безопасен ли этот конфиг postfix? (не отсеет ли лишнее?)

[kasak]

Есть вот такой конфиг:

Код: Выделить всё

smtpd_banner = $myhostname ESMTP $mail_name (Ubuntu)
biff = no

# appending .domain is the MUA's job.
append_dot_mydomain = no

readme_directory = no

# TLS parameters
smtpd_tls_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem
smtpd_tls_key_file=/etc/ssl/private/ssl-cert-snakeoil.key
smtpd_use_tls=yes
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache

# See /usr/share/doc/postfix/TLS_README.gz in the postfix-doc package for
# information on enabling SSL in the smtp client.

myhostname = mx.somedomain.ru
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
myorigin = /etc/mailname
mydestination = somedomain.ru, mx, localhost.localdomain, localhost
relayhost =
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128

mailbox_command = procmail -a "$EXTENSION"
mailbox_size_limit = 0
recipient_delimiter = +
inet_interfaces = all

home_mailbox = Maildir/
smtpd_sasl_auth_enable = yes
smtpd_sasl_type = dovecot
smtpd_sasl_path = private/auth-client

smtpd_delay_reject = yes
smtpd_helo_required = yes
smtpd_helo_restrictions =
        permit_mynetworks,
        permit_sasl_authenticated,
        reject_non_fqdn_helo_hostname,
        reject_invalid_helo_hostname,
        permit
smtpd_sender_restrictions =
        permit_mynetworks,
        reject_non_fqdn_sender,
        reject_unknown_sender_domain,
        permit
smtpd_recipient_restrictions =
        check_recipient_access hash:/etc/postfix/access,
        permit_mynetworks,
        permit_sasl_authenticated,
        reject_non_fqdn_recipient,
        reject_unauth_pipelining,
        reject_unauth_destination,
        permit
smtpd_sasl_security_options = noanonymous
virtual_alias_domains = somedomain2.ru
virtual_alias_maps = hash:/etc/postfix/virtual

меня интересует мнение более опытных людей не опасен ли такой конфиг в плане отсеивания нужной почты? Я никак не могу понять логику отсеивания почты постфиксом, и как правильно вписывать разрешения.

[kasak]

бамп. скажите хоть что-нибудь

[Indarien]

А почтарь работает? Судя по настройкам он подпускает к себе только с локалхоста и тех кто прошел сасл аутентификацию.

[kasak]

А почтарь работает? Судя по настройкам он подпускает к себе только с локалхоста и тех кто прошел сасл аутентификацию.

Работает и даже спам принимает. Мне интересно какие вообще ограничения имею место быть в helo и как они работают и почему. Почта отправляется нормально, принимается тоже, вопрос вся ли она принимается, вдруг что-то может быть отсеено и какое-то ограничение лучше отключить.

[Indarien]

Эм, интересует RFC или сам постфикс? По самой инструкции постфикса вот тут

[kasak]

вот пример отфутболенного письма:

Jul 18 13:22:58 mx postfix/smtpd[14627]: NOQUEUE: reject: RCPT from unknown[81.195.171.30]: 504 5.5.2 <WWRASVBP>: Helo command rejected: need fully-qualified hostname; from=<akalya-avoneged@777.pachimaga.com> to=<****@********> proto=ESMTP helo=<WWRASVBP>

Интересует справедливо ли отвергнут приём письма? Может ли нормальный почтовый сервер иметь такое имя хоста? так же отвергаются письма от localhost.


Jul 18 10:10:50 mx postfix/smtpd[13955]: NOQUEUE: reject: RCPT from unknown[123.27.54.37]: 504 5.5.2 <localhost>: Helo command rejected: need fully-qualified hostname; from=<becomesaf@list.ru> to=<****@*********> proto=ESMTP helo=<localhost>

[rm_]

kasak
я предлагаю начать с дефолтного конфига, и добавлять в него только те изменения, цель и возможные побочные эффекты которых вам на 100% понятны. В последнем может помочь чтение документации.

need fully-qualified hostname;

reject_non_fqdn_helo_hostname,
reject_invalid_helo_hostname,
в лес.
вы вообще читали сообщение об ошибке? и свой конфиг?

[kasak]

kasak
я предлагаю начать с дефолтного конфига, и добавлять в него только те изменения, цель и возможные побочные эффекты которых вам на 100% понятны. В последнем может помочь чтение документации.

need fully-qualified hostname;

reject_non_fqdn_helo_hostname,
reject_invalid_helo_hostname,
в лес.
вы вообще читали сообщение об ошибке? и свой конфиг?

Дефолтный конфиг в убунту почти пуст. Это конфиг из вики центоса.
Я понимаю почему письма были откинуты. Именно от таких умников я и вписал эти опции, я понимаю что localhost и тот бессмысленный набор букв это не fqdn! И я прекрасно понимаю что отправитель лишь подставляет адреса из нормальных серверов чтобы на них приходили ответы. Я прекрасно понимаю как будут работать эти две опции. Вопрос: все ли сервера без fqdn являются спамерами? Ну насчёт invalid_host_name я уверен. Врядли нормальный почтовый сервер сможет работать без A или MX записи. Но у всех ли почтовых серверов есть fqdn ? А если отправителем будет например форумная рассылка или ещё какой-либо рассылятор? Является ли справедливым фильтрация почты основываясь на fqdn? я слышал что в RFC сказано что проверка на fqdn не может быть основанием для отброса почты, я же следую руководству из centos которое так не считает. Так надо или не надо фильтровать письма основываясь на проверке helo?
Все ли "нужные" почтовые сервера имеют fqdn и валидное доменное имя и все ли они посылают HELO или EHLO ?


Простите что так запутал, я с самого начала хочу узнать именно это.

[sash-kan]

пример валидного fqdn (полностью определённого доменного имени) — "ja.strashny.uzhasny.spamer."
именно так, с точкой в конце·
причём, вполне рабочий такой fqdn:

Код: Выделить всё

ping -c 1 ja.strashny.uzhasny.spamer
PING ja.strashny.uzhasny.spamer (127.0.0.1) 56(84) bytes of data.
64 bytes from localhost (127.0.0.1): icmp_req=1 ttl=64 time=0.046 ms

--- ja.strashny.uzhasny.spamer ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 0.046/0.046/0.046/0.000 ms

[rm_]

Дефолтный конфиг в убунту почти пуст.

Может быть для этого причина есть? И может быть она в том, что у postfix'а уже и так зашито большинство reasonable defaults в сам postfix?

И я прекрасно понимаю что отправитель лишь подставляет адреса из нормальных серверов чтобы на них приходили ответы.

А ничего что домен в HELO это не "туда, куда приходят ответы".

все ли они посылают HELO или EHLO ?

Омг, надеюсь это у вас сервер без критичной для других людей почты.

я слышал что в RFC сказано что проверка на fqdn не может быть основанием для отброса почты, я же следую руководству из centos которое так не считает

Правильно, в пень RFC, особенно передаваемые как фольклор из уст в уста (ведь полный их текст ниразу не выложен в интернете, а был утерян в веках).

[kasak]

пример валидного fqdn (полностью определённого доменного имени) — "ja.strashny.uzhasny.spamer."
именно так, с точкой в конце·
причём, вполне рабочий такой fqdn:

Код: Выделить всё

ping -c 1 ja.strashny.uzhasny.spamer
 PING ja.strashny.uzhasny.spamer (127.0.0.1) 56(84) bytes of data.
 64 bytes from localhost (127.0.0.1): icmp_req=1 ttl=64 time=0.046 ms

 --- ja.strashny.uzhasny.spamer ping statistics ---
 1 packets transmitted, 1 received, 0% packet loss, time 0ms
 rtt min/avg/max/mdev = 0.046/0.046/0.046/0.000 ms

это invalid hostname, заделегировать такое имя нельзя

вопрос был: Все ли "нужные" почтовые сервера имеют fqdn и валидное доменное имя и все ли они посылают HELO или EHLO ?

я не профи в настройке постфикса, я даже специально поместил тему в "администрирование для начинающих" не надо издеваться пожалуйста ответьте по-человечески на вопрос. Не все родились гениями.

Хотя если учитывать пост sash-kan меня должно больше интересовать есть ли у отправляющего сервера valid hostname. А все ли отправители обязаны иметь валидный хостнейм? Насколько я понимаю все обязаны? А валидный хостнейм уже должен являтся fqdn ? я прав?

[sash-kan]

это invalid hostname

это валидный fqdn

заделегировать такое имя нельзя

к валидности fqdn это никак не относится

Все ли "нужные" почтовые сервера имеют fqdn

не зная критерия «нужности» сложно ответить на этот вопрос· изложу хотя бы поверхностные соображения:
любой почтовый сервер, доступный в публичной сети internet, имеет ip-адрес·
не всякий ip-адрес имеет запись в revese dns database (т.е., резолвится в fqdn)·
т.к. разные доменные имена могут иметь одну и ту же a-запись, очень запросто в результате запроса к reverse dns database получить не то же самое имя, по которому получена a-запись:
$ dig +short a unixforum.org.
89.104.102.12
$ dig +short -x 89.104.102.12
ip-12.102.104.89.net.unnet.ru.
чтобы избежать reject-ов, которых можно ожидать от многих (особенно публичных) почтовых серверов, администраторы стараются, чтобы для машины, отправляющей почту, такое соответствие выполнялось:
например, почта, формируемая движком сайта unixforum.org, отправляется машиной mail.etersoft.ru, у которой всё соответствует:
$ dig +short a mail.etersoft.ru.
87.249.47.46
$ dig +short -x 87.249.47.46
mail.etersoft.ru.
чтобы избежать reject-ов, связанных с несоответствием домена, указанного в адресе отправителя, с доменным именем машины, которая осуществляет отправку, администраторы используют spf-запись, в которой, к примеру, могут быть явно перечислены ip-адреса машин, осуществляющих отправку писем с таким обратным адресом:
$ dig +short txt unixforum.org.
"v=spf1 ip4:87.249.47.46/32 ip4:88.212.197.163/32 ip4:88.212.197.166/32 -all"