PLD Linux Forum Strona Główna PLD Linux Forum
Oficjalne forum dystrybucji PLD Linux

FAQFAQ  SzukajSzukaj  UżytkownicyUżytkownicy  GrupyGrupy
RejestracjaRejestracja  ZalogujZaloguj

Poprzedni temat «» Następny temat
[HOWTO] Exim + greylisting (bez bazy danych)
Autor Wiadomość
dlugi 
duddits


Pomógł: 44 razy
Dołączył: 05 Kwi 2006
Posty: 338
Wysłany: 21 Styczeń 2007, 14:51   [HOWTO] Exim + greylisting (bez bazy danych)

Widzę, że shadeo spłodził małego "hałtusa" do postfiksa,
więc żebyście nie mieli mylnego skądinąd wrażenia, że w eksimie
"się nie da" :razz: to załączam mini-howto jak to samo
osiągnąc właśnie w tym MTA.


    1. Budujemy paczkę z greylistd.spec

    2. Po instalacji w domyślnej konfiguracji praktycznie
    nie ma co zmieniać. Ja zmniejszyłem sobie tylko:
    retryMin z domyślnej godziny (3600) do pół (1800).

    3. Możemy teraz przejść do tuningu naszego eksima.
    Też sprawa raczej prosta, bo w paczce greylistd jest
    dobry przykład w dokumentacji.
    Na początku sekcji acl_check_rcpt dopisujemy:
    Kod:

    defer message = $sender_host_address is not yet authorized to deliver \     
                       mail from <$sender_address> to <$local_part@$domain>. \     
                       Please try again in a few minutes.
    log_message   = greylisted.                                                 
       !senders      = :                                                           
       !hosts        = : +relay_from_hosts : \                                     
                         ${if exists {/etc/greylistd/whitelist-hosts} \             
                                     {/etc/greylistd/whitelist-hosts}{}} : \       
                         ${if exists {/var/lib/greylistd/whitelist-hosts} \         
                                     {/var/lib/greylistd/whitelist-hosts}{}}       
       !authenticated = *                                                           
       domains        = +local_domains : +relay_to_domains                         
       verify         = recipient/callout=20s,use_sender,defer_ok
       condition      = ${readsocket{/var/run/greylistd/socket} \                   
                        {--grey \                                                   
                        $sender_host_address \                                     
                        $sender_address \                                           
                        $local_part@$domain} \                                     
                        {5s}{}{false}}

    Czym jest "łajt-lista" to chyba wszyscy wiedzą. Najlepiej operować
    IP-kami.

    4. Wystartować greylistd i zrestartować eksima.

    5. Popatrzeć w log eksima, powinno pojawić się tam coś takiego:
    Kod:
    temporarily rejected RCPT <adres@domena.pl>: greylisted


    6. Jak się pojawiło to dobrze :smile: No i to właściwie koniec. Można jeszcze
    sprawdzić sobie czy greylistd zapisuje stan swoich działań:
    Kod:
    sudo ls -l /var/lib/greylistd
    -rw-------  1 mail mail 255683 2007-01-21 14:47 states
    -rw-------  1 mail mail 530547 2007-01-21 14:47 triplets


Jakby co to dajcie znać na PW czy coś tu poprawić/dopisać.
_________________
duddits
::http://fz6.pl/::
 
 
awass 


Pomógł: 16 razy
Dołączył: 22 Maj 2006
Posty: 255
Skąd: Warszawa
Wysłany: 22 Styczeń 2007, 09:12   

Moze i ja cos dopisze jesli ktos chce to zrobic na Mysqlu:
temat moze nie pasuje tutaj ale zawsze mozna go przeklecic

zakladam ze masz exima polaczonego z mysqlem

zaczynamy od begin acl
u mnie acl_rcpt_to:

lista spamerów dopisywana np. w intranecie:
Kod:

deny
message = Rejected spamer
condition  = ${if eq{}{${lookup mysql {SELECT mail FROM spamers WHERE \
                mail='${sender_address}'}}}{no}{yes}}


akceptujemy hosty z white_list:
Kod:

accept
condition = ${if eq{}{${lookup mysql {select domain from white_list where \
                 '${sender_host_name}' like concat('%', domain)}}}{no}{yes}}


akceptujemy uzytkownikow z white_users:
Kod:

accept
condition = ${if eq{}{${lookup mysql {select id from white_users where \
                 mail = '${sender_address}'}}}{no}{yes}}


teraz blokujemy hosty z block_hosts (osobiscie blokuje cale domeny czyli wpis w tej tabeli np net zablokuje wszystko z koncowka .net np poczta.net czy mail.domena.net) to samo tyczy sie white_listy hostow:
Kod:

deny
message     = Twoj host jest zablokowany przez admina
condition = ${if eq{}{${lookup mysql {select domain from block_hosts where \
                 '${sender_host_name}' like concat('%', domain)}}}{no}{yes}}


trzeba jeszcze utworzyc 4 tabele w mysqlu:
block_host z polami id,domain
spamers z polami id,mail
white_list z polami id,domain
white_users z polami id, mail

dodatkowo na kazde pole ustawiamy indexy co znacznie przyspiesza przeszukiwanie takich tabel - jest to o wiele szybsze niz trzymanie wpisow w plikach

drugim plusem takiego rozwiazania jest to ze nie trzeba restartowac exima po dodaniu wpisow i kilka prostych formularzy pozwoli na dodawanie wpisów nawet użytkownikom
_________________
pozdr A

www.awass.pl
 
 
 
bioly 
#PLDHelp


Distro: PLD 2.0;3.0
Pomógł: 2 razy
Dołączył: 07 Lip 2005
Posty: 163
Skąd: Starachowice
Wysłany: 10 Październik 2007, 20:04   

Kurde u mnie nie działa ;( bez bazy danych. Może ktoś napisać czy komuś to działa czy nie ??
_________________
Copyright by bioly
 
 
 
jędrek
[Usunięty]

Wysłany: 10 Październik 2007, 20:07   

Mi to wygląda na złe umiejscowienie w acl'u :) Ja bym to dał jakoś gdzieś indziej... po paru pierwszych linijkach może... trzeba przemyśleć sprawę :)

EDIT:

bioly napisał/a:
Kurde u mnie nie działa ;( bez bazy danych. Może ktoś napisać czy komuś to działa czy nie ??


A budowałeś ze speca? Czy z repo zainstalowałeś? Jam miałem z repo i nie klikał. Zbuduj ze speca. Mi od razu zaczął klikać jako i trzeba :)
 
 
bioly 
#PLDHelp


Distro: PLD 2.0;3.0
Pomógł: 2 razy
Dołączył: 07 Lip 2005
Posty: 163
Skąd: Starachowice
Wysłany: 11 Październik 2007, 21:08   

Zbudowałem i nadal nie działa
_________________
Copyright by bioly
 
 
 
dlugi 
duddits


Pomógł: 44 razy
Dołączył: 05 Kwi 2006
Posty: 338
Wysłany: 13 Listopad 2007, 10:11   

Działać to pewnie działa, tylko nie tak jakbyś chciał ;)
Ogólnie to trzeba dopisać eksima do grupy mail, bo inaczej
MTA nie może czytać gniazdka tworzonego przez greylistd.

Zaktualizowany opis: Exim+SA+greylisting+SASL

Pojawią się tam jeszcze przykładowe pliki konfiguracyjne.
_________________
duddits
::http://fz6.pl/::
 
 
qwiat 

Distro: PLD 2.0;3.0
Pomógł: 23 razy
Dołączył: 11 Lut 2006
Posty: 367
Wysłany: 13 Listopad 2007, 21:22   

Doświadczenie pokazuje że greylista dla wszystkich jest proszeniem się o marudzenie użytkowników. Ja puszczam na greylistę tylko te których hosty nie mają SPF-a
 
 
dlugi 
duddits


Pomógł: 44 razy
Dołączył: 05 Kwi 2006
Posty: 338
Wysłany: 13 Listopad 2007, 22:54   

To oczywiste, są konta na które poczta musi trafiać natychmiast (np. abuse).
To poza sporem.

Ja ze swojego doświadczenia mogę powiedzieć, że greylisting ma jednak
więcej plusów niż minusów. Przynajmniej wszędzie tam gdzie go wdrażałem.
Prosty i skuteczny mechanizm, klienci są zadowoleni mimo świadomości,
że czasem coś może do nich nie dotrzeć (to samo jednak można powiedzieć
o SA).
_________________
duddits
::http://fz6.pl/::
 
 
GEN
[Usunięty]

Wysłany: 14 Kwiecień 2008, 14:21   

Witam,
chcialem podlaczyc greylistd bez mysql'a wg opisu
http://pld-users.org/doku...asl#greylisting

no i nie chce to hulac, podczas testu dla przykladowego (mojego) ip robi w logach 'greylisted' ale w normalnej pracy to zadna poczta nie dociera, wywalane sa ciagle bledy
temporarily rejected RCPT <.....>: unknown ACL verb "acl_whitelist_local_deny" in "acl_whitelist_local_deny"

w /etc/group mam dopisane
mail::12:mail,exim

tak jak w opisie, po prostu kopiuje linijki i nic nie zmieniam, bledy w logach dostaje bez wzgledu czy instaluje gotowca z poldka czy sam buduje ze speca (tu i tu wersja 0.8.6)

prosze o pomoc :-)
 
 
dlugi 
duddits


Pomógł: 44 razy
Dołączył: 05 Kwi 2006
Posty: 338
Wysłany: 14 Kwiecień 2008, 14:54   

GEN napisał/a:
prosze o pomoc

A ja proszę o Twój konfig od eksima i greylistd :smile:
Możesz też wkleić gdzieś w okolice pastebin.com
wynik niby-sesji z exim -bh. Zobaczymy
co go boli.
_________________
duddits
::http://fz6.pl/::
 
 
GEN
[Usunięty]

Wysłany: 14 Kwiecień 2008, 15:37   

narazie na pm'ke wyslalem link do konfigow i listingu z exim -bh

w logach linijki maja postac:

2008-04-14 15:20:51 H=208-98-186-177.directcom.com (208-98-186-169.directcom.com) [208.98.186.177] F=<lazar-elyksest@OASIS-CAIRNS.COM.AU> temporarily rejected RCPT <konto@domena>: unknown ACL verb "acl_whitelist_local_deny" in "acl_whitelist_local_deny"

Cierpliwie czekam na rzut Twoim okiem ;-)
 
 
Wyświetl posty z ostatnich:   
Odpowiedz do tematu
Nie możesz pisać nowych tematów
Nie możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Nie możesz głosować w ankietach
Dodaj temat do Ulubionych
Wersja do druku

Skocz do:  

Powered by phpBB modified by Przemo © 2003 phpBB Group