Freesco, NND, CDN, EOS
http://forum.freesco.pl/

Ważne!! Hermes - konfiguracja - update.
http://forum.freesco.pl/viewtopic.php?f=24&t=16304
Strona 1 z 1

Autor:  Maciek [ środa, 5 grudnia 2007, 22:59 ]
Tytuł:  Ważne!! Hermes - konfiguracja - update.

W wyniku analizy robionej przez Bartka (czerwo) okazało się, że w ostatniej propozycji dotyczącej problemów z działaniem hermesa był błąd, który może skutkować open relayem.
Przypomnę, w przypadku problemów z resolwowaniem nazwy serwera przez hermesa radziłem wpisanie:
server_host = "localhost"
To skutkuje i hermes zaczyna działać, jednak jeśli znajdą się spamerzy na tyle cierpliwi, żeby połączenia powtarzać, mogą wysyłać z serwera dowolne maile.
W praktyce oznacza to, że co 15 minut można wysłać spam na dowolny serwer w necie.
Co zatem zrobić? Najlepiej jeśli dyrektywa server_host może być ustawiona na zewnętrzną nazwę serwera. Warunek oczywisty - serwer musi być połączony z internetem jako brama bezpośrednio z zewnętrznym IP. Jeśli serwer poczty jest forwardowany (czy za innym komputerem, czy też za jakimś sprzętowym urządzeniem) to się nie uda.
Sposób drugi to server_host = "192.168.1.2" (czyli numer komputera w LANie), ale uwaga - w eximie linia:
hostlist relay_from_hosts = 127.0.0.1
nie może zawierać IP z lokalnej sieci.
Powinno zadziałać.
Sposób trzeci, jaki zastosował Bartek - dodał ifconfig eth0:1 add IP_PUBLICZNE i to zaczęło działać.
Sposób czwarty, być może również skuteczny, ale nie sprawdzony. Do pliku /etc/hosts dodać linijkę:
192.168.1.2 moja.domena.pl
Podałem sposoby - jakich można użyć, aby hermes nie przekazywał połączenia do exima jako localhost. Jest to warunek konieczny, aby exim nie stał się open relay.

Autor:  czerwo [ czwartek, 6 grudnia 2007, 18:26 ]
Tytuł: 

z wpisem w hosts nie działa
Nie działa nawet wpisane w hosts ip_publiczne domena i zmiana w hermesie server_host = "localhost" na "domene"

Autor:  passy [ środa, 6 lutego 2008, 17:26 ]
Tytuł: 

Wszystko ładnie, ale czy ktoś wie jak można jeszcze to załatać ? Mój serwer po wdrożeniu hermesa również stał się openrelayem.

Autor:  viater [ środa, 6 lutego 2008, 18:04 ]
Tytuł: 

A ja dalej nie wiem, dlaczego exim staje się open-relay ?

Autor:  Maciek [ środa, 6 lutego 2008, 18:11 ]
Tytuł: 

Jeśli hermesowi wpiszesz 127.0.0.1 lub adres lokalny serwera np. 192.168.1.1, to exim uważa, że wszystkie maile są z tego właśnie hosta. Jeśłi powyższe adresy są wpisane do relay w konfigu, to automatycznie exim puszcza. Oczywiście wielokrotnie już pisaliśmy, że nie należy dopuszczać lokalnej sieci do relayu bez autoryzacji, powinien być tam jedynie 127.0.01 ze względu na komunikaty systemowe. Tak czy inaczej - 127.0.0.1 powoduje możliwość wysłania dowolnej poczty, trzeba tylko poczekać aż hermes usunie gryelisting po jakichś 15 minutach.

Autor:  passy [ środa, 6 lutego 2008, 18:28 ]
Tytuł: 

OK, ale hermesowi wpisałem zewnętrzne IP i dalej http://www.dnsgoodies.com/ twierdzi że mój serwer jest openrelay :-(

w configie exima mam

: [/] [] ()
domainlist relay_to_domains = @:
hostlist   relay_from_hosts = @: 127.0.0.1



I jeszcze jedna sprawa.
w /etc/rc.d/exim zmieniłem by exim uruchamiał się na porcie 2525

: [/] [] ()
start() {
  stat_busy "Uruchamiam Exim'a"
  sec_keys
  [ -z "$PID" ] && /usr/sbin/exim -bd -q15m && \
  /usr/sbin/exim -bd -q15m -oX 2525
  if [ $? -gt 0 ]; then
    stat_fail
  else
    add_daemon exim
    stat_done
  fi
}



Napiszcie czy tak to ma wyglądać. Pytam, bo niestety po uruchomienia exima w takiej konfiguracji on nadal pozwala mi na wysyłanie maili przez port 25 (outlook z zewnętrznej sieci)[/code]

Autor:  viater [ środa, 6 lutego 2008, 18:40 ]
Tytuł: 

passy pisze:
OK, ale hermesowi wpisałem zewnętrzne IP i dalej http://www.dnsgoodies.com/ twierdzi że mój serwer jest openrelay :-(

w configie exima mam

: [/] [] ()
domainlist relay_to_domains = @:
hostlist   relay_from_hosts = @: 127.0.0.1


Małpy na drzewo.
: [/] [] ()
domainlist relay_to_domains =
hostlist   relay_from_hosts = 127.0.0.1

Autor:  passy [ środa, 6 lutego 2008, 18:47 ]
Tytuł: 

OK. A co z możliwością wysyłania poczty przez port 25 pomimo, że ma uruchamiać się na 2525 ?

Autor:  Maciek [ środa, 6 lutego 2008, 18:49 ]
Tytuł: 

ODpowiedni kawałek skryptu uruchamiającego exima:
: [/] [] ()
start() {
  stat_busy "Uruchamiam Exim'a"
  sec_keys
  [ -z "$PID" ] && /usr/sbin/exim -bd -q15m
  if [ $? -gt 0 ]; then
    stat_fail
  else
    add_daemon exim
    stat_done
  fi
}

W pliku konfiguracyjnym exima, moze być na początku:
Cytuj:
daemon_smtp_ports = 2525 : 465
tls_on_connect_ports = 465

Podczas sprawdzania z adresu, jaki podałeś - serwera z hermesem, powinien przerwać test i powiedzieć, że za długo to trwa.

Autor:  passy [ środa, 6 lutego 2008, 19:14 ]
Tytuł: 

Niestety dnsgoodies.com podaje mi że nadal jestem openrelay:-(

: [/] [] ()
>> MAIL FROM:<spammer@192.168.2.227>
<< 250 OK
>> RCPT TO:<spammee@83.15.144.252>
<< 550-Verification failed for
>> RSET
<< 550-Unrouteable address
550 Sender verify failed
>> MAIL FROM:<spammer@192.168.2.227>
<< 250 Reset OK
>> RCPT TO:<"spammee@83.15.144.252">
<< 250 OK
WARNING!
Our tests indicate your mail server allows open relay.



Gdy go testowałem zaraz po instalacji hermesa ładnie zgłaszało mi się, że adres jest greylisted, ale wtedy gdy serwer już go wpuścił to pojawia się komunikat powyżej. Nie wiem dlaczego hermes teraz pozwala za każdym razem dostać się do serwera. Nie powinien przypadkiem pozwalać raz na kilkanaście minut ?? (przynajmniej tak wyczytałem w którymś z opisów na forum)

Autor:  Maciek [ środa, 6 lutego 2008, 20:24 ]
Tytuł: 

Szklana kula się stłukła, a bez niej nie potrafię odgadnąć twojej konfiguracji. Poszukaj następnej wróżki. Niewątpliwie masz open relay - tyle jestem w stanie stwierdzić.
Jeśli jakiś adres zostanie dopisany do listy jako serwer mający dostęp, to hermes przechowuje to przez jakiś czas.

Autor:  passy [ środa, 6 lutego 2008, 20:56 ]
Tytuł: 

Config exima:
http://panet.pl/config.php

config hermesa
http://panet.pl/hermes.conf

Dziwne, że po wyłączeniu hermesa i ustawieniu exima spowrotem na port 25 wszystko działa jak należy i serwer przechodzi wszystkie testy :/

Autor:  Maciek [ środa, 6 lutego 2008, 21:50 ]
Tytuł: 

[Hermes się zgłasza prawidłowo i jego konfiguracja może być, choć ja bym wstawił domenę zamiast IP. Konfigu exima nie wystawiłeś, tylko jakieś krzaki.[/quote]

Autor:  viater [ środa, 6 lutego 2008, 22:03 ]
Tytuł: 

A ja bym dorzucił w konfigu hermesa:
: [/] [] ()
bind_to = "80.53.38.170"

Autor:  passy [ środa, 6 lutego 2008, 22:42 ]
Tytuł: 

Dorzuciłem wpis do bind_to ale i to nic nie dało.
Zmieniony został wpis w hermesie na domenę.

http://panet.pl/exim.conf

poprawiony

Autor:  viater [ środa, 6 lutego 2008, 23:06 ]
Tytuł: 

A spróbuj jeszcze wyrzucić te 192.168.0.0/16 z relay_from_hosts ...

Autor:  passy [ środa, 6 lutego 2008, 23:20 ]
Tytuł: 

ale to jest zahaszowane

Autor:  viater [ środa, 6 lutego 2008, 23:46 ]
Tytuł: 

passy pisze:
ale to jest zahaszowane

Sorry, nie zauważyłem :oops:
Aczkolwiek 127.0.0.1 powinno być, inaczej będzie problem z wysyłaniem maili z serwera (np. maili z crona etc.).

Autor:  Maciek [ czwartek, 7 lutego 2008, 00:11 ]
Tytuł: 

Po pierwsze, skoro masz spamassassina, to po licho jeszcze hermes. Po drugie - masz:
hostlist rbl_white_hosts = \
127.0.0.0/8 : \
192.168.0.0/24
Co to ma być? Dyrektywa relay_hosts to za mało?
Exima nie sposób sprawdzić, bo port 2525 masz zamknięty.

Strona 1 z 1 Strefa czasowa UTC+2godz.
Powered by phpBB® Forum Software © phpBB Group
https://www.phpbb.com/