*Drive*- Здесь рулят padonki

*Drive* - Counter Strike Source
Текущее время: 11 дек 2017, 09:29

Часовой пояс: UTC + 3 часа [ Летнее время ]




Начать новую тему Ответить на тему  [ Сообщений: 16 ]  На страницу 1, 2  След.
Автор Сообщение
 Заголовок сообщения: Postfix+LDAP+SASL+Postgrey+clamav
СообщениеДобавлено: 27 окт 2008, 23:29 
Не в сети
padonki
Аватар пользователя

Зарегистрирован: 14 авг 2006, 20:43
Сообщений: 3642
Откуда: Солнцево
Благодарил (а): 8 раз.
Поблагодарили: 41 раз.
# apt-get install postgrey

В файле /etc/default/postgrey отредактируйте параметры по вашему усмотрению
Код:
POSTGREY_OPTS="--inet=127.0.0.1:10023 --delay=600"
POSTGREY_TEXT="Sorry, but server is temporarily inaccessible"



В файле /etc/postfix/main.cf добавим к smtpd_recipient_restrictions параметр
Код:
check_policy_service inet:127.0.0.1:10023

_________________
Моя характеристика с детского сада: Хорошо кушает, спит, гуляет! Прошло много лет, ничего не изменилось.
Изображение


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Анализ статистики
СообщениеДобавлено: 27 окт 2008, 23:30 
Не в сети
padonki
Аватар пользователя

Зарегистрирован: 14 авг 2006, 20:43
Сообщений: 3642
Откуда: Солнцево
Благодарил (а): 8 раз.
Поблагодарили: 41 раз.
Для анализа постфиксовской статистики воспользуемся парсером pflogsumm.
# apt-get install pflogsumm

Запускается парсер следующим образом:
# pflogsumm /var/log/mail.log

На выхлопе - различная полезная информация.

_________________
Моя характеристика с детского сада: Хорошо кушает, спит, гуляет! Прошло много лет, ничего не изменилось.
Изображение


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: postfix-saslauth-LDAP + SSL-TLS
СообщениеДобавлено: 13 май 2009, 00:22 
Не в сети
padonki
Аватар пользователя

Зарегистрирован: 14 авг 2006, 20:43
Сообщений: 3642
Откуда: Солнцево
Благодарил (а): 8 раз.
Поблагодарили: 41 раз.
Устанавливаем:
Код:
apt-get install sasl2-bin libsasl2-2 libsasl2-modules libsasl2-modules-ldap


редактируем: vim /etc/default/saslauthd
приводим к такому виду строчки:
Код:
START=yes
MECHANISMS="ldap"
CONFIG_FILE="/etc/saslauthd.conf"
OPTIONS="-c -m /var/spool/postfix/var/run/saslauthd -r"


создаём и редактируем файлик : vim /etc/saslauthd.conf
Код:
ldap_servers: ldap://localhost
ldap_search_base: ou=Users,dc=padonak,dc=su
ldap_filter: (uid=%u)


добавляем пользователя POSTFIX в группу SASL : vim /etc/group
Цитата:
sasl:x:45:postfix


редактируем файл : vim /etc/postfix/sasl/smtpd.conf
Код:
pwcheck_method: saslauthd
log_level:      3
mech_list:      PLAIN LOGIN


добавдяем в vim /etc/postfix/main.cf

Код:
smtpd_sasl_auth_enable = yes
smtpd_sasl_local_domain =
smtpd_sasl_security_options = noanonymous
broken_sasl_auth_clients = yes


рестартуем сервисы :

Код:
/etc/init.d/postfix restart
/etc/init.d/saslauthd restart


тестим авторизацию:

Код:
testsaslauthd -u padonak -p "ПАРОЛЬ ПОЛЬЗОВАТЕЛЯ"


если всё хорошо, то в ответ будет ЭТО :
Код:
0: OK "Success."


Если нет - то БЕДАААААААА.....

если будет такая хрень :
Цитата:
connect() : Connection refused


можно папробовать вот такое решение :
Код:
rm -rf /var/run/saslauthd
ln -s /var/spool/postfix/var/run/saslauthd /var/run/saslauthd




Заодно не отходя от кассы - сгенерируем сертификаты для SSL

Код:
cd /etc/postfix/ssl/
touch smtpd.key
chmod 600 smtpd.key
openssl genrsa 1024 > smtpd.key
openssl req -new -key smtpd.key -x509 -days 3650 -out smtpd.crt # отвечаем на вопросы
openssl req -new -x509 -extensions v3_ca -keyout cakey.pem -out cacert.pem -days 3650



добавдяем в vim /etc/postfix/main.cf

Код:
smtp_tls_note_starttls_offer = yes
smtpd_tls_auth_only = no
smtpd_use_tls = yes
smtpd_tls_key_file = /etc/postfix/ssl/smtpd.key
smtpd_tls_cert_file = /etc/postfix/ssl/smtpd.crt
smtpd_tls_CAfile = /etc/postfix/ssl/cacert.pem
smtpd_tls_loglevel = 1
smtpd_tls_received_header = yes
smtpd_tls_session_cache_timeout = 3600s
tls_random_source = dev:/dev/urandom


а так же строчку permit_sasl_authenticated в (мои настройки - пример):

Код:
smtpd_client_restrictions =
        permit_mynetworks,
        permit_sasl_authenticated,
        check_client_access hash:/etc/postfix/client_access,
        reject_unauth_pipelining,
        reject_unauth_destination,
        reject_unknown_address,
        reject_unknown_recipient_domain,
        reject_unknown_sender_domain
        reject_unknown_reverse_client_hostname,
        reject_rbl_client sbl-xbl.spamhaus.org,
        reject_rbl_client bl.spamcop.net,
        permit

smtpd_helo_restrictions =
        permit_mynetworks,
        permit_sasl_authenticated,
        check_helo_access pcre:/etc/postfix/helo_checks.pcre,
        reject_invalid_helo_hostname,
        reject_non_fqdn_helo_hostname,
        reject_unknown_hostname,
        reject_unknown_helo_hostname,
        permit

smtpd_sender_restrictions =
        permit_mynetworks,
        permit_sasl_authenticated,
        reject_non_fqdn_recipient,
        check_sender_access regexp:/etc/postfix/sender_access,
        reject_non_fqdn_recipient,
        reject_non_fqdn_sender,
        reject_unknown_recipient_domain,
        reject_unknown_sender_domain,
        reject_unverified_sender,
        reject_unlisted_sender,
        reject_unauth_destination,
        permit


smtpd_recipient_restrictions =
        permit_mynetworks,
        permit_sasl_authenticated,
        check_sender_access pcre:/etc/postfix/sender_checks.pcre,
        check_policy_service inet:127.0.0.1:10023
        reject_unauth_pipelining,
        reject_non_fqdn_recipient,
        reject_unknown_recipient_domain,
        reject_unknown_sender_domain,
        reject_unlisted_recipient,
        reject_unauth_destination,
        reject_unknown_address,
        reject_multi_recipient_bounce,
        permit

smtpd_data_restrictions =
        permit_mynetworks,
        permit_sasl_authenticated,
        reject_unauth_pipelining,
        reject_multi_recipient_bounce,
        permit

smtpd_end_of_data_restrictions =
 permit_mynetworks,
 permit_sasl_authenticated,
 # Отклоняем письма с нулевым отправителем (Bounce), у которых более одного получателя
 reject_multi_recipient_bounce,
 permit



рестартуем :

Код:
/etc/init.d/postfix restart



И проверяем на открытый релей (не дай бог !)

http://tests.nettools.ru/

Вводим в поле Mail Relay: свой адрес почтовика : padonak.su

Ииииии......
Цитата:
Все тесты пройдены успешно.
Сервер не является публичным пересыльщиком почты.


Всё прекрасно !

_________________
Моя характеристика с детского сада: Хорошо кушает, спит, гуляет! Прошло много лет, ничего не изменилось.
Изображение


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Очистка очередей в postfix.
СообщениеДобавлено: 13 май 2009, 22:54 
Не в сети
padonki
Аватар пользователя

Зарегистрирован: 14 авг 2006, 20:43
Сообщений: 3642
Откуда: Солнцево
Благодарил (а): 8 раз.
Поблагодарили: 41 раз.
Иногда у системных администраторов, а также владельцев выделенных серверов возникает необходимость очистить все очереди сообщений. Например, когда в результате взлома какого-либо уязвимого скрипта, спамеры пытаются разослать спам с выделенного сервера.
К вам приходит куча Абузов, и вы не знаете что делать. Приведу несколько команд применительно к postfix.

Ну первым делом посоветую набрать команду:
Код:
mailq

Если в результате вы выдите что-то типа Mail queue is empty либо в очереди лежит несколько сообщений, то значит с вашей почтой все в порядке. Если же в результате выводится порядка нескольких сотен, тысяч, миллионов почтовых сообщений, значит срочно нужно бить тревогу.
Первым делом в такой ситуации необходимо отключить почтовый сервер:
Код:
service postfix stop

чтобы больше не рассылать спам.
Затем, конечно, необходимо разобраться в самом взломе, выявить уязвимый скрипт, либо нечистоплотного клиента вашего сервера, либо провести ряд мероприятий по улучшению безопасности вашего сервера. Тут тема очень широка и в формат простой заметки она никак не войдет :-) . Ну и затем необходимо очистить все очереди почтовых сообщений командой:
Код:
postsuper -d ALL


После чего вновь запустить почтовый сервер:
Код:
service postfix start


что бы сообщения в очереди начали обрабатываться заново:
Код:
 postsuper -r ALL

_________________
Моя характеристика с детского сада: Хорошо кушает, спит, гуляет! Прошло много лет, ничего не изменилось.
Изображение


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: ClamAV + clamsmtpd + Postfix
СообщениеДобавлено: 13 июл 2009, 14:44 
Не в сети
padonki
Аватар пользователя

Зарегистрирован: 14 авг 2006, 20:43
Сообщений: 3642
Откуда: Солнцево
Благодарил (а): 8 раз.
Поблагодарили: 41 раз.
Код:
 sudo apt-get install clamav clamsmtp



Код:
 vim /etc/clamsmtpd.conf


Код:
# line 27: uncomment

Header: X-AV-Checked: ClamAV using ClamSMTP
# line 45: change

User: clamav


Код:
chown -R clamav. /var/spool/clamsmtp
chown -R clamav. /var/run/clamsmtp


Настройка postfix

В файл main.cf необходимо добавить две строчки:

Код:
content_filter = scan:127.0.0.1:10025
receive_override_options = no_address_mappings


В файл master.cf необходимо добавить следующие строки:
Код:

# AV scan filter (used by content_filter)
scan      unix  -       -       n       -       16      smtp
    -o smtp_send_xforward_command=yes

# For injecting mail back into postfix from the filter
127.0.0.1:10026 inet  n -       n       -       16      smtpd
    -o content_filter=
    -o receive_override_options=no_unknown_recipient_checks,no_header_body_checks
    -o smtpd_helo_restrictions=
    -o smtpd_client_restrictions=
    -o smtpd_sender_restrictions=
    -o smtpd_recipient_restrictions=permit_mynetworks,reject
    -o mynetworks_style=host
    -o smtpd_authorized_xforward_hosts=127.0.0.0/8


Примечание: вокруг знака '=' пробелы не ставить.
и не забыть перезагрузить :
Код:
systemctl restart clamav-daemon clamsmtp postfix

_________________
Моя характеристика с детского сада: Хорошо кушает, спит, гуляет! Прошло много лет, ничего не изменилось.
Изображение


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: 22 дек 2009, 21:43 
Не в сети
padonki
Аватар пользователя

Зарегистрирован: 14 авг 2006, 20:43
Сообщений: 3642
Откуда: Солнцево
Благодарил (а): 8 раз.
Поблагодарили: 41 раз.
Определение “белых списков” адресов - это первый шаг при настройке любой фильтрации почты. Этим вы гарантируете, что почта от нужных вам людей, не будет отвергнута как спам или остановлена одним из антивирусных сканеров. Разберем эту возможность на примере Postfix.

Определение “белых списков” адресов в Postfix решается при помощи файлов map и директивы smtpd_sender_restriction в конфигурационном файле /etc/postfix/main.cf.

Создадим в любимом текстовом редакторе файл с примерным содержимым:

padonak@padonak.su OK
@padonak.su OK
.padonak.su OK

Далее, выйдем из редактора с сохранением содержимого в виде файла /etc/postfix/whitelist.

Теперь преобразим наш файл whitelist в индексированную базу данных, выполнив команду:

# postmap /etc/postfix/whitelist

В результате этого будет создана база данных формата hash (используется в Linux по умолчанию), содержащая список “белых адресов” пользователей или доменов, которым мы доверяем.

Следующим действием будет добавление в конфигурационный файл Postfix (/etc/postfix/main.cf) следующей строки:

smtpd_sender_restrictions = check_sender_access hash:/etc/postfix/whitelist

Postfix поддерживает три формата баз данных (hash, btree или dbm). Возможно, что вместо hash вам потребуется указать другой формат, который используется по умолчанию в вашей системе.

Для того, чтобы узнать какой тип использует ваша система, выполните:

$ postconf | grep database_type

результатом может быть вывод:

default_database_type = hash

или:

default_database_type = btree

или:

default_database_type = dbm



В нашем примере файла /etc/postfix/whitelist мы используем следующие правила:

разрешаем всю почту от одного пользователя:
padonak@padonak.su

разрешаем всю почту со всех адресов домена padonak.su:
@padonak.su

разрешаем всю почту с домена padonak.su (включая его поддомены):
.padonak.su

_________________
Моя характеристика с детского сада: Хорошо кушает, спит, гуляет! Прошло много лет, ничего не изменилось.
Изображение


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: saslauthd + postfix
СообщениеДобавлено: 04 фев 2010, 20:12 
Не в сети
padonki
Аватар пользователя

Зарегистрирован: 14 авг 2006, 20:43
Сообщений: 3642
Откуда: Солнцево
Благодарил (а): 8 раз.
Поблагодарили: 41 раз.
Код:
vim /etc/default/saslauthd


START=yes
MECHANISMS="ldap"
OPTIONS="-c -m /var/spool/postfix/var/run/saslauthd -r"

Код:
vim /etc/saslauthd.conf


ldap_servers: ldap://127.0.0.1/
ldap_bind_dn: cn=admin,dc=padonak,dc=su
ldap_bind_pw: password
ldap_version: 3
ldap_timeout: 10
ldap_cache_ttl: 30
ldap_cache_mem: 32768
ldap_scope: sub
ldap_search_base: ou=Users,dc=padonak,dc=su
ldap_auth_method: bind
pwcheck_method: saslauthd
mech_list: plain login


перезапускаем saslauthd и проверяем работу

testsaslauthd -u test -p test
0: OK "Success."





в /etc/postfix/main.cf добавляем

smtpd_sasl_auth_enable = yes
smtpd_sasl_local_domain =
smtpd_sasl_auth_enable = yes
smtpd_sasl_security_options = noanonymous
broken_sasl_auth_clients = yes

smtpd_recipient_restrictions =
permit_mynetworks
permit_sasl_authenticated
reject_unauth_destination



если нигде не опечаталсо - то всё должно работать .

_________________
Моя характеристика с детского сада: Хорошо кушает, спит, гуляет! Прошло много лет, ничего не изменилось.
Изображение


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: 28 мар 2013, 20:46 
Не в сети
padonki
Аватар пользователя

Зарегистрирован: 14 авг 2006, 20:43
Сообщений: 3642
Откуда: Солнцево
Благодарил (а): 8 раз.
Поблагодарили: 41 раз.
Небольшие комментарии по поводу Postfix

Во-первых, как уже было сказано, все приведённые опции надо указывать в одном из четырёх *_restrictions параметров конфигурационного файла Postfix, относящихся к заголовкам SMTP сессии. Первый из них, smtpd_client_restrictions отвечает за проверки на основе IP адреса клиента, оставшиеся три - smtpd_helo_restrictions, smtpd_sender_restrictions и smtpd_recipient_restrictions - за соответствующие SMTP заголовки.

При этом обратите внимание на то, что все четыре параметра применяются последовательно, и при этом если письмо отклоняется хотя бы в одном - то оно не принимается и отправителю посылается ошибка. Однако permit правила отменяют дальнейшие проверки только по данному конкретному параметру, и Postfix переходит к следующему. Поэтому если письмо успешно прошло проверку по smtpd_client_restrictions, то оно вполне может отсеяться по smtpd_helo_restrictions.

Кроме того, современные версии Postfix по умолчанию отклоняют письмо не раньше RCPT TO команды. Это сделано для того, что бы в логах всегда можно было посмотреть полную информацию о письме - от кого и кому оно должно было придти. Не стоит менять такое поведение Postfix.

Ну и наконец есть возможность протестировать любую reject_* опцию без реального отклонения писем. Для этого необходимо перед ней в соответствующем параметре конфигурационного файла Postfix указать опцию warn_if_reject. При этом в случае срабатывания запрета в логфайл будет добавлена запись с пометкой reject_warning, однако письмо не будет отклонено.



http://help.ubuntu.ru/wiki/%D1%84%D0%B8 ... 0%BB%D0%B0

_________________
Моя характеристика с детского сада: Хорошо кушает, спит, гуляет! Прошло много лет, ничего не изменилось.
Изображение


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: 13 ноя 2013, 15:25 
Не в сети
Аватар пользователя

Зарегистрирован: 05 фев 2007, 14:57
Сообщений: 137
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.
Есть одна задачка, решение которой я не смог найти:
Есть связка postfix+dovecot. Хранение почты в maildir'е. Доступ по ldap.
Надо сделать так, чтобы клиенты pop3 забирали почту с очисткой очереди pop3, но при этом по протоколу imap почта оставалась доступной и клиенты imap видели и имели доступ ко всей почте.
Если есть направления куда копать - хелп.

_________________
Я не ламер. Я - честный чайник.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: 13 ноя 2013, 15:30 
Не в сети
padonki
Аватар пользователя

Зарегистрирован: 14 авг 2006, 20:43
Сообщений: 3642
Откуда: Солнцево
Благодарил (а): 8 раз.
Поблагодарили: 41 раз.
:) ты разницу знаешь протоколов pop и imap ? Дело в том - что протокол рор не может управлять папочками и письмами на сервере, в отличии от imap. Максимум, что можно сделать с протоколом рор - это "оставлять копии писем на сервере". Тогда они будут доступны для доступа по imap . РОР - только забирает их с сервера....

З.Ы. Или Я чёт не вкурил в твоё задание :)

_________________
Моя характеристика с детского сада: Хорошо кушает, спит, гуляет! Прошло много лет, ничего не изменилось.
Изображение


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: 14 ноя 2013, 00:03 
Не в сети
Аватар пользователя

Зарегистрирован: 05 фев 2007, 14:57
Сообщений: 137
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.
Да закрутили мне голову. В принципе я вроде помнил (очень давно разбирался и так, поверхностно), что POP тупой до невозможности.
Закрались сомнения, что если снимать статусы или еще что-то делать, то можно прочесть по POP и они не будут видны при последующих запросах писем по POP.
ЗЫ: ставим себе CRM и нас уверяли, что письма при приеме в нее остаются на серваке, а по факту - забираются. Вот и с пеной у рта доказывают, что можно перенастроить сервак.

_________________
Я не ламер. Я - честный чайник.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: 14 ноя 2013, 00:27 
Не в сети
padonki
Аватар пользователя

Зарегистрирован: 14 авг 2006, 20:43
Сообщений: 3642
Откуда: Солнцево
Благодарил (а): 8 раз.
Поблагодарили: 41 раз.
Цитата:
POP поддерживает простые требования «загрузи-и-удали» для доступа к удаленным почтовым ящикам. Хотя большая часть POP-клиентов предоставляют возможность оставить почту на сервере после загрузки, использующие POP клиенты обычно соединяются, извлекают все письма, сохраняют их на пользовательском компьютере как новые сообщения, удаляют их с сервера, после чего разъединяются.

_________________
Моя характеристика с детского сада: Хорошо кушает, спит, гуляет! Прошло много лет, ничего не изменилось.
Изображение


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Как очистить очередь postfix
СообщениеДобавлено: 10 мар 2014, 19:45 
Не в сети
padonki
Аватар пользователя

Зарегистрирован: 14 авг 2006, 20:43
Сообщений: 3642
Откуда: Солнцево
Благодарил (а): 8 раз.
Поблагодарили: 41 раз.
Останавливаем postfix командой
Код:
/etc/init.d/postfix stop


И очищаем всё командой
Код:
postsuper -d ALL


Вывод будет примерно такой :
Цитата:
/var/log# postsuper -d ALL
postsuper: Deleted: 7 messages


Патом не забывает стартануть postfix:
Код:
/etc/init.d/postfix start

_________________
Моя характеристика с детского сада: Хорошо кушает, спит, гуляет! Прошло много лет, ничего не изменилось.
Изображение


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: possible Berkeley DB bug
СообщениеДобавлено: 16 мар 2015, 09:43 
Не в сети
padonki
Аватар пользователя

Зарегистрирован: 14 авг 2006, 20:43
Сообщений: 3642
Откуда: Солнцево
Благодарил (а): 8 раз.
Поблагодарили: 41 раз.
При ошибке в логах Postfix:
Код:
   close database /var/lib/postfix/verify_cache.db: No such file or directory (possible Berkeley DB bug)


Делаем вот так:
Код:
vim /etc/postfix/main.cf


Код:
# verify_cache db bug
address_verify_map = proxy:btree:$data_directory/verify_cache
proxy_write_maps =
 $smtp_sasl_auth_cache_name
 $lmtp_sasl_auth_cache_name
$address_verify_map

_________________
Моя характеристика с детского сада: Хорошо кушает, спит, гуляет! Прошло много лет, ничего не изменилось.
Изображение


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: How To Install and Setup Spamassassin on Ubuntu 12.04
СообщениеДобавлено: 08 окт 2015, 18:20 
Не в сети
padonki
Аватар пользователя

Зарегистрирован: 14 авг 2006, 20:43
Сообщений: 3642
Откуда: Солнцево
Благодарил (а): 8 раз.
Поблагодарили: 41 раз.
https://www.digitalocean.com/community/ ... untu-12-04

_________________
Моя характеристика с детского сада: Хорошо кушает, спит, гуляет! Прошло много лет, ничего не изменилось.
Изображение


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 16 ]  На страницу 1, 2  След.

Часовой пояс: UTC + 3 часа [ Летнее время ]


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 3


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  


Powered by -=PadonaK=- ®, Forum Drivesource.ru, Статситика игрового ресурса *Drive* HLstatsX, Система забаненых игроков Sourcebans

drivesource.ru ® 2006-2017