgNVBAsMAkNBMRgwFgYDVQQDDA9sYXNnYWxlbi5uZXQgQ0Ew HhcNMTQwMzIxMDkwOTE0WhcNMjYwMzIyMDkwOTE0WjAzMRUwEwYDVQQKDAxsYXNn YWxlbi5uZXQxGjAYBgNVBAMMEW5lc3QubGFzZ2FsZW4ubmV0MIIBIjANBgkqhkiG 9w0BAQEFAAOCAQ8AMIIBCgKCAQEA0o/A8hQHLsHiCQlOViJfurP314DK5BDE+ks/ 5P5LtDKUv89P/Dcm7a5fq0acgb5Ybt8H2xoSw9q3L2SKTZvLPIfA9e+maORaqjaG xe0QauUfSRWLXvDJcbruOEGT3b8wAR2qOXBNpBADYwFemrOTWT1SpnONg7qsnSkV Eouq/ftd7tr7WeYb0JzoZVbob5qZa6bQ4Vdq0ixKEsoX5FkRlXfI+QM8VoJpDwYl K47EPdvjN8S4BPZzqHS6zb1v0zHI8gSod9wp/8QJsLzg/a5Z/5r9igOo3uhLfisD 5y4JXvf0sSPi23/EULOFK6R1p0poLozaTt//hoZ/5lJkNlAOBwIDAQABo4IBDDCC AQgwCQYDVR0TBAIwADARBglghkgBhvhCAQEEBAMCBkAwHQYDVR0OBBYEFMU2CJbq yIgkTodU9FZIcj0QMxYeMG4GA1UdIwRnMGWAFEf2+K42gXJEQbeCMWKLNkuJecPm oUKkQDA+MRUwEwYDVQQKDAxsYXNnYWxlbi5uZXQxCzAJBgNVBAsMAkNBMRgwFgYD VQQDDA9sYXNnYWxlbi5uZXQgQ0GCCQDG9M5kShSwUzATBgNVHSUEDDAKBggrBgEF BQcDATBEBgNVHREEPTA7ghFuZXN0Lmxhc2dhbGVuLm5ldIITamFiYmVyLmxhc2dh bGVuLm5ldIIRbWFpbC5sYXNnYWxlbi5uZXQwDQYJKoZIhvcNAQEFBQADggEBAC1d PCquISWG8RYK1R4xYWPeJgIt1Exii1V64EUxGpsv/m/IAvdJ3JtiaWQ+QIn8sYn2 0cQX+cf9rP9auTPK5rM2QY38uOKQHeTyEipx/aAQNlYvqh03QnmVJiRcpMzUocxN Xo7LcT8MS3SHNGoPOyn1LTMmBGfxId2/xgbQqoA6xlM1759adMq4lm33bAbRlMHp w8/k1km5n+p0GYRIs/Y8GlDszF7+DGQjswl5wJsTnhI519GWwZu8CBmvN8TqRovH iDWdE59RYTREoPcAp/dymGYvWuhV8YkoeYAZ259zjEugdNhPnob6fJ1OrVGlHEp3 gAKBKAVxjZLdlacIURY= -END CERTIFICATE- subject=/O=lasgalen.net/CN=nest.lasgalen.net issuer=/O=lasgalen.net/OU=CA/CN=lasgalen.net CA --- No client certificate CA names sent --- SSL handshake has read 2346 bytes and written 653 bytes --- New, TLSv1/SSLv3, Cipher is DHE-RSA-AES256-SHA256 Server public key is 2048 bit Secure Renegotiation IS supported Compression: NONE Expansion: NONE SSL-Session: Protocol : TLSv1.2 Cipher: DHE-RSA-AES256-SHA256 Session-ID: 7B70E3ED421D2C29F9C9FC4EC1CB6C048925798D40DC57C3D5C8A5626B779BB5 Session-ID-ctx: Master-Key: 399C5ADC57DDEA1825CD4A40A19A7C3B17B4A29FE706DF874C3533BA31452D484492614B724DBF9DC137D6C769101336 Key-Arg : None PSK identity: None PSK identity hint: None SRP username: None Start Time: 1454566892 Timeout : 300 (sec) Verify return code: 21 (unable to verify the first certificate) --- 220 nest.lasgalen.net ESMTP Exim 4.80 Thu, 04 Feb 2016 06:21:33 + А в твоем случае он оттуда ни байта не прочел. Он попытался сразу туда что-то записать (что-то - это, вероятно, ClientHello), и получил write error. Причем именно write error, а не непротокольное сообщение, как было бы в случае, если бы на 465 порту просто не ждали TLS.
Re: параметр Exim, отвечаю щий за intermediate-сертификат
Sohin Vyacheslav -> debian-russian@lists.debian.org @ Wed, 3 Feb 2016 19:51:36 +0200: >> Для этого есть swaks. SV> $ swaks -a -tls -q AUTH -s domain:465 -au username -tlsc, а не -tls. SV> Password: SV> === Trying domain:465... SV> === Connected to domain.com. SV> <** Timeout (30 secs) waiting for server respon SV> -> QUIT SV> *** Remote host closed connection unexpectedly. SV> в логе Exim - та же TLS ошибка: SV> (gnutls_handshake): An unexpected TLS packet was received.
Re: параметр Exim, отвечающий за intermediate-сертификат
Sohin Vyacheslav -> debian-russian@lists.debian.org @ Wed, 3 Feb 2016 19:54:48 +0200: >> Начать с того, что если это реально telnet, а не специальный telnet с >> функцией TLS, то такая ошибка и должна быть. На 465 порту ожидается >> TLS-хендшейк, а вовсе не протокол telnet или SMTP. SV> нужен пакет telnet-ssl? Для отладки лучше взять openssl s_client, он как раз отладочный механизм. А так хоть браузером можно. HTTP, конечно, не получится, но TLS-то пройдет. >> Собственно, по идее, если проблема с сертификатами сервера, то ругаться >> должен клиент. Если клиент не ругается, а ругается сервер, то проблема, >> скорее всего, не в сертификатах. >> >> SV> пробовал объединить сертификаты >> SV> # cat /etc/ssl/domain.com.certificate /etc/ssl/intermediate.certificate >> >>> /etc/exim4/exim.crt >> >> А они при этом в формате PEM (Base64) или DER (бинарный)? Впрочем, >> такое сливание понимает openssl, за gnutls уверенности нет. >> SV> PEM >> И еще: а корневой сертификат, которым подписан intermediate, на клиенте >> точно есть и установлен как доверенный? >> SV> имеется в виду на почтовом клиенте? На клиенте, которым ты тестируешь TLS. Если ты тестируешь telnet-ssl, то про него должен знать openssl или сам telnet-ssl. Если openssl c_client - то openssl (он, впрочем, с недоверенным и сам соединится, просто пожалуется на недоверенность). Если gnutls-cli - то gnutls. Ну и разумеется, потом, когда ты будешь пытаться отдать туда почту почтовым клиентом, на почтовом клиенте или на общесистемном уровне для той библиотеки, которой пользуется этот клиент.
Re: параметр Exim, отвечающий за intermediate-сертификат
03.02.2016 17:14, Artem Chuprina пишет: > Начать с того, что если это реально telnet, а не специальный telnet с > функцией TLS, то такая ошибка и должна быть. На 465 порту ожидается > TLS-хендшейк, а вовсе не протокол telnet или SMTP. > нужен пакет telnet-ssl? > Собственно, по идее, если проблема с сертификатами сервера, то ругаться > должен клиент. Если клиент не ругается, а ругается сервер, то проблема, > скорее всего, не в сертификатах. > > SV> пробовал объединить сертификаты > SV> # cat /etc/ssl/domain.com.certificate /etc/ssl/intermediate.certificate > >>> /etc/exim4/exim.crt > > А они при этом в формате PEM (Base64) или DER (бинарный)? Впрочем, > такое сливание понимает openssl, за gnutls уверенности нет. > PEM > И еще: а корневой сертификат, которым подписан intermediate, на клиенте > точно есть и установлен как доверенный? > имеется в виду на почтовом клиенте? -- BW, Сохин Вячеслав
Re: параметр Exim, отвечаю щий за intermediate-сертификат
03.02.2016 19:39, sergio пишет: > Для этого есть swaks. $ swaks -a -tls -q AUTH -s domain:465 -au username Password: === Trying domain:465... === Connected to domain.com. <** Timeout (30 secs) waiting for server respon -> QUIT *** Remote host closed connection unexpectedly. в логе Exim - та же TLS ошибка: (gnutls_handshake): An unexpected TLS packet was received. -- BW, Сохин Вячеслав
RE: параметр Exim, отвечающий за intermediate-сертификат
По-видимости нужен параметр tls_verify_certificates. Владимир. -Original Message- From: Sohin Vyacheslav [mailto:in.s...@yandex.ua] Sent: Wednesday, February 03, 2016 4:54 PM To: debian-russian@lists.debian.org Subject: параметр Exim, отвечающий за intermediate-сертификат День добрый, при использовании не-самоподписанного, а коммерческого сертификата присутствуют 3 файла: domain.com.certificate.key domain.com.certificate и intermediate.certificate для Dovecot указал в /etc/dovecot/conf.d/10-ssl.conf: ssl_cert_file = /etc/dovecot/domain.com.crt ssl_key_file = /etc/dovecot/domain.com.key ssl_ca_file = /etc/dovecot/intermediate.crt а для Exim не нахожу в документации параметра относительно intermediate.certificat... сейчас в exim4.conf: tls_on_connect_ports = 465 tls_advertise_hosts = * tls_certificate = /etc/exim4/exim.crt tls_privatekey = /etc/exim4/exim.key при подключении по telnet к 465 порту в логе Exim ошибка: TLS error ... (gnutls_handshake): An unexpected TLS packet was received. пробовал объединить сертификаты # cat /etc/ssl/domain.com.certificate /etc/ssl/intermediate.certificate >> /etc/exim4/exim.crt рестартанул Exim, но ошибка та же: TLS error ... (gnutls_handshake): An unexpected TLS packet was received. может существует какой-то особый параметр для этого "intermediate" сертификата? -- BW, Сохин Вячеслав
Re: параметр Exim, отвечаю щий за intermediate-сертификат
On 03/02/16 19:59, Tim Sattarov wrote: >> TLS error ... (gnutls_handshake): An unexpected TLS packet was received. > тестировать SSL/TLS соединения телнетом сложно :) > попробуй > openssl s_client -connect server:port Для этого есть swaks. -- sergio
Re: параметр Exim, отвечающий за intermediate-сертификат
03.02.2016 18:59, Tim Sattarov пишет: > тестировать SSL/TLS соединения телнетом сложно :) > попробуй > openssl s_client -connect server:port $ openssl s_client -connect server:465 CONNECTED(0003) write:errno=104 --- no peer certificate available --- No client certificate CA names sent --- SSL handshake has read 0 bytes and written 295 bytes --- New, (NONE), Cipher is (NONE) Secure Renegotiation IS NOT supported Compression: NONE Expansion: NONE --- -- BW, Сохин Вячеслав
exim: проверка существования юзеров по нескольким базам в одном роутере
Привет! Есть почтовый сервачёк с юзерами в нескольких разных SQL-базах, доступ к которым осуществляется с использованием разных (не одинаковых) учётных данных. Как в строке condition роутера проверить поочерёдно по обоим переменным существование юзеров сначала CHECK_VIRTUAL_USER, если неудачно то CHECK1_VIRTUAL_USER (аналог || в bash)? 1. Устанавливаю переменные - /etc/exim4/conf.d/main/00_exim4-config_local - # Запрос проверяет существование пользователя в почтовой системе CHECK_VIRTUAL_USER = \ ${lookup pgsql{servers=xxx.xxx.xxx.xxx::5432/db000/user000/Password; SELECT egw_addressbook.contact_email \ FROM egw_addressbook, egw_accounts \ WHERE egw_addressbook.contact_email = '${quote_pgsql:$local_part@$domain}' \ AND egw_addressbook.account_id IS NOT NULL \ AND egw_accounts.account_status != '${quote_pgsql:}' \ AND egw_addressbook.account_id = egw_accounts.account_id}{$value}fail} # Запрос проверяет существование пользователя в почтовой системе CHECK1_VIRTUAL_USER = \ ${lookup pgsql{servers=xxx.xxx.xxx.xxx::5432/db001/user001/PasswordPassword; SELECT egw_addressbook.contact_email \ FROM egw_addressbook, egw_accounts \ WHERE egw_addressbook.contact_email = '${quote_pgsql:$local_part@$domain}' \ AND egw_addressbook.account_id IS NOT NULL \ AND egw_accounts.account_status != '${quote_pgsql:}' \ AND egw_addressbook.account_id = egw_accounts.account_id}{$value}fail} - /etc/exim4/conf.d/main/00_exim4-config_local - 2. Роутер - /etc/exim4/conf.d/router/950_exim4-config_dovecot_virtual_user - ### router/950_exim4-config_dovecot_virtual_user # # This router matches local user mailboxes. If the router fails, the error # message is Unknown user. dovecot_virtual_user: debug_print = R: dovecot_virtual_user for $local_part@$domain driver = accept domains = +local_domains local_parts = ! root transport = LOCAL_DELIVERY condition = CHECK_VIRTUAL_USER cannot_route_message = Unknown user no_more - /etc/exim4/conf.d/router/950_exim4-config_dovecot_virtual_user - -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/53203086.4050...@tower.tomsk.ru
Re: exim: проверка существования юзеров по нескольким базам в одном роутере
Возможно скажу странное, но почему бы на одном из серверов не сделать VIEW http://www.postgresql.org/docs/8.1/static/sql-createview.html с нужными таблицами с другого сервера? И lookup'иться в один из серверов. -- Peter Teslenko
Re: exim: проверка существования юзеров по нескольким базам в одном роутере
On Wed, Mar 12, 2014 at 05:01:42PM +0700, Антон Понкратов wrote: Как в строке condition роутера проверить поочерёдно по обоим переменным существование юзеров сначала CHECK_VIRTUAL_USER, если неудачно то CHECK1_VIRTUAL_USER (аналог || в bash)? ... ### router/950_exim4-config_dovecot_virtual_user # # This router matches local user mailboxes. If the router fails, the error # message is Unknown user. dovecot_virtual_user: debug_print = R: dovecot_virtual_user for $local_part@$domain driver = accept domains = +local_domains local_parts = ! root transport = LOCAL_DELIVERY condition = CHECK_VIRTUAL_USER cannot_route_message = Unknown user no_more - /etc/exim4/conf.d/router/950_exim4-config_dovecot_virtual_user - Выбросьте терминирующие элементы (cannot_route_message и no_more) и напишите несколько роутеров подряд, каждый со своим condition. Так проще будет отлаживать этот бутерброд... Можно конечно, логику с and/or нагородить, но зачем искать по всем базам одновременно? И зачем терминаторы? По умолчанию письмо и так режектится. -- Eugene Berdnikov -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/20140312115235.ge3...@protva.ru
Re: Настройка exim используя конф игурацию разделённую на файлы
Относительно разобрался, насчёт debian-like настройки exim. Как я понял, достаточно просто найти нужный параметр, посмотреть какой макрос он использует, определить этот макрос в 01_exim4-config_listmacrosdefs, либо правлю параметр непосредственно на месте. Хочу чтоб часть параметров запрашивались из postgresql, куда вписать параметр подключения к базе лучше всего? 2013/6/26 sergio mail...@sergio.spb.ru On 26/06/13 15:20, Konstantin Fadeyev wrote: Почитайте /usr/share/doc/exim4-base/**README.Debian.gz Ну и там соседние файлы тоже могут быть интересны. -- sergio. -- To UNSUBSCRIBE, email to debian-russian-REQUEST@lists.**debian.orgdebian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/**51caf4fc.6000...@sergio.spb.ruhttp://lists.debian.org/51caf4fc.6000...@sergio.spb.ru -- Константин Фадеев
Настройка exim используя конфигурацию разделённую на файлы
Здравствуйте! В общем пытаюсь настроить exim в варианте интернет-сайт. В принципе документации в интернете довольно много и скажем особых неясностей нет. Единственное что удручает, это моё непонимание debian-like подхода к его настройке, прогнал первоначальную настройку debconf. В конце выбрал разбиение конфигурации на отдельные файлы, мне это показалось чуть более правильным, так как планируется внос большой порции изменений, а затем изменять конфиги буквально в год по чайной ложке. Я прав? В /etc/exim4/ появилась директория conf.d. Начал с main/ в принципе имена файлов говорящие. Открыл файл 01_exim4-config_listmacrosdefs и несколько потерялся. Макросы прописаны и много, но прописаны пополам с настройками. Часть макросов указывают сами на себя или на несуществующие макросы. С проверками на определение макросов относительно понятно, но идёт присвоение несуществующего макроса, откуда он берётся? Часть опций откомментирована, что мол вот значение по умолчанию если макрос не установлен. Как я понял файл update-exim4.conf.conf был создан debconf, но как из него настройки переносятся в файлы конфигурации? Кто может - объясните ситуацию. Может есть документ какой в дистре отвечающий на мои вопросы или ссылки может хорошие. -- Константин Фадеев
Re: Настройка exim используя конфигурацию разделённую на файлы
On Wed, 26 Jun 2013 15:20:41 +0400 Konstantin Fadeyev jred...@gmail.com wrote: Как я понял файл update-exim4.conf.conf был создан debconf, но как из него настройки переносятся в файлы конфигурации? Командой update-exim4.conf. См. в её мане секцию RECOMMENDED USAGE, чтобы знать, когда её можно запускать. -- Alexander Galanin -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20130626152859.ac093203ad668b0c14392...@galanin.nnov.ru
Re: Настройка exim используя конфигурацию разделённую на файлы
On Wed, 26 Jun 2013 15:20:41 +0400 Konstantin Fadeyev jred...@gmail.com wrote: Как я понял файл update-exim4.conf.conf был создан debconf, но как из него настройки переносятся в файлы конфигурации? Командой update-exim4.conf. См. в её мане секцию RECOMMENDED USAGE, чтобы знать, когда её можно запускать. -- Alexander Galanin -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20130626152736.e715de9abcdc1d7f32cf8...@galanin.nnov.ru
Re: Настройка exim используя конфигурацию разделённую на файлы
О!!! Спасибо!!! 26 июня 2013 г., 15:27 пользователь Alexander Galanin a...@galanin.nnov.ruнаписал: On Wed, 26 Jun 2013 15:20:41 +0400 Konstantin Fadeyev jred...@gmail.com wrote: Как я понял файл update-exim4.conf.conf был создан debconf, но как из него настройки переносятся в файлы конфигурации? Командой update-exim4.conf. См. в её мане секцию RECOMMENDED USAGE, чтобы знать, когда её можно запускать. -- Alexander Galanin -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20130626152736.e715de9abcdc1d7f32cf8...@galanin.nnov.ru -- Константин Фадеев
Re: Настройка exim используя конф игурацию разделённую на файлы
On 26/06/13 15:20, Konstantin Fadeyev wrote: Почитайте /usr/share/doc/exim4-base/README.Debian.gz Ну и там соседние файлы тоже могут быть интересны. -- sergio. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/51caf4fc.6000...@sergio.spb.ru
Re: Настройка exim используя конф игурацию разделённую на файлы
Да, копаю там :-) Спасибо, сейчас прояснились многие моменты. :-) 2013/6/26 sergio mail...@sergio.spb.ru On 26/06/13 15:20, Konstantin Fadeyev wrote: Почитайте /usr/share/doc/exim4-base/**README.Debian.gz Ну и там соседние файлы тоже могут быть интересны. -- sergio. -- To UNSUBSCRIBE, email to debian-russian-REQUEST@lists.**debian.orgdebian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/**51caf4fc.6000...@sergio.spb.ruhttp://lists.debian.org/51caf4fc.6000...@sergio.spb.ru -- Константин Фадеев
замена sa-exim
Привет всем использовал до сегодняшнего дня связку exim+sa-exim+spamassassin. Неделю назад обнаружился баг в sa-exim. Написал автору, а он ответил что sa-exim уже obsolete. Какой нынче правильный метод прикручивания spamassassin к exim? -- С уважением, Сергей Спиридонов -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/jsh4vu$l0q$1...@dough.gmane.org
Re: замена sa-exim
10:35 Thu 28 Jun, Sergey Spiridonov wrote: Привет всем использовал до сегодняшнего дня связку exim+sa-exim+spamassassin. Неделю назад обнаружился баг в sa-exim. Написал автору, а он ответил что sa-exim уже obsolete. Какой нынче правильный метод прикручивания spamassassin к exim? Посмотрите amavisd-new. У нас работает уже пару лет и пока нареканий нет. -- WBR, Andrey Tataranovich -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20120628091303.ga2...@debbox.it
Re: замена sa-exim
Sergey Spiridonov s...@hurd.homeunix.org wrote: Привет всем использовал до сегодняшнего дня связку exim+sa-exim+spamassassin. Неделю назад обнаружился баг в sa-exim. Написал автору, а он ответил что sa-exim уже obsolete. Какой нынче правильный метод прикручивания Ужас, это еще кто-то использует??? spamassassin к exim? http://www.exim.org/exim-html-current/doc/html/spec_html/ch43.html 5 строчек в конфиге. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/bo1ub9-53h@kenga.kmv.ru
Re: замена sa-exim
использовал до сегодняшнего дня связку exim+sa-exim+spamassassin. Неделю назад обнаружился баг в sa-exim. Написал автору, а он ответил что sa-exim уже obsolete. Какой нынче правильный метод прикручивания Ужас, это еще кто-то использует??? я использую. лет 6 назад настроил и с тех пор работает. spamassassin к exim? http://www.exim.org/exim-html-current/doc/html/spec_html/ch43.html 5 строчек в конфиге. -- . ''`. Dmitry E. Oboukhov : :’ : email: un...@debian.org jabber://un...@uvw.ru `. `~’ GPGKey: 1024D / F8E26537 2006-11-21 `- 1B23 D4F8 8EC0 D902 0555 E438 AB8C 00CF F8E2 6537 signature.asc Description: Digital signature
Re: замена sa-exim
,-[Sergey Spiridonov, 28 June 2012 12:35]: Привет всем использовал до сегодняшнего дня связку exim+sa-exim+spamassassin. Неделю назад обнаружился баг в sa-exim. Написал автору, а он ответил что sa-exim уже obsolete. Какой нынче правильный метод прикручивания spamassassin к exim? наверное, не совсем к вопросу, но bogofilter работает хорошо, быстро обучается, маленький-нежрущий и прикручивается ко всему, практически. ) -- __ mpd status: [stopped] ** * jabber: devil_ins...@jabber.ru * * Registered linux user #450844* ** -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/jsi7ov$lof$1...@dough.gmane.org
exim с указанного адреса авторизоваться
есть exim, который сам доставляет почту (то есть смартхост не используется) если через него отправляют почту с адреса f...@domain.com, то надо чтобы он эту почту клал на smtp-сервер smtp.domain.com и при этом авторизовывался на нем по smtps с логином совпадающим с мылом, паролем password. как пытаюсь решить: в /etc/exim4/passwd.client положил запись: smtp.domain.com:f...@domain.com:password далее создал в роутах роут: domaincom: driver = manualroute domains = ! +local_domains route_list = domain.com smtp.domain.com transport = domaincom_smtp далее в транспортах скопипастил smarthost-транспорт: domaincom_smtp: debug_print = T: remote_smtp_smarthost for $local_part@$domain driver = smtp hosts_try_auth = ; ${if exists{CONFDIR/passwd.client} \ {\ ${lookup{$host}nwildlsearch{CONFDIR/passwd.client}{$host_address}}\ }\ {} \ } .ifdef REMOTE_SMTP_SMARTHOST_HOSTS_AVOID_TLS hosts_avoid_tls = REMOTE_SMTP_SMARTHOST_HOSTS_AVOID_TLS .endif .ifdef REMOTE_SMTP_HEADERS_REWRITE headers_rewrite = REMOTE_SMTP_HEADERS_REWRITE .endif .ifdef REMOTE_SMTP_RETURN_PATH return_path = REMOTE_SMTP_RETURN_PATH .endif .ifdef REMOTE_SMTP_HELO_DATA helo_data=REMOTE_SMTP_HELO_DATA .endif далее отправляем почту, авторизация судя по всему успешна, но сервер на который шлем почту (smtp.mail.ru в реале), отвечает следующее: 501 sender address must match authenticated user то есть авторизация у него прошла, но sender не совпадает с тем что авторизован. вопрос как зафорсить sender'а перед передачей письма? пробовал сделать опции у транспорта (для чего собственно понадобилось его скопировать): authenticated_sender = f...@domain.com authenticated_sender_force = true но это не помогает. я в конфиги exim лазию очень редко, поэтому не сильно в них разбираюсь, посоветуйте как решить данную задачку? -- . ''`. Dmitry E. Oboukhov : :’ : email: un...@debian.org jabber://un...@uvw.ru `. `~’ GPGKey: 1024D / F8E26537 2006-11-21 `- 1B23 D4F8 8EC0 D902 0555 E438 AB8C 00CF F8E2 6537 signature.asc Description: Digital signature
Re: exim с указанного адреса авторизоваться
On Tue, Jun 26, 2012 at 12:42:19PM +0400, Dmitry E. Oboukhov wrote: есть exim, который сам доставляет почту (то есть смартхост не используется) если через него отправляют почту с адреса f...@domain.com, то надо чтобы он эту почту клал на smtp-сервер smtp.domain.com и при этом авторизовывался на нем по smtps с логином совпадающим с мылом, паролем password. [skipped] 501 sender address must match authenticated user Для полной ясности я бы все же взглянул на полный лог обмена, запустив exim в режиме отладки: exim -d-all+transport+lookup f...@domain.com /dev/null или так (больше мусора): exim -d f...@domain.com /dev/null -- Stanislav -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20120626214317.GA8010@kaiba.homelan
Re: exim с указанного адреса авторизоваться
On Wed, Jun 27, 2012 at 01:43:17AM +0400, Stanislav Maslovski wrote: On Tue, Jun 26, 2012 at 12:42:19PM +0400, Dmitry E. Oboukhov wrote: есть exim, который сам доставляет почту (то есть смартхост не используется) если через него отправляют почту с адреса f...@domain.com, то надо чтобы он эту почту клал на smtp-сервер smtp.domain.com и при этом авторизовывался на нем по smtps с логином совпадающим с мылом, паролем password. [skipped] 501 sender address must match authenticated user Для полной ясности я бы все же взглянул на полный лог обмена, запустив exim в режиме отладки: exim -d-all+transport+lookup f...@domain.com /dev/null или так (больше мусора): exim -d f...@domain.com /dev/null Тьфу, похоже я мимо текста прочёл: письмо же _с_ f...@domain.com а не _на_ этот адрес. Тогда, наверно, надо что-то типа exim -f f...@domain.com -d s...@example.com /dev/null -- Stanislav -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20120626220030.GA10652@kaiba.homelan
Re: exim с указанного адреса авторизоваться
501 sender address must match authenticated user Для полной ясности я бы все же взглянул на полный лог обмена, запустив exim в режиме отладки: exim -d-all+transport+lookup f...@domain.com /dev/null или так (больше мусора): exim -d f...@domain.com /dev/null Тьфу, похоже я мимо текста прочёл: письмо же _с_ f...@domain.com а не _на_ этот адрес. Тогда, наверно, надо что-то типа exim -f f...@domain.com -d s...@example.com /dev/null спасибо, я уже разобрался: добавил опцию return_path = f...@domain.com и все заработало -- . ''`. Dmitry E. Oboukhov : :’ : email: un...@debian.org jabber://un...@uvw.ru `. `~’ GPGKey: 1024D / F8E26537 2006-11-21 `- 1B23 D4F8 8EC0 D902 0555 E438 AB8C 00CF F8E2 6537 signature.asc Description: Digital signature
Re: exim и 2 ip на вдс
On Thu, Nov 03, 2011 at 03:10:19PM +0400, Дмитрий Савельев wrote: P.S. Немного оффтопичный вопрос, хотя и связанный с вопросом нескольких ip на одном вдс. Если я не разделяю ip по доменам и в dns прописываю одно и то же название хостов для обоих ip (mail.domain.com, smtp.domain.com, pop.domain.com) - это нормально или может породить какие-то конфликты? видимо, никто так и не понял суть вопроса· -- wbr, alexander barakin aka sash-kan. -- i will be very thankful to you if you will use natural for the human order: first question, then the answer. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/2006092050.GA30457@teta.mezon.local
Re: exim и 2 ip на вдс
On Thu, Nov 03, 2011 at 03:10:19PM +0400, Дмитрий Савельев wrote: P.S. Немного оффтопичный вопрос, хотя и связанный с вопросом нескольких ip на одном вдс. Если я не разделяю ip по доменам и в dns прописываю одно и то же название хостов для обоих ip (mail.domain.com, smtp.domain.com, pop.domain.com) - это нормально или может породить какие-то конфликты? В какие записи днс? PTR? А в А что? -- WBR, wRAR signature.asc Description: Digital signature
Re: exim и 2 ip на вдс
On Wed, Nov 02, 2011 at 07:48:11PM +, Дмитрий Савельев wrote: On 02.11.2011 17:42, alexander barakin wrote: On Wed, Nov 02, 2011 at 09:50:53AM +, Дмитрий Савельев wrote: Имеется вдс под Debian Lenny, у него 2 ip. Как заставить exim работать через конкретный ip? Поправил в /etc/exim4.conf.template запись hostlist relay_from_hosts = 127.0.0.1 : ip-addr : second_ip_addr на hostlist relay_from_hosts = 127.0.0.1 : ip-addr , однако все равно шлет через второй, а не первый адрес. сбилось ваше форматирование, но, судя по упомянутым словам, не то вы исправляли· Точно, не то, что-то ступил, просто сделал grep -R ipaddr /etc/exim4 и других конфигов и записей с ip не обнаружил :) А вообще, в этом обилии маленьких файлов тяжело разобраться. По документации, такое поведение должно быть, когда указанные адреса недоступны, однако они все доступны для него. Что делать? нужно добавить запись interface = ip-адрес в конфигурацию соответствующего транспорта· у меня squeeze и exim настроен на «разбиение конфигурации на мелкие файлы», поэтому имена файлов — лишь для общей ориентировки, а главный ориентир — название секции (ну и, конечно, это всё происходит в разделе, описывающем транспорты)· если отправка через smarthost, то в файле /etc/exim4/conf.d/transport/30_exim4-config_remote_smtp_smarthost в секции remote_smtp_smarthost: добавляете interface=ip-адрес если отправка своими силами, то в файле /etc/exim4/conf.d/transport/30_exim4-config_remote_smtp в секции remote_smtp: добавляете interface=ip-адрес вроде как рекомендуют добавлять эту строку не в начале секции, а после строки driver=smtp но, по-моему, и так cойдёт· если не пойдёт, передвиньте· $ sudo update-exim4.conf и проверяйте· Премного благодарен за подробное разъяснение Прописал как Вы написали, однако тестовое письмо пришло со вторым ip-адресом. вы точно в нужном месте записали? проверьте по сгенерированному файлу /var/lib/exim4/config.autogenerated если у вас выбрана «вся конфигурация в одном файле», то надо исправлять этот самый файл /etc/exim4/exim4.conf.template, а не покусочковую разбивку из /etc/exim4/conf.d P.S. Согласно netstat, exim слушает на адресе: :::25 Как это изменить?! $ sudo dpkg-reconfigure exim4-config примерно третий вопрос: Please enter a semicolon-separated list of IP addresses. The Exim SMTP listener daemon will listen on all IP addresses listed here. -- wbr, alexander barakin aka sash-kan. -- i will be very thankful to you if you will use natural for the human order: first question, then the answer. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/2003064919.GP27701@teta.mezon.local
Re: exim и 2 ip на вдс
On 03.11.2011 10:49, alexander barakin wrote: On Wed, Nov 02, 2011 at 07:48:11PM +, Дмитрий Савельев wrote: On 02.11.2011 17:42, alexander barakin wrote: On Wed, Nov 02, 2011 at 09:50:53AM +, Дмитрий Савельев wrote: Имеется вдс под Debian Lenny, у него 2 ip. Как заставить exim работать через конкретный ip? Поправил в /etc/exim4.conf.template запись hostlist relay_from_hosts = 127.0.0.1 : ip-addr : second_ip_addr на hostlist relay_from_hosts = 127.0.0.1 : ip-addr , однако все равно шлет через второй, а не первый адрес. сбилось ваше форматирование, но, судя по упомянутым словам, не то вы исправляли· Точно, не то, что-то ступил, просто сделал grep -R ipaddr /etc/exim4 и других конфигов и записей с ip не обнаружил :) А вообще, в этом обилии маленьких файлов тяжело разобраться. По документации, такое поведение должно быть, когда указанные адреса недоступны, однако они все доступны для него. Что делать? нужно добавить запись interface = ip-адрес в конфигурацию соответствующего транспорта· у меня squeeze и exim настроен на «разбиение конфигурации на мелкие файлы», поэтому имена файлов — лишь для общей ориентировки, а главный ориентир — название секции (ну и, конечно, это всё происходит в разделе, описывающем транспорты)· если отправка через smarthost, то в файле /etc/exim4/conf.d/transport/30_exim4-config_remote_smtp_smarthost в секции remote_smtp_smarthost: добавляете interface=ip-адрес если отправка своими силами, то в файле /etc/exim4/conf.d/transport/30_exim4-config_remote_smtp в секции remote_smtp: добавляете interface=ip-адрес вроде как рекомендуют добавлять эту строку не в начале секции, а после строки driver=smtp но, по-моему, и так cойдёт· если не пойдёт, передвиньте· $ sudo update-exim4.conf и проверяйте· Премного благодарен за подробное разъяснение Прописал как Вы написали, однако тестовое письмо пришло со вторым ip-адресом. вы точно в нужном месте записали? проверьте по сгенерированному файлу /var/lib/exim4/config.autogenerated если у вас выбрана «вся конфигурация в одном файле», то надо исправлять этот самый файл /etc/exim4/exim4.conf.template, а не покусочковую разбивку из /etc/exim4/conf.d Не было параметра в /var/lib/exim4/config.autogenerated Оказывается, я ступил, извиняюсь, думал, что у меня в маленьких конфигах, а оказывается я его переконфигурировал в большой конфиг. Сейчас переконфигурировал в маленькие, и в /var/lib/exim4/config.autogenerated появился этот параметр. Ну или можно было в большой конфиг вписать. И да, большое спасибо, тестовое письмо пришло с первым ip-адресом, с которым я хотел!!! P.S. Прошу прощения за то, что ступил. P.S. Согласно netstat, exim слушает на адресе: :::25 Как это изменить?! $ sudo dpkg-reconfigure exim4-config примерно третий вопрос: Please enter a semicolon-separated list of IP addresses. The Exim SMTP listener daemon will listen on all IP addresses listed here. Спасибо. Однако это не совсем то, как я понял, это где слушать входящие, а не откуда отправлять исходящие, что в данном случае для меня не принципиально. Но, как говориться, каков вопрос, таков и ответ. P.S. Немного оффтопичный вопрос, хотя и связанный с вопросом нескольких ip на одном вдс. Если я не разделяю ip по доменам и в dns прописываю одно и то же название хостов для обоих ip (mail.domain.com, smtp.domain.com, pop.domain.com) - это нормально или может породить какие-то конфликты? -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/1rlvcm-0005hs...@internal.tormail.net
Re: exim и 2 ip на вдс
On Wed, Nov 02, 2011 at 09:50:53AM +, Дмитрий Савельев wrote: Имеется вдс под Debian Lenny, у него 2 ip. Как заставить exim работать через конкретный ip? Поправил в /etc/exim4.conf.template запись hostlist relay_from_hosts = 127.0.0.1 : ip-addr : second_ip_addr на hostlist relay_from_hosts = 127.0.0.1 : ip-addr , однако все равно шлет через второй, а не первый адрес. сбилось ваше форматирование, но, судя по упомянутым словам, не то вы исправляли· По документации, такое поведение должно быть, когда указанные адреса недоступны, однако они все доступны для него. Что делать? нужно добавить запись interface = ip-адрес в конфигурацию соответствующего транспорта· у меня squeeze и exim настроен на «разбиение конфигурации на мелкие файлы», поэтому имена файлов — лишь для общей ориентировки, а главный ориентир — название секции (ну и, конечно, это всё происходит в разделе, описывающем транспорты)· если отправка через smarthost, то в файле /etc/exim4/conf.d/transport/30_exim4-config_remote_smtp_smarthost в секции remote_smtp_smarthost: добавляете interface=ip-адрес если отправка своими силами, то в файле /etc/exim4/conf.d/transport/30_exim4-config_remote_smtp в секции remote_smtp: добавляете interface=ip-адрес вроде как рекомендуют добавлять эту строку не в начале секции, а после строки driver=smtp но, по-моему, и так cойдёт· если не пойдёт, передвиньте· $ sudo update-exim4.conf и проверяйте· -- wbr, alexander barakin aka sash-kan. -- i will be very thankful to you if you will use natural for the human order: first question, then the answer. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/2002174246.GO27701@teta.mezon.local
Re: exim и 2 ip на вдс
On 02.11.2011 17:42, alexander barakin wrote: On Wed, Nov 02, 2011 at 09:50:53AM +, Дмитрий Савельев wrote: Имеется вдс под Debian Lenny, у него 2 ip. Как заставить exim работать через конкретный ip? Поправил в /etc/exim4.conf.template запись hostlist relay_from_hosts = 127.0.0.1 : ip-addr : second_ip_addr на hostlist relay_from_hosts = 127.0.0.1 : ip-addr , однако все равно шлет через второй, а не первый адрес. сбилось ваше форматирование, но, судя по упомянутым словам, не то вы исправляли· Точно, не то, что-то ступил, просто сделал grep -R ipaddr /etc/exim4 и других конфигов и записей с ip не обнаружил :) А вообще, в этом обилии маленьких файлов тяжело разобраться. По документации, такое поведение должно быть, когда указанные адреса недоступны, однако они все доступны для него. Что делать? нужно добавить запись interface = ip-адрес в конфигурацию соответствующего транспорта· у меня squeeze и exim настроен на «разбиение конфигурации на мелкие файлы», поэтому имена файлов — лишь для общей ориентировки, а главный ориентир — название секции (ну и, конечно, это всё происходит в разделе, описывающем транспорты)· если отправка через smarthost, то в файле /etc/exim4/conf.d/transport/30_exim4-config_remote_smtp_smarthost в секции remote_smtp_smarthost: добавляете interface=ip-адрес если отправка своими силами, то в файле /etc/exim4/conf.d/transport/30_exim4-config_remote_smtp в секции remote_smtp: добавляете interface=ip-адрес вроде как рекомендуют добавлять эту строку не в начале секции, а после строки driver=smtp но, по-моему, и так cойдёт· если не пойдёт, передвиньте· $ sudo update-exim4.conf и проверяйте· Премного благодарен за подробное разъяснение Прописал как Вы написали, однако тестовое письмо пришло со вторым ip-адресом. P.S. Согласно netstat, exim слушает на адресе: :::25 Как это изменить?! -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/1rlgnm-000nr1...@internal.tormail.net
Re: про exim -f
02.09.2011 3:10, sergio пишет: Всем привет. Есть exim с виртуальными доменами и пользователями. Не локальные письма он принимает только от авторизованных пользователей. И только с тех адресов, которые принадлежат пользователю. А ещё есть локальные пользователи, от которых exim тоже принимает почту и отправляет как от localuser@maindomain. Но для локальных пользователей существуют виртуальные, с принадлежащими им адресами. Так вот хочется сделать так, что бы локальные пользователи могли отсылать почту со своих адресов, при этом не позволяя им отсылать почту с любых адресов. http://www.lissyara.su/articles/freebsd/mail/exim+courier-imap/ -- Александр Сергеевич Волков Ведущий программист http://www.rfidjournal.com/article/view/8600/1 - Read the story in RFID mob: +79215283540 e-mail: v...@lab127.karelia.ru skype: v2003_2...@mail.ru -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4e60896e.2030...@lab127.karelia.ru
про exim -f
Всем привет. Есть exim с виртуальными доменами и пользователями. Не локальные письма он принимает только от авторизованных пользователей. И только с тех адресов, которые принадлежат пользователю. А ещё есть локальные пользователи, от которых exim тоже принимает почту и отправляет как от localuser@maindomain. Но для локальных пользователей существуют виртуальные, с принадлежащими им адресами. Так вот хочется сделать так, что бы локальные пользователи могли отсылать почту со своих адресов, при этом не позволяя им отсылать почту с любых адресов. -- sergio. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4e6010e1.3000...@sergio.spb.ru
Обновление Exim
Всем привет. Что-то в репозиториях нет обновлённого exima'a (в том смысле, что есть только версия 4.69). Или всё таки-есть? Хочется закрыть недавнюю уюзвимость в exim'e. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4d2d8e11.6020...@lissyara.su
Re: Обновление Exim
sls Всем привет. sls Что-то в репозиториях нет обновлённого exima'a sls (в том смысле, что есть только версия 4.69). Или sls всё таки-есть? Хочется закрыть недавнюю sls уюзвимость в exim'e. дык на нее наложили патч и зааплоадили еще 10 декабря. см. чейнджлог пакета с екзимом -- ... mpd is off . ''`. Dmitry E. Oboukhov : :’ : email: un...@debian.org jabber://un...@uvw.ru `. `~’ GPGKey: 1024D / F8E26537 2006-11-21 `- 1B23 D4F8 8EC0 D902 0555 E438 AB8C 00CF F8E2 6537 signature.asc Description: Digital signature
Re: Обновление Exim
Привет, On 01/12/2011 12:18 PM, skele...@lissyara.su wrote: Всем привет. Что-то в репозиториях нет обновлённого exima'a (в том смысле, что есть только версия 4.69). Или всё таки-есть? Хочется закрыть недавнюю уюзвимость в exim'e. было только обновление, обновлённая версия в debian lenny: 4.69-9+len Проверить это вы сможете так: *aptitude search exim4 -F %V%p* -- Игорь
Re: В Exim обнару жена критическ ая уязвимость, позволяющая получ ить root-права на сервере
На рассылку сейчас не подписан, не имею возможности ответить в тот же тред. один фиг qmail - ацтой. ибо даже в дебиане вынуждены извращаться с src-пакетами вместо того чтобы собрать обычный пакет. Глупости. В дебиане извращаются, как вам угодно было выразиться, отнюдь не из-за лицензионной политики qmail, а сами по себе. Уже давно нет ограничений на распространение кода и бинарей. Притом и деб-пакеты давно готовы, подробнее см. http://smarden.org/pape/Debian/sid.html http://ftp-master.debian.org/new.html Замечу, что этот же человек является мантейнером dash и других более безопасных и быстрых альтернатив давно прижившегося ПО. После ситуации с тиклем, где мантейнер отказывается даже смотреть результаты тестирования AOL Server с Tcl 8.5, хотя именно эта сборка должна была бы быть в ленни, а вместо этого издевается над замшелой версией AOL с древним тиклем 8.4 (признавая, что дистрибутивная сборка вовсе нерабочая и ее использовать нельзя); ситуации с эскулайт, где мантейнер после моих настойчивых багрепортов об отсутствии поддержки юникода таки собрал сборку с ICU, по вскоре по тихому отключил эту самую поддержку, притом не соизволив отметить это в чанжлоге (утверждает, на 64 бит хосте могут быть проблемы; как ни странно, у меня в продакшене на 32 бит и 64 бит работает замечательно - вероятно, потому, что я не использую патчи из дебиановского пакета, про которые апстрим говорит, что это дерьмо и их выкинуть надо, т.к. они на 64 бит приведут к ошибкам) - мое личное мнение, что кроме базовой системы, на дистрибутивный софт рассчитывать, как минимум, опрометчиво. Притом мнение апстрима полностью игнорируется, кроме двух примеров выше, стоит добавить haproxy и можно дальше продолжать - какие-то левые патчи накладываются, которые проблем несут больше чем исправляют, и проч. Подозреваю, что с другими пакетами не лучше, если всерьез разобраться... С openssl это лишь верхушка айсберга была, а сам айсберг - 20 тыщ черт знает какого качества пакетов в репозитории. Выкинуть бы 80% из них в дополнительные репозитории, а оставшиеся довести до ума... -- Best regards, Alexey Pechnikov. http://pechnikov.tel/