Freesco, NND, CDN, EOS http://forum.freesco.pl/ |
|
Ważne!! Hermes - konfiguracja - update. http://forum.freesco.pl/viewtopic.php?f=24&t=16304 |
Strona 1 z 1 |
Autor: | Maciek [ środa, 5 grudnia 2007, 22:59 ] |
Tytuł: | Ważne!! Hermes - konfiguracja - update. |
W wyniku analizy robionej przez Bartka (czerwo) okazało się, że w ostatniej propozycji dotyczącej problemów z działaniem hermesa był błąd, który może skutkować open relayem. Przypomnę, w przypadku problemów z resolwowaniem nazwy serwera przez hermesa radziłem wpisanie: server_host = "localhost" To skutkuje i hermes zaczyna działać, jednak jeśli znajdą się spamerzy na tyle cierpliwi, żeby połączenia powtarzać, mogą wysyłać z serwera dowolne maile. W praktyce oznacza to, że co 15 minut można wysłać spam na dowolny serwer w necie. Co zatem zrobić? Najlepiej jeśli dyrektywa server_host może być ustawiona na zewnętrzną nazwę serwera. Warunek oczywisty - serwer musi być połączony z internetem jako brama bezpośrednio z zewnętrznym IP. Jeśli serwer poczty jest forwardowany (czy za innym komputerem, czy też za jakimś sprzętowym urządzeniem) to się nie uda. Sposób drugi to server_host = "192.168.1.2" (czyli numer komputera w LANie), ale uwaga - w eximie linia: hostlist relay_from_hosts = 127.0.0.1 nie może zawierać IP z lokalnej sieci. Powinno zadziałać. Sposób trzeci, jaki zastosował Bartek - dodał ifconfig eth0:1 add IP_PUBLICZNE i to zaczęło działać. Sposób czwarty, być może również skuteczny, ale nie sprawdzony. Do pliku /etc/hosts dodać linijkę: 192.168.1.2 moja.domena.pl Podałem sposoby - jakich można użyć, aby hermes nie przekazywał połączenia do exima jako localhost. Jest to warunek konieczny, aby exim nie stał się open relay. |
Autor: | czerwo [ czwartek, 6 grudnia 2007, 18:26 ] |
Tytuł: | |
z wpisem w hosts nie działa Nie działa nawet wpisane w hosts ip_publiczne domena i zmiana w hermesie server_host = "localhost" na "domene" |
Autor: | passy [ środa, 6 lutego 2008, 17:26 ] |
Tytuł: | |
Wszystko ładnie, ale czy ktoś wie jak można jeszcze to załatać ? Mój serwer po wdrożeniu hermesa również stał się openrelayem. |
Autor: | viater [ środa, 6 lutego 2008, 18:04 ] |
Tytuł: | |
A ja dalej nie wiem, dlaczego exim staje się open-relay ? |
Autor: | Maciek [ środa, 6 lutego 2008, 18:11 ] |
Tytuł: | |
Jeśli hermesowi wpiszesz 127.0.0.1 lub adres lokalny serwera np. 192.168.1.1, to exim uważa, że wszystkie maile są z tego właśnie hosta. Jeśłi powyższe adresy są wpisane do relay w konfigu, to automatycznie exim puszcza. Oczywiście wielokrotnie już pisaliśmy, że nie należy dopuszczać lokalnej sieci do relayu bez autoryzacji, powinien być tam jedynie 127.0.01 ze względu na komunikaty systemowe. Tak czy inaczej - 127.0.0.1 powoduje możliwość wysłania dowolnej poczty, trzeba tylko poczekać aż hermes usunie gryelisting po jakichś 15 minutach. |
Autor: | passy [ środa, 6 lutego 2008, 18:28 ] |
Tytuł: | |
OK, ale hermesowi wpisałem zewnętrzne IP i dalej http://www.dnsgoodies.com/ twierdzi że mój serwer jest openrelay ![]() w configie exima mam domainlist relay_to_domains = @: hostlist relay_from_hosts = @: 127.0.0.1 I jeszcze jedna sprawa. w /etc/rc.d/exim zmieniłem by exim uruchamiał się na porcie 2525 start() { stat_busy "Uruchamiam Exim'a" sec_keys [ -z "$PID" ] && /usr/sbin/exim -bd -q15m && \ /usr/sbin/exim -bd -q15m -oX 2525 if [ $? -gt 0 ]; then stat_fail else add_daemon exim stat_done fi } Napiszcie czy tak to ma wyglądać. Pytam, bo niestety po uruchomienia exima w takiej konfiguracji on nadal pozwala mi na wysyłanie maili przez port 25 (outlook z zewnętrznej sieci)[/code] |
Autor: | viater [ środa, 6 lutego 2008, 18:40 ] |
Tytuł: | |
passy pisze: OK, ale hermesowi wpisałem zewnętrzne IP i dalej http://www.dnsgoodies.com/ twierdzi że mój serwer jest openrelay ![]() w configie exima mam domainlist relay_to_domains = @: hostlist relay_from_hosts = @: 127.0.0.1 Małpy na drzewo. |
Autor: | passy [ środa, 6 lutego 2008, 18:47 ] |
Tytuł: | |
OK. A co z możliwością wysyłania poczty przez port 25 pomimo, że ma uruchamiać się na 2525 ? |
Autor: | Maciek [ środa, 6 lutego 2008, 18:49 ] |
Tytuł: | |
ODpowiedni kawałek skryptu uruchamiającego exima: start() { stat_busy "Uruchamiam Exim'a" sec_keys [ -z "$PID" ] && /usr/sbin/exim -bd -q15m if [ $? -gt 0 ]; then stat_fail else add_daemon exim stat_done fi } W pliku konfiguracyjnym exima, moze być na początku: Cytuj: daemon_smtp_ports = 2525 : 465
tls_on_connect_ports = 465 Podczas sprawdzania z adresu, jaki podałeś - serwera z hermesem, powinien przerwać test i powiedzieć, że za długo to trwa. |
Autor: | passy [ środa, 6 lutego 2008, 19:14 ] |
Tytuł: | |
Niestety dnsgoodies.com podaje mi że nadal jestem openrelay:-( >> MAIL FROM:<spammer@192.168.2.227> << 250 OK >> RCPT TO:<spammee@83.15.144.252> << 550-Verification failed for >> RSET << 550-Unrouteable address 550 Sender verify failed >> MAIL FROM:<spammer@192.168.2.227> << 250 Reset OK >> RCPT TO:<"spammee@83.15.144.252"> << 250 OK WARNING! Our tests indicate your mail server allows open relay. Gdy go testowałem zaraz po instalacji hermesa ładnie zgłaszało mi się, że adres jest greylisted, ale wtedy gdy serwer już go wpuścił to pojawia się komunikat powyżej. Nie wiem dlaczego hermes teraz pozwala za każdym razem dostać się do serwera. Nie powinien przypadkiem pozwalać raz na kilkanaście minut ?? (przynajmniej tak wyczytałem w którymś z opisów na forum) |
Autor: | Maciek [ środa, 6 lutego 2008, 20:24 ] |
Tytuł: | |
Szklana kula się stłukła, a bez niej nie potrafię odgadnąć twojej konfiguracji. Poszukaj następnej wróżki. Niewątpliwie masz open relay - tyle jestem w stanie stwierdzić. Jeśli jakiś adres zostanie dopisany do listy jako serwer mający dostęp, to hermes przechowuje to przez jakiś czas. |
Autor: | passy [ środa, 6 lutego 2008, 20:56 ] |
Tytuł: | |
Config exima: http://panet.pl/config.php config hermesa http://panet.pl/hermes.conf Dziwne, że po wyłączeniu hermesa i ustawieniu exima spowrotem na port 25 wszystko działa jak należy i serwer przechodzi wszystkie testy :/ |
Autor: | Maciek [ środa, 6 lutego 2008, 21:50 ] |
Tytuł: | |
[Hermes się zgłasza prawidłowo i jego konfiguracja może być, choć ja bym wstawił domenę zamiast IP. Konfigu exima nie wystawiłeś, tylko jakieś krzaki.[/quote] |
Autor: | viater [ środa, 6 lutego 2008, 22:03 ] |
Tytuł: | |
A ja bym dorzucił w konfigu hermesa: |
Autor: | passy [ środa, 6 lutego 2008, 22:42 ] |
Tytuł: | |
Dorzuciłem wpis do bind_to ale i to nic nie dało. Zmieniony został wpis w hermesie na domenę. http://panet.pl/exim.conf poprawiony |
Autor: | viater [ środa, 6 lutego 2008, 23:06 ] |
Tytuł: | |
A spróbuj jeszcze wyrzucić te 192.168.0.0/16 z relay_from_hosts ... |
Autor: | passy [ środa, 6 lutego 2008, 23:20 ] |
Tytuł: | |
ale to jest zahaszowane |
Autor: | viater [ środa, 6 lutego 2008, 23:46 ] |
Tytuł: | |
passy pisze: ale to jest zahaszowane
Sorry, nie zauważyłem ![]() Aczkolwiek 127.0.0.1 powinno być, inaczej będzie problem z wysyłaniem maili z serwera (np. maili z crona etc.). |
Autor: | Maciek [ czwartek, 7 lutego 2008, 00:11 ] |
Tytuł: | |
Po pierwsze, skoro masz spamassassina, to po licho jeszcze hermes. Po drugie - masz: hostlist rbl_white_hosts = \ 127.0.0.0/8 : \ 192.168.0.0/24 Co to ma być? Dyrektywa relay_hosts to za mało? Exima nie sposób sprawdzić, bo port 2525 masz zamknięty. |
Strona 1 z 1 | Strefa czasowa UTC+2godz. |
Powered by phpBB® Forum Software © phpBB Group https://www.phpbb.com/ |