Freesco, NND, CDN, EOS

W wyniku analizy robionej przez Bartka (czerwo) okazało się, że w ostatniej propozycji dotyczącej problemów z działaniem hermesa był błąd, który może skutkować open relayem.
Przypomnę, w przypadku problemów z resolwowaniem nazwy serwera przez hermesa radziłem wpisanie:
server_host = "localhost"
To skutkuje i hermes zaczyna działać, jednak jeśli znajdą się spamerzy na tyle cierpliwi, żeby połączenia powtarzać, mogą wysyłać z serwera dowolne maile.
W praktyce oznacza to, że co 15 minut można wysłać spam na dowolny serwer w necie.
Co zatem zrobić? Najlepiej jeśli dyrektywa server_host może być ustawiona na zewnętrzną nazwę serwera. Warunek oczywisty - serwer musi być połączony z internetem jako brama bezpośrednio z zewnętrznym IP. Jeśli serwer poczty jest forwardowany (czy za innym komputerem, czy też za jakimś sprzętowym urządzeniem) to się nie uda.
Sposób drugi to server_host = "192.168.1.2" (czyli numer komputera w LANie), ale uwaga - w eximie linia:
hostlist relay_from_hosts = 127.0.0.1
nie może zawierać IP z lokalnej sieci.
Powinno zadziałać.
Sposób trzeci, jaki zastosował Bartek - dodał ifconfig eth0:1 add IP_PUBLICZNE i to zaczęło działać.
Sposób czwarty, być może również skuteczny, ale nie sprawdzony. Do pliku /etc/hosts dodać linijkę:
192.168.1.2 moja.domena.pl
Podałem sposoby - jakich można użyć, aby hermes nie przekazywał połączenia do exima jako localhost. Jest to warunek konieczny, aby exim nie stał się open relay.

_________________
Belfer.one.PL
Audio Cafe

z wpisem w hosts nie działa
Nie działa nawet wpisane w hosts ip_publiczne domena i zmiana w hermesie server_host = "localhost" na "domene"

_________________

Wszystko ładnie, ale czy ktoś wie jak można jeszcze to załatać ? Mój serwer po wdrożeniu hermesa również stał się openrelayem.

_________________
Nie ma takich rzeczy na świecie, których nie możnaby naprawić odpowiednią ilością taśmy klejącej
WWW.PANET.PL

A ja dalej nie wiem, dlaczego exim staje się open-relay ?

_________________
F33/F07,F11,F13,F17

Jeśli hermesowi wpiszesz 127.0.0.1 lub adres lokalny serwera np. 192.168.1.1, to exim uważa, że wszystkie maile są z tego właśnie hosta. Jeśłi powyższe adresy są wpisane do relay w konfigu, to automatycznie exim puszcza. Oczywiście wielokrotnie już pisaliśmy, że nie należy dopuszczać lokalnej sieci do relayu bez autoryzacji, powinien być tam jedynie 127.0.01 ze względu na komunikaty systemowe. Tak czy inaczej - 127.0.0.1 powoduje możliwość wysłania dowolnej poczty, trzeba tylko poczekać aż hermes usunie gryelisting po jakichś 15 minutach.

_________________
Belfer.one.PL
Audio Cafe

OK, ale hermesowi wpisałem zewnętrzne IP i dalej http://www.dnsgoodies.com/ twierdzi że mój serwer jest openrelay

w configie exima mam




I jeszcze jedna sprawa.
w /etc/rc.d/exim zmieniłem by exim uruchamiał się na porcie 2525



Napiszcie czy tak to ma wyglądać. Pytam, bo niestety po uruchomienia exima w takiej konfiguracji on nadal pozwala mi na wysyłanie maili przez port 25 (outlook z zewnętrznej sieci)[/code]

_________________
Nie ma takich rzeczy na świecie, których nie możnaby naprawić odpowiednią ilością taśmy klejącej
WWW.PANET.PL

Małpy na drzewo.

_________________
F33/F07,F11,F13,F17

OK. A co z możliwością wysyłania poczty przez port 25 pomimo, że ma uruchamiać się na 2525 ?

_________________
Nie ma takich rzeczy na świecie, których nie możnaby naprawić odpowiednią ilością taśmy klejącej
WWW.PANET.PL

ODpowiedni kawałek skryptu uruchamiającego exima:

W pliku konfiguracyjnym exima, moze być na początku:

Podczas sprawdzania z adresu, jaki podałeś - serwera z hermesem, powinien przerwać test i powiedzieć, że za długo to trwa.

_________________
Belfer.one.PL
Audio Cafe

Niestety dnsgoodies.com podaje mi że nadal jestem openrelay:-(




Gdy go testowałem zaraz po instalacji hermesa ładnie zgłaszało mi się, że adres jest greylisted, ale wtedy gdy serwer już go wpuścił to pojawia się komunikat powyżej. Nie wiem dlaczego hermes teraz pozwala za każdym razem dostać się do serwera. Nie powinien przypadkiem pozwalać raz na kilkanaście minut ?? (przynajmniej tak wyczytałem w którymś z opisów na forum)

_________________
Nie ma takich rzeczy na świecie, których nie możnaby naprawić odpowiednią ilością taśmy klejącej
WWW.PANET.PL

Szklana kula się stłukła, a bez niej nie potrafię odgadnąć twojej konfiguracji. Poszukaj następnej wróżki. Niewątpliwie masz open relay - tyle jestem w stanie stwierdzić.
Jeśli jakiś adres zostanie dopisany do listy jako serwer mający dostęp, to hermes przechowuje to przez jakiś czas.

_________________
Belfer.one.PL
Audio Cafe

Config exima:
http://panet.pl/config.php

config hermesa
http://panet.pl/hermes.conf

Dziwne, że po wyłączeniu hermesa i ustawieniu exima spowrotem na port 25 wszystko działa jak należy i serwer przechodzi wszystkie testy :/

_________________
Nie ma takich rzeczy na świecie, których nie możnaby naprawić odpowiednią ilością taśmy klejącej
WWW.PANET.PL

[Hermes się zgłasza prawidłowo i jego konfiguracja może być, choć ja bym wstawił domenę zamiast IP. Konfigu exima nie wystawiłeś, tylko jakieś krzaki.[/quote]

_________________
Belfer.one.PL
Audio Cafe

A ja bym dorzucił w konfigu hermesa:

_________________
F33/F07,F11,F13,F17

Dorzuciłem wpis do bind_to ale i to nic nie dało.
Zmieniony został wpis w hermesie na domenę.

http://panet.pl/exim.conf

poprawiony

_________________
Nie ma takich rzeczy na świecie, których nie możnaby naprawić odpowiednią ilością taśmy klejącej
WWW.PANET.PL

A spróbuj jeszcze wyrzucić te 192.168.0.0/16 z relay_from_hosts ...

_________________
F33/F07,F11,F13,F17

ale to jest zahaszowane

_________________
Nie ma takich rzeczy na świecie, których nie możnaby naprawić odpowiednią ilością taśmy klejącej
WWW.PANET.PL

Sorry, nie zauważyłem
Aczkolwiek 127.0.0.1 powinno być, inaczej będzie problem z wysyłaniem maili z serwera (np. maili z crona etc.).

_________________
F33/F07,F11,F13,F17

Po pierwsze, skoro masz spamassassina, to po licho jeszcze hermes. Po drugie - masz:
hostlist rbl_white_hosts = \
127.0.0.0/8 : \
192.168.0.0/24
Co to ma być? Dyrektywa relay_hosts to za mało?
Exima nie sposób sprawdzić, bo port 2525 masz zamknięty.

_________________
Belfer.one.PL
Audio Cafe