SMTP авторизация

sinexw, 16/10/2013 - 11:51
не работает SMTP авторизация, точнее она работает, если в настройках почтового клиента поставить порт 465 а не 25, а по 25 без авторизации проходит всё, галочка Включить проверку подлинности и использовать только проверку подлиности TLS стоит.

ПОМОГИТЕ ПЖ!!!
Форумы »

Комментарии

Ymrs
17/10/2013 - 00:51
покажи su zimbra -c "postconf -n"
sinexw
17/10/2013 - 15:42
у меня пишет нет комманды
su zimbra -c "postconf -n"
bash: postconf: command not found


я обноружил что могу отправлять почту с несуществующих почтовых ящиков, как запретить?
 
запретил вход по ssh и вроде как прекратилась отправка почты с несуществующих ящиков, это странно,
но теперь в админке не могу смотреть статистику выпадает ошибка


как решить эту проблему?? голова болит
 
seregarsp
17/10/2013 - 22:40
1)
su zimbra
postconf -n

2)
запретил вход по ssh и вроде как прекратилась отправка почты с несуществующих ящиков, это странно,
но теперь в админке не могу смотреть статистику выпадает ошибка

Тоже наступал на эти грабли, веб интерфейсу зимбры нужен доступ к ssh, разрешите доступ 127.0.0.1 и я не помню точно, вроде бы внешнему ип. Если перевесите ssh на другой порт, так же будет эта ошибка.

3) я обноружил что могу отправлять почту с несуществующих почтовых ящиков, как запретить?
покажите
su zimbra
zmprov gacf | grep zimbraMtaRestriction


sinexw
18/10/2013 - 08:19
Вот:
zimbraMtaRestriction: reject_non_fqdn_sender
zimbraMtaRestriction: reject_unknown_sender_domain
zimbraMtaRestriction: reject_rbl_client
zimbraMtaRestriction: reject_rhsbl_client zen.spamhaus.org
zimbraMtaRestriction: reject_rhsbl_client
zimbraMtaRestriction: reject_rhsbl_reverse_client zen.spamhaus.org
zimbraMtaRestriction: reject_rhsbl_reverse_client
zimbraMtaRestriction: reject_rhsbl_sender zen.spamhaus.org
zimbraMtaRestriction: reject_rhsbl_sender

да поменял порт, тоже ошибки в админке, НО теперь никто не отправляет с несуществующих ящиков

 
seregarsp
18/10/2013 - 10:14
 что то у вас странный вид... Как будто вы руками конфиги правили, все двоит и пустые строки  zimbraMtaRestriction: reject_rbl_client?:))

посомтрите вот тут http://wiki.zimbra.com/wiki/Configuring_and_Monitoring_Postfix_DNSBL

sinexw
18/10/2013 - 10:33
 
zimbraMtaRestriction: reject_non_fqdn_sender
zimbraMtaRestriction: reject_unknown_sender_domain
zimbraMtaRestriction: reject_rbl_client dnsbl.njabl.org
zimbraMtaRestriction: reject_rbl_client cbl.abuseat.org
zimbraMtaRestriction: reject_rbl_client bl.spamcop.net
zimbraMtaRestriction: reject_rbl_client dnsbl.sorbs.net
zimbraMtaRestriction: reject_rbl_client zen.spamhaus.org
zimbraMtaRestriction: reject_rhsbl_client zen.spamhaus.org
zimbraMtaRestriction: reject_rhsbl_reverse_client zen.spamhaus.org
zimbraMtaRestriction: reject_rhsbl_sender zen.spamhaus.org
 исправил
а нужно что нибудь прописывать в reject_rhsbl_client,reject_rhsbl_reverse_client
reject_rhsbl_reverse_sender  ? сейчас как видно там прописано zen.spamhaus.org
seregarsp
18/10/2013 - 10:56
  Я использую только 
 zmprov gacf | grep zimbraMtaRestriction
zimbraMtaRestriction: reject_invalid_hostname
zimbraMtaRestriction: reject_non_fqdn_hostname
zimbraMtaRestriction: reject_non_fqdn_sender
zimbraMtaRestriction: reject_unknown_client
zimbraMtaRestriction: reject_unknown_hostname
zimbraMtaRestriction: reject_unknown_sender_domain
zimbraMtaRestriction: reject_rbl_client bl.spamcop.net
zimbraMtaRestriction: reject_rbl_client sbl.spamhaus.org

В принципе пока мне хватает (политика директора -пусть лучше придет лишний спам, чем потеряем одно важное письмо от клиента)))),
Я не претендую на абсолютную правильность, сам только учусь ))) возможно, кто то подскажет более правильный вариант.

П.С.
zimbraMtaRestriction: reject_rbl_client dnsbl.njabl.org - он вроде бы уже не работает.

sinexw
18/10/2013 - 16:06
 Спасибо большое - за 5 часов ни какого спама.
Осталось понять, рассылают ли через наш сервер спам кто либо....
seregarsp
18/10/2013 - 16:24
 http://mxtoolbox.com/diagnostic.aspx

проверьтесь на open relay
sinexw
22/10/2013 - 10:04
open relay закрыт, но нас все равно добавляют в спам листы постоянно, 
в логах mail.log 
такая штука:
Oct 22 10:04:37 mx1 postfix/smtpd[28049]: disconnect from unknown[113.181.177.20]
Oct 22 10:04:40 mx1 postfix/smtpd[28048]: warning: hostname center1-unl-ip170.networx-bg.com does not resolve to address 77.78.23.170: Name or service not known
Oct 22 10:04:40 mx1 postfix/smtpd[28048]: connect from unknown[77.78.23.170]
Oct 22 10:04:40 mx1 postfix/smtpd[28048]: NOQUEUE: filter: RCPT from unknown[77.78.23.170]: <garishly66@yahoo.com>: Sender address triggers FILTER smtp-amavis:[127.0.0.1]:10026; from=<garishly66@yahoo.com> to=<shamin@blabla.ru> proto=ESMTP helo=<center1-unl-ip170.networx-bg.com>
Oct 22 10:04:40 mx1 postfix/smtpd[28048]: NOQUEUE: filter: RCPT from unknown[77.78.23.170]: <garishly66@yahoo.com>: Sender address triggers FILTER smtp-amavis:[127.0.0.1]:10024; from=<garishly66@yahoo.com> to=<shamin@blabla.ru> proto=ESMTP helo=<center1-unl-ip170.networx-bg.com>
Oct 22 10:04:40 mx1 postfix/smtpd[28048]: NOQUEUE: reject: RCPT from unknown[77.78.23.170]: 554 5.7.1 Service unavailable; Client host [77.78.23.170] blocked using cbl.abuseat.org; Blocked - see http://cbl.abuseat.org/lookup.cgi?ip=77.78.23.170; from=<garishly66@yahoo.com> to=<shamin@blabla.ru> proto=ESMTP helo=<center1-unl-ip170.networx-bg.com>
Oct 22 10:04:40 mx1 postfix/smtpd[28048]: lost connection after DATA from unknown[77.78.23.170]
Oct 22 10:04:40 mx1 postfix/smtpd[28048]: disconnect from unknown[77.78.23.170]
Ymrs
22/10/2013 - 21:12
 опубликуй свой конфиг main.cf т.к. по логу не видно что есть какие-то проверки и блокировки кроме  cbl.abuseat.org 
и пример из абуз\отчетов (заголовки) перед блокировкой и версию zimbra
sinexw
23/10/2013 - 13:54
 не совсем понимаю, как я узнаю, когда именно произошла блокировка? и какие именно логи и откуда показатЬ? (извиняюсь за глупые вопросы)
main.cf:
mail_owner = postfix
bounce_notice_recipient = postmaster
content_filter = smtp-amavis:[127.0.0.1]:10024
smtp_sasl_security_options = noplaintext,noanonymous
relayhost = 
virtual_alias_expansion_limit = 10000
smtpd_sasl_authenticated_header = no
smtp_helo_name = $myhostname
smtpd_hard_error_limit = 20
broken_sasl_auth_clients = yes
minimal_backoff_time = 300s
sender_canonical_maps = proxy:ldap:/opt/zimbra/conf/ldap-scm.cf
smtpd_soft_error_limit = 10
always_add_missing_headers = yes
smtpd_tls_key_file = /opt/zimbra/conf/smtpd.key
smtpd_helo_required = yes
virtual_transport = error
sendmail_path = /opt/zimbra/postfix/sbin/sendmail
smtpd_sasl_security_options = noanonymous
smtpd_recipient_restrictions = reject_non_fqdn_recipient, permit_sasl_authenticated, permit_mynetworks, reject_unlisted_recipient, reject_non_fqdn_sender, reject_unknown_sender_domain, reject_rbl_client cbl.abuseat.org, reject_rbl_client bl.spamcop.net, reject_rbl_client dnsbl.sorbs.net, reject_rbl_client zen.spamhaus.org, reject_rhsbl_client zen.spamhaus.org, reject_rhsbl_reverse_client zen.spamhaus.org, reject_rhsbl_sender zen.spamhaus.org, permit
smtpd_relay_restrictions = permit_sasl_authenticated, permit_mynetworks, reject_unauth_destination
smtpd_reject_unlisted_recipient = yes
bounce_queue_lifetime = 5d
smtp_sasl_mechanism_filter = 
milter_connect_timeout = 30s
local_header_rewrite_clients = permit_mynetworks,permit_sasl_authenticated
smtpd_data_restrictions = reject_unauth_pipelining
milter_command_timeout = 30s
smtpd_milters = 
smtpd_tls_security_level = may
milter_default_action = tempfail
smtpd_sender_restrictions = check_sender_access regexp:/opt/zimbra/postfix/conf/tag_as_originating.re, permit_mynetworks, permit_sasl_authenticated, permit_tls_clientcerts, check_sender_access regexp:/opt/zimbra/postfix/conf/tag_as_foreign.re
lmtp_host_lookup = dns
delay_warning_time = 0h
header_checks = 
queue_run_delay = 300s
virtual_mailbox_maps = proxy:ldap:/opt/zimbra/conf/ldap-vmm.cf
notify_classes = resource,software
command_directory = /opt/zimbra/postfix/sbin
smtpd_client_restrictions = reject_unauth_pipelining
smtpd_tls_auth_only = yes
virtual_alias_maps = proxy:ldap:/opt/zimbra/conf/ldap-vam.cf
mailq_path = /opt/zimbra/postfix/sbin/mailq
smtpd_banner = $myhostname ESMTP $mail_name
mynetworks = 127.0.0.0/8 192.168.21.0/24 192.168.20.0/24 192.168.0.0/16 214.168.blabla.127/28 [::1]/128 [fe80::]/64
lmtp_connection_cache_time_limit = 4s
transport_maps = proxy:ldap:/opt/zimbra/conf/ldap-transport.cf
virtual_alias_domains = proxy:ldap:/opt/zimbra/conf/ldap-vad.cf
smtpd_sasl_auth_enable = yes
smtpd_tls_loglevel = 1
milter_content_timeout = 300s
maximal_backoff_time = 4000s
virtual_mailbox_domains = proxy:ldap:/opt/zimbra/conf/ldap-vmd.cf
inet_protocols = ipv4
non_smtpd_milters = 
daemon_directory = /opt/zimbra/postfix/libexec
smtp_tls_security_level = 
alias_maps = hash:/etc/aliases
setgid_group = postdrop
smtp_cname_overrides_servername = no
mydestination = localhost
smtpd_end_of_data_restrictions = 
import_environment = 
myhostname = mx1.blabla.ru
message_size_limit = 0
recipient_delimiter = 
in_flow_delay = 1s
smtpd_sasl_tls_security_options = $smtpd_sasl_security_options
queue_directory = /opt/zimbra/data/postfix/spool
propagate_unmatched_extensions = canonical
manpage_directory = /opt/zimbra/postfix/man
smtp_fallback_relay = 
smtpd_tls_cert_file = /opt/zimbra/conf/smtpd.crt
smtp_sasl_password_maps = 
lmtp_connection_cache_destinations = 
newaliases_path = /opt/zimbra/postfix/sbin/newaliases
smtp_sasl_auth_enable = no
smtpd_error_sleep_time = 1s
mailbox_size_limit = 0
disable_dns_lookups = no
smtpd_reject_unlisted_sender = no 
Ymrs
23/10/2013 - 13:43
 Добавь в перед smtpd_recipient_restrictions следующие: 
smtpd_helo_restrictions = permit_mynetworks, 
    permit_sasl_authenticated,
    reject_invalid_hostname,
    reject_non_fqdn_hostname,
    reject_unknown_helo_hostname,
    reject_unknown_hostname, 
    reject_invalid_helo_hostname,  # у меня выключены из-за тикет системы
    reject_non_fqdn_helo_hostname,  # у меня выключены
    reject_rbl_client bl.spamcop.net,
    reject_rbl_client cbl.abuseat.org,
    reject_rbl_client bl.spamcop.net,
    reject_rbl_client dnsbl.sorbs.net,
    reject_rbl_client sbl.spamhaus.org,
    reject_rbl_client b.barracudacentral.org,
    reject_rbl_client relays.mail-abuse.org,
    reject_rbl_client dnsbl.njabl.org,
    permit
 
описание параметров и еще 1 вариант блокировки
http://www.volmed.org.ru/wiki/index.php/%D0%91%D0%BE%D1%80%D1%8C%D0%B1%D0%B0_%D1%81%D0%BE_%D1%81%D0%BF%D0%B0%D0%BC%D0%BE%D0%BC,_%D1%81%D1%80%D0%B5%D0%B4%D1%81%D1%82%D0%B2%D0%B0%D0%BC%D0%B8_%D1%81%D0%B0%D0%BC%D0%BE%D0%B3%D0%BE_Postfix
http://www.ossportal.ru/forum/zimbra/833#comment-5003

> не совсем понимаю, как я узнаю, когда именно произошла блокировка? и какие именно логи и откуда показатЬ? (извиняюсь за глупые вопросы)
когда призодит обуза должны присылаться заголовки\письмо вложением\какие либо логи жалующегося

add убери из приведеного  конфига домен и внешние IP чтобы здесь не светить

 
sinexw
23/10/2013 - 14:22
 добавить прям в main.cf?

у меня
уже  есть
zimbraMtaRestriction: reject_rbl_client cbl.abuseat.org
zimbraMtaRestriction: reject_rbl_client bl.spamcop.net
zimbraMtaRestriction: reject_rbl_client zen.spamhaus.org
zimbraMtaRestriction: reject_rhsbl_client zen.spamhaus.org
zimbraMtaRestriction: reject_rhsbl_reverse_client zen.spamhaus.org
zimbraMtaRestriction: reject_rhsbl_sender zen.spamhaus.org
или это другое???

==========================================================
reject_invalid_helo_hostname,  # у меня выключены из-за тикет системы
что такое тикет система=)
за что отвечает этот параметр
+++++++++++++++++++++++++++++++++
zimbraMtaRestriction: reject_rbl_client dnsbl.sorbs.net -  нас добавили в этот список, как удалиться из него(кстате письма с рамблера не доходят если использовать его
    host mail.blabala.ru [xx.168.xx.xx]: 554 5.7.1 Service unavailable; Client host [81.19.xx.xx] blocked using dnsbl.sorbs.net; Currently Sending Spam See:
    http://www.sorbs.net/lookup.shtml?81.19.xx.xx
)
Ymrs
23/10/2013 - 16:19
reject_invalid_helo_hostname - http://www.linux.org.ru/forum/admin/8900554

Есть несколько этапов проверки письма - см. тут http://www.linux.org.ru/forum/admin/6599892  и ссылках выше

То что у тебя прописана в данный момент фильтрует при smtpd_recipient_restrictions ( ограничения, проверяемые на этапе RCPT TO ) настраивается из панели зимбры более тонкая настройка ручками в конфиге

Я тебе выше привел правила для проверки при соеденении до передачи письма на сервер
из списков себя можно исключив пообщавшись с  http://www.sorbs.net/cgi-bin/support




sinexw
23/10/2013 - 16:59
 так тогда по порядку:
Что это и нужно ли ставить галочки:


дальше


это проверка на этапе RCPT TO, 
1)нужно ли ставить галочки в полях reject_invalid_helo_hostname и reject_non_fqdn_helo_hostname?
2)для чего нужны эти листы:


и наконец:
"Правила для проверки при соедении до передачи письма на сервер" - как это поможет, убить спам который исходит от нас? нас постоянно вносят в спам листы... как мне кажется, нужно запретить отправку почты без авторизации по 25 порту, сейчас, в настройках клиента, если снять галочку с "проверка подлиности пользователя" то письма всё равно отправляются, хотя не должны....в настройках zimbra всё включено:


sinexw
25/10/2013 - 10:20
Помощи не ждать?
Ymrs
29/10/2013 - 22:51
1. Проверку протокола поставь все 3
2. проверку ДНС не использую т.к. она у меня проходит на этапе helo
3. для чего лесты не скажу у меня таких тунктов нет

> "Правила для проверки при соедении до передачи письма на сервер" - как это поможет, убить спам который исходит от нас? 

Помагает следующим образом сервер на этапе соеденения отпрасывает все лишнее (рандомные домены, неправильные ptr )

>нас постоянно вносят в спам листы... как мне кажется, нужно запретить отправку почты без авторизации по 25 порту, сейчас, в настройках клиента, если снять галочку с "проверка подлиности пользователя" то письма всё равно отправляются, хотя не должны....в настройках zimbra всё включено:


Сравнил твой конфиг со своими авторизация везде включина, оставь только mynetworks = 127.0.0.0/8 в довереных сетях и посмотри будет ли откидывать без авторизации.





chipoza
27/10/2013 - 19:47
обратная зона точно прописана?
does not resolve to address 77.78.23.170 
sinexw
28/10/2013 - 14:00
 Не понял? где настроенно? причем тут этот IP?
Ymrs
29/10/2013 - 23:02
Должна быть у провайдера где находиться почтовый сервер прописана обратная запись воизбежании множества проблем (например reject_non_fqdn_hostname выставленый на других серверах)

как должно
[root@zimbra-node05]$ nslookup -type=MX masterhost.ru
Non-authoritative answer:
masterhost.ru   mail exchanger = 10 mx1.mail.corp.masterhost.ru.
masterhost.ru   mail exchanger = 20 mx2.mail.corp.masterhost.ru.
[root@zimbra-node05]$  nslookup -type=A  mx1.mail.corp.masterhost.ru
Non-authoritative answer:
Name:   mx1.mail.corp.masterhost.ru
Address: 90.156.219.251
[root@zimbra-node05]$  nslookup -type=PTR 90.156.219.251
Non-authoritative answer:
251.219.156.90.in-addr.arpa     name = mx1.mail.corp.masterhost.ru.
Authoritative answers can be found from:
 
 
sinexw
30/10/2013 - 10:26
 все так и есть, но в спам лист нас все равно добавляют ежедневно
Ymrs
31/10/2013 - 08:32
выложе последнии уведомления о добавлении в листы или перешли на  почту в профиле

sinexw
01/11/2013 - 15:58

Вот что пишет cbl.abuset.org

IP Address 213.xxx.xxx.xxx is listed in the CBL. It appears to be infected with a spam sending trojan, proxy or some other form of botnet.

It was last detected at 2013-11-01 12:00 GMT (+/- 30 minutes), approximately 30 minutes ago.

It has been relisted following a previous removal at 2013-10-31 11:41 GMT (1 days, 1 hours, 12 minutes ago)

This IP is infected (or NATting for a computer that is infected) with the kelihos spambot. In other words, it's participating in a botnet.

If you simply remove the listing without ensuring that the infection is removed (or the NAT secured), it will probably relist again.

This IP is infected (or NATting for a computer that is infected) with a spam-sending infection. In other words, it's participating in a botnet. If you simply remove the listing without ensuring that the infection is removed (or the NAT secured), it will probably relist again.

Ymrs
01/11/2013 - 23:40
 сколько пк закрываются этим ип? какая октивность отправки в указаный диамозоне и кем? 
если 1 пк и он zimbra пробегись clamav не чего не найдет делаешь архивацию ящиков(см соседние темы) и  сносишь сервер\ставишь с нуля
дольше искать малварь
Добавить комментарий