from:"\"Victor Ustugov\""

Andrey N. Oktyabrski wrote:
> On 02/13/11 02:46, Victor Ustugov wrote:
>> p. s. нас сейчас погонят отсюда за оффтопик (и будут правы).
>> так что нужно бы перебираться или в личку или в другой лист.
> Не надо в личку, мне тоже интересно :-)

ну... я был бы склонен все же в листе обсуждать rspamd.

и если бы пришлось создавать новый лист, то ты был бы одним из первых,
кто был бы на него подписан принудительно ;-)

ну а раз нас Игорь пока не гонит отсюда, то можно продолжить.

если Всеволод поддержит общение тут, то я опишу уже выложенные примеры
писем, при проверке которых возникали проблемы с SPF записями и двумя
метриками в rspamd.xml.

глядишь, и ты повернешься лицом к контент сканерам :)

кстати в этом случае, вполне логичным будет с твоей стороны со временем
подготовить pkgsrc и протолкнуть в дерево.

проталкивание rspamd в дерево портов OpenBSD уже не актуально для тебя,
на сколько я понимаю...

-- 
Best wishes Victor Ustugov   mailto:vic...@corvax.kiev.ua
public GnuPG/PGP key:http://victor.corvax.kiev.ua/corvax.asc
ICQ UIN: 77186900, 371808614 nic-handle: CRV-UANIC

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] аналог spamassasin

Vsevolod Stakhov wrote:

>> с CRM114 вообще отдельный разговор. демона нет. сканер написать на своем
>> же языке. для испльзования libcrm114 нужно писать обертку такой
>> сложности, что проще использовать готовый контент сканер. вот как раз
>> RSPAMD таким и является.
> 
> Ну crm114 пишется математиком, оттого и такие странности :)

если оне ошибаюсь, автор CRM114 из Массачусетского технологического. с
другой стороны - Хазель профессор, но при этом его разработка вышла
далеко за рамки академической.

>> в SA свои правила можно оформлять, не разнося описания правил и
>> соответствующие баллы в разные файлы. поэтому если мне нужно что-то
>> отключить, я могу или файл просто убрать из соответствующего каталога,
>> или закомментировать несколько подряд идущих строк.
>>
>> в RSPAMD для отключения метрики мне нужно кроме правки
>> /usr/local/etc/rspamd.xml еще найти все описания правил и
>> закомментировать их.
>>
> 
> Сейчас можно использовать dynamic rules:
> [
> {
> "rule": "file:///test/rP",
> "symbol": "R_TMP_1",
> "factor": 1.1,
> "networks": ["!192.168.1.0/24", "172.16.0.0/16"],
> "enabled": false
> }
> ]

это вариант. но на сколько я понимаю, для каждого символа придется
создавать отдельный файл. я предполагаю создание достаточно большого
количества правил. порядка нескольких сотен как минимум.

компромиссным на мой взгляд вариантом была бы возможность при проверке
корректности синтаксиса выводить предупреждения о том, что есть
описанные символы без упоминания их в метриках, и наоборот, что в
описании метрики есть символы, для которых не сделаны описания. ну и,
естественно, такие символы нужно игнирировать.

самим лучшим решением вообще было бы сделать такое поведение
опциональным. т. е. в процессе отладки системы и наполнения ее правилами
можно было игнорировать такие ситуации с символами, просто выводя
предупреждения. а в случае перевода системы в рабочий режим можно было
бы выключить игнорирование таких ситуаций.

> Кроме того, можно в lua добавить поддержку метрик в каком-то таком виде:
> conf['module']['symbol'] = 'rule'
> metrics['name']['symbol'] = 

т. е. по сути можно в rspamd.xml просто описать метрику, а привязку к
ней символов с опреденными весами делать в lua?

вот этот вариант очень даже подходит. тогда для выключения какого-либо
текстового блока правил можно просто закомментировать включение файла с
этими правилами без правки rspamd.xml.

>> т. е. интересует что-то типа такого:
>>
>> local MAILMAN_MSGID =
>> 'From,Message-ID=/<([^\\@]+\\@[^>]+)>,$/'
> 
> Опять же сделать это функцией на lua должно быть весьма просто (функции
> могут писаться прямо в правилах).

тогда этот вопрос мне придется отложить до изучения работы с регулярными
выражениями в lua. да и нужно будет разобраться с использованием

>> временно я отбился заменой условия сравнения адресов на следующее:
>> string.find(string.lower(mr), string.lower(sr), 1, true)
> 
> Ага, спасибо!

на самом деле это решение тоже корявое.

если в RCPT TO будет u...@domain.org, а в header To будет
u...@domain.org.ua, то правило FORGED_RECIPIENTS не сработает.

так что нужно или сравнивать адреса с помощью регулярных выражений, либо
писать функциою (если таковой еще нет) для извлечения адреса(ов) из
header To (вернее из произвольного поля) и сравнивать адрес из RCPT TO с
этими извлеченными адресами. т. е. я имею ввиду аналог эксимовской
конструкции ${address:}

>> документация касается в основном администрирования того, что можно
>> получить из коробки. в ней мало что есть о том, как допилить систему под
>> себя.
> 
> Документация по lua API на подходе.

отлично

>> p. s. нас сейчас погонят отсюда за оффтопик (и будут правы).
>> так что нужно бы перебираться или в личку или в другой лист.
> 
> Да, по конкретным вопросам и предложениям лучше писать мне лично.

сейчас в личку отправлю письмо по двум проблемам. думаю, что при
необходимости здесь просто результаты можно будет упомянуть. хотя обе
проблемы касаются багов, а не добавления или изменения функционала. так
что возможно и это не потребуется.

-- 
Best wishes Victor Ustugov   mailto:vic...@corvax.kiev.ua
public GnuPG/PGP key:http://victor.corvax.kiev.ua/corvax.asc
ICQ UIN: 77186900, 371808614 nic-handle: CRV-UANIC

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] аналог spamassasin

Роман Николенко wrote:
> А если посмотреть не в сторону  spamd_address, а в сторону смтп прокси?
> Я у себя использую http://www.magicvillage.de/~Fritz_Borgstedt/assp/
> <http://www.magicvillage.de/%7EFritz_Borgstedt/assp/> настройка
> полностью простая через веб.

тогда возможно лучше давать вот эти ссылки:
http://assp.sourceforge.net/
http://sourceforge.net/projects/assp/

> Будут вопросы без проблем обращайтесь. (обслуживает 11 доменов, трафик
> более 30к полезных писем в месяц )

тысяча писем в сутки - эта нагрузка по силах для любого контент сканера
на не совсем убитом сервере.

думаю, что из-за такой нагрузки не каждый из подписчиков этого листа
поставит перед exim'ом такую прокладку как ASSP. ибо это сделает или
невозможным или бесполезным использование всех тех средств фильтрации,
которые уже были реализованы средствами exim.

при этом работоспособность системы вцелом будет зависеть от еще одной
перлового скрипта. и если в случае проблем со spamd exim может просто
продолжить работу, то в случае проблем с ASSP доставка почты может быть
попросту прекращена.

все это лично мое мнение.


> 12.02.2011 21:43, Victor Ustugov пишет:
>> t...@irk.ru wrote:
>>> а есть что-нибудь некоммерческое к чему exim может ходить через
>>> spamd_address?
>> http://bitbucket.org/vstakhov/rspamd/
>>
>> разработчик из России, работает в Рамблере
>>
>> баги сабмитит в основном один пользователь, плюс несколько анонимусов,
>> т. е. пока rspamd скорее всего мало кем используется
>>
>> в портах rspamd появился совсем недавно, там версия 0.3.5. порт из
>> архива исходников использовать нельзя - там какие-то старые обломки,
>> смесь 0.2.9 и 0.3.0
>>
>> интерфейс демона достаточно просто, нужно просто залить в сокет одним
>> блоком заголовок со служебной информацией (тип запроса, размер письма,
>> queue id, адрес отправителя, количество адресов получателей, адреса
>> получателей, HELO и IP клиента) и текст письма. ответ также приходит
>> одним блоком. т. е. проверить письмо можно вообще скриптом, заливающим
>> эти данные в сокет через nc.
>>
>> что касается интеграции с exim, то есть как минимум три способа:
>> 1. работа по протоколу SpamAssassin'а RSPAMC (не пробовал)
>> 2. работа по протоколу RSPAMC через одну из двух предлагаемых функций
>> local_scan (пробовал, работает, но local_scan для меня неприемлем)
>> 3. на основе штатных local_scan функций легко можно написать свою dlfunc
>> (в том числе благодаря простоте протокола RSPAMC, см. выше)
>>
>> работает rspamd быстрее, чем spamd, ресурсов требует меньше. ощущения
>> субъективные. сравнительные тесты не проводились, т. к. к SpamAssassin у
>> меня прикручено очень большое количество своих правил и несколько
>> плагинов. а у rspamd и штатный набор правил ощутимо меньше, чем у
>> SpamAssassin, да и своих правил я портировал на rspamd считанные единицы.
>>
>> уровень false positives и false negatives выше, чем у SpamAssassin,
>> правда ситуация немного выравнивается после дообучения местного Bayes
>> фильтра.
>>
>> свои правила писать не то чтобы сложнее, скорее неудобней. само правило
>> лежит в одном месте, его подключение и вес в другом, проверка
>> корректности синтаксиса считает синтаксис некорректным, если
>> правило описано, а вес не указан. и если приходится использовать
>> несколько метрик, при этом в тестовых целях нужно одну закомментировать,
>> то нужно в других файлах закомментировать и все правила, которые
>> используются только в этой метрике.
>>
>> для правил нет строки описания, как в SpamAssassin, т. е. в ответе
>> демона фигурируют лишь названия правил, без весов и описания. как в этом
>> отношении ведет себя rspamd работая по протоколу SPAMC, я не проверял,
>> т. к. работа по протоколу SPAMC подразумевает, что контент сканер сам
>> получает информацию об адресе клиента, HELO, адресе отправителя и адресе
>> получателя из заголовков письма. а в случае использования протокола
>> RSPAMC эти данные передаются демону в явном виде.
>>
>> синтаксис регексповых правил отдаленно напоминает используемый в
>> SpamAssassin, вплоть до того, что можно написать конвертор.
>>
>> в регекспах не работают конструкции \1, \2 и т. д.
>> моих знаний программирования на C не хватило, чтобы понять, виноват
>> rspamd или pcre.
>>
>> плагины написаны на LUA. в принципе, синтаксис получается более
>> компактным, чем в плагинах на Perl для SpamAssassin.
>>
>> в плагине check_forged_headers есть ошибки, из-за чего правило
>> FORGED_RECIPIENTS ложно срабатывает время от времени.
>>
>> я наткнулся уже на пару писем, при обработке которых возникают

Re: [Exim-users] аналог spamassasin

Victor Ustugov wrote:

>>> т. е. интересует что-то типа такого:
>>>
>>> local MAILMAN_MSGID =
>>> 'From,Message-ID=/<([^\\@]+\\@[^>]+)>,$/'
>>
>> Опять же сделать это функцией на lua должно быть весьма просто (функции
>> могут писаться прямо в правилах).
> 
> тогда этот вопрос мне придется отложить до изучения работы с регулярными
> выражениями в lua. да и нужно будет разобраться с использованием

гм... не дописал предложение.

имелось ввиду "да и нужно будет разобраться с использованием в функциях
lua всех тех вариантов сравнения заголовков с регулярными выражениями,
которые при обычном сравнении с регекспами достигаются использованием
флагов H, X, r.".

-- 
Best wishes Victor Ustugov   mailto:vic...@corvax.kiev.ua
public GnuPG/PGP key:http://victor.corvax.kiev.ua/corvax.asc
ICQ UIN: 77186900, 371808614 nic-handle: CRV-UANIC

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] аналог spamassasin

Vsevolod Stakhov wrote:

>>> Сейчас можно использовать dynamic rules:
>> это вариант. но на сколько я понимаю, для каждого символа придется
>> создавать отдельный файл. я предполагаю создание достаточно большого
>> количества правил. порядка нескольких сотен как минимум.
> 
> Нет, как раз в файле описывается json массив из правил.

это я понял

я имею ввиду, что для каждого символа в json массиве нужно в поле rule
указать файл с кодом правила. или я неправильно понял синтаксис?
json массив у меня будет один. а вот таких правил - много.

>> компромиссным на мой взгляд вариантом была бы возможность при проверке
>> корректности синтаксиса выводить предупреждения о том, что есть
>> описанные символы без упоминания их в метриках, и наоборот, что в
>> описании метрики есть символы, для которых не сделаны описания. ну и,
>> естественно, такие символы нужно игнирировать.
> 
> Да, я тоже думал об этом, возможно, при проверке конфигурации достаточно
> просто выводить варнинг, и не вываливаться с ошибкой.

для меня этого было бы достаточно. тогда я бы и динамические правила
пока не использовал бы. просто сложил бы свои правила в какой-нибудь
/usr/local/etc/rspamd/lua/regexp/headers.local.lua (по крайней мере в
этот файл я сложил бы правила по проверке полей заголовков) и включил бы
этот файл в /usr/local/etc/rspamd/lua/rspamd.lua сразу за
dofile('regexp/headers.lua')

>>> Кроме того, можно в lua добавить поддержку метрик в каком-то таком виде:
>>> conf['module']['symbol'] = 'rule'
>>> metrics['name']['symbol'] =
>>
>> т. е. по сути можно в rspamd.xml просто описать метрику, а привязку к
>> ней символов с опреденными весами делать в lua?
> 
> Да, именно так. Вообще, xml предполагался для автоматического
> редактирования какими-нибудь скриптами или веб-мордой.

ясно

>>>> т. е. интересует что-то типа такого:
>>>>
>>>> local MAILMAN_MSGID =
>>>> 'From,Message-ID=/<([^\\@]+\\@[^>]+)>,$/'
>>>>
>>>
>>> Опять же сделать это функцией на lua должно быть весьма просто (функции
>>> могут писаться прямо в правилах).
>>
>> тогда этот вопрос мне придется отложить до изучения работы с регулярными
>> выражениями в lua. да и нужно будет разобраться с использованием
> 
> В lua можно использовать регулярные выражения rspamd через библиотеку
> rspamd_regexp, при этом сохраняются все преимущества rspamd в виде кеша
> компилированных регулярок и кеша результатов для каждого сообщения.

это все будет описано в той документации по lua API, которая была
упомянута в предыдущем письме?

>> писать функциою (если таковой еще нет) для извлечения адреса(ов) из
>> header To (вернее из произвольного поля) и сравнивать адрес из RCPT TO с
>> этими извлеченными адресами. т. е. я имею ввиду аналог эксимовской
>> конструкции ${address:}
> 
> Хорошо, я посмотрю, как это сделано в exim.

ну, по сути нужно просто извлечь значение из угловых скобок и вернуть.
если угловых скобок в строке нет, вернуть всю строку.

в данном конкретном случае можно просто в check_forged_headers внутри
for _,mr in ipairs(mime_rcpt) do из mr извлекать адрес регулярным
выражением.

т. е. вместо

if string.find(mr, sr) then

или

if string.find(string.lower(mr), string.lower(sr), 1, true) then

можно использовать что-то типа этого:

local addr = string.match(mr, '<(.+?)>')
if addr then mr = addr end
if string.lower(mr) == string.lower(sr) then

я не нашел, как все это более компактно записать.
на perl'е две первых строки можно было бы записать без объявления
дополнительно переменной:

$mr = ($mr =~ /<(.+?)>/ ? $1 : $mr);

-- 
Best wishes Victor Ustugov   mailto:vic...@corvax.kiev.ua
public GnuPG/PGP key:http://victor.corvax.kiev.ua/corvax.asc
ICQ UIN: 77186900, 371808614 nic-handle: CRV-UANIC

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] аналог spamassasin

Andrey N. Oktyabrski wrote:

>> глядишь, и ты повернешься лицом к контент сканерам :)
> Для этого надо, чтобы количество спама в моём почтовом ящике достигло
> хотя бы одного в сутки ;-)

а ты не думай лично о своем ящике. ты думай о системе вцелом. ну и я
могу тебе подкинуть примеры писем, которые можно отфильтровать только в
ходе контентного анализа с использованием статистических фильтров.

и твоя скоринговая система, даже в учетом того, что в ней не только
данные конверта анализируются, но и заголовоки, их легко может
пропустить. в первую очередь это касается спама с публичных бесплатных
почтовых сервисов.

на хорошем потоке писем на хорошо засвеченные адреса это стало бы вполне
заметно.

>> кстати в этом случае, вполне логичным будет с твоей стороны со временем
>> подготовить pkgsrc и протолкнуть в дерево.
> В основное дерево - это непросто. Попыхтеть придётся изрядно. Сначала
> всё появляется тут: http://pkgsrc-wip.sf.net/
> Только после того, как оно несколько лет там поболтается, не подохнет,
> будет оттестировано на всех платформах, где теоретически живёт pkgsrc,
> будет регулярно обновляться, и т.д. и т.п. в том же духе, есть шанс
> перенести в основное дерево.

тогда проще будет сделать свой pkgsrc и поддерживать.

кстати, раз внутри архива исходников есть подкаталог freebsd с портом,
правда устаревшим, в отличии от порта в официальном дереве портов
FreeBSD, может будет точно также вместе с исходниками распространять и
pkgsrc. если конечно Всеволод будет не против.

>> проталкивание rspamd в дерево портов OpenBSD уже не актуально для тебя,
>> на сколько я понимаю...
> Во-первых, да, надоело бороться с многочисленными закидонами этой
> компании. Требование наличия иксов для сборки портов было последней каплей.
> 
> Во-вторых, технологическое отставание, которое компенсировалось раньше
> надёжностью, становится всё больше. Трудно становится пользоваться
> системой. Опять же, качество кода ухудшилось.
> 
> В общем, ну её нафиг. NetBSD+pkgsrc поприятнее выглядит на данный момент.

ну... лично я считал NetBSD достаточно редко используемой (не исключено,
конечно, что я ошибаюсь). и ценность ее применительно к pkgsrc состоит
именно в том, что pkgsrc родными являются именно для нее.

а ценность pkgsrc уже скорее в том, что те же exim/rspamd/etc можно
собрать под всякими Solaris/Open Solaris/Mac OS X со всеми зависимостями
без особых проблем.

-- 
Best wishes Victor Ustugov   mailto:vic...@corvax.kiev.ua
public GnuPG/PGP key:http://victor.corvax.kiev.ua/corvax.asc
ICQ UIN: 77186900, 371808614 nic-handle: CRV-UANIC

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] аналог spamassasin

Vsevolod Stakhov wrote:

>> в SA свои правила можно оформлять, не разнося описания правил и
>> соответствующие баллы в разные файлы. поэтому если мне нужно что-то
>> отключить, я могу или файл просто убрать из соответствующего каталога,
>> или закомментировать несколько подряд идущих строк.
>>
>> в RSPAMD для отключения метрики мне нужно кроме правки
>> /usr/local/etc/rspamd.xml еще найти все описания правил и
>> закомментировать их.
>>
> 
> Сейчас можно использовать dynamic rules:
> [
> {
> "rule": "file:///test/rP",
> "symbol": "R_TMP_1",
> "factor": 1.1,
> "networks": ["!192.168.1.0/24", "172.16.0.0/16"],
> "enabled": false
> }
> ]

учитывая идею дать возможность добавлять описания символов в rspamd.xml
в виде
SYMBOL

нужно и в json массиве для dynamic rules предусмотреть соответсвующий
индекс.

т. е. использовать что-то типа:
[
{
"rule": "file:///test/rP",
"symbol": "R_TMP_1",
"description": "Some symbol",
"factor": 1.1,
"networks": ["!192.168.1.0/24", "172.16.0.0/16"],
"enabled": false
}
]

> Кроме того, можно в lua добавить поддержку метрик в каком-то таком виде:
> conf['module']['symbol'] = 'rule'
> metrics['name']['symbol'] = 

в этом случае тоже нужно предусмотреть возможность указывать описания
правил. видимо примерно так:
metrics['name']['symbol']['description'] = 'Some symbol'

если нет желания смешивать веса и описания правил, можно описывать
описания по-другому:
description['metric_name']['symbol'] = 'Some symbol'

-- 
Best wishes Victor Ustugov   mailto:vic...@corvax.kiev.ua
public GnuPG/PGP key:http://victor.corvax.kiev.ua/corvax.asc
ICQ UIN: 77186900, 371808614 nic-handle: CRV-UANIC

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] аналог spamassasin

Andrey N. Oktyabrski wrote:

>> а ценность pkgsrc уже скорее в том, что те же exim/rspamd/etc можно
>> собрать под всякими Solaris/Open Solaris/Mac OS X со всеми зависимостями
>> без особых проблем.
> Да, именно в этом и есть главный плюс pkgsrc. Оно вполне себе живёт и на
> линуксах, и на солярке.

вот если бы еще для Solaris/Open Solaris в состав pkgsrc ложили файл
манифеста и корректно импортировали его в систему при установке пекаджа...
ну и соответственно удаляли из системы при удалении пекаджа...

-- 
Best wishes Victor Ustugov   mailto:vic...@corvax.kiev.ua
public GnuPG/PGP key:http://victor.corvax.kiev.ua/corvax.asc
ICQ UIN: 77186900, 371808614 nic-handle: CRV-UANIC

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] аналог spamassasin

Vsevolod Stakhov wrote:

>> учитывая идею дать возможность добавлять описания символов в rspamd.xml
>> в виде
>> SYMBOL
>>
>> нужно и в json массиве для dynamic rules предусмотреть соответсвующий
>> индекс.
>>
>> т. е. использовать что-то типа:
>> [
>>  {
>>  "rule": "/test/rP",
>>  "symbol": "R_TMP_1",
>>  "description": "Some symbol",
>>  "factor": 1.1,
>>  "networks": ["!192.168.1.0/24", "172.16.0.0/16"],
>>  "enabled": false
>>  }
>> ]
> 
> Да, конечно, как только сделаю описания, добавлю их и в json.

ok

> Кроме
> того, я, наверное, ошибся в примере - несколько dynamic rules
> добавляются весьма просто:
> [
>  { "rule1": "// & ...", ...},
>  { "rule2": "", ...},
>  ...
> ]

а пример хоть один реальный в состав rspamd можно включить?

а то теперь не совсем понятно, как таки правилам задавать веса.

>>> Кроме того, можно в lua добавить поддержку метрик в каком-то таком виде:
>>> conf['module']['symbol'] = 'rule'
>>> metrics['name']['symbol'] =
>>
>> в этом случае тоже нужно предусмотреть возможность указывать описания
>> правил. видимо примерно так:
>> metrics['name']['symbol']['description'] = 'Some symbol'
> 
> Да, так и сделаю. Минус этого подхода в том, что в lua необходимо
> вначале объявить эту таблицу:
> metrics['default'] = {}
> metrics['default']['symbol'] = weight
> metrics['default']['symbol2'] = {}
> metrics['default']['symbol2']['weight'] = weight
> metrics['default']['symbol2']['description'] = 'string'
> 
> По идее, поддержку такого подхода я уже добавил.

отлично.

но уже становится очевидным, что кроме документации нужно еще и в
дефолтовые конфиги хотя бы в закомментированном виде добавить и
динамические правила и вот такое вот добавление правил через таблицу
metrics.

-- 
Best wishes Victor Ustugov   mailto:vic...@corvax.kiev.ua
public GnuPG/PGP key:http://victor.corvax.kiev.ua/corvax.asc
ICQ UIN: 77186900, 371808614 nic-handle: CRV-UANIC

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] аналог spamassasin

Vsevolod Stakhov wrote:

>>>> кстати в этом случае, вполне логичным будет с твоей стороны со временем
>>>> подготовить pkgsrc и протолкнуть в дерево.
>>> В основное дерево - это непросто. Попыхтеть придётся изрядно. Сначала
>>> всё появляется тут: http://pkgsrc-wip.sf.net/
>>> Только после того, как оно несколько лет там поболтается, не подохнет,
>>> будет оттестировано на всех платформах, где теоретически живёт pkgsrc,
>>> будет регулярно обновляться, и т.д. и т.п. в том же духе, есть шанс
>>> перенести в основное дерево.
>>
>> тогда проще будет сделать свой pkgsrc и поддерживать.
> 
> Я имею доступ к pkgsrc-wip и попробую добавить pkgsrc туда. Ну а
> протолкнуть в дерево, я думаю, поможет знакомый с коммит битом, если это
> будет нужно кому-то :)

ну вот... оказалось, что все не так уж плохо.

>> а ценность pkgsrc уже скорее в том, что те же exim/rspamd/etc можно
>> собрать под всякими Solaris/Open Solaris/Mac OS X со всеми зависимостями
>> без особых проблем.
> 
> В целом, rspamd тестировался на Solaris/Darwin/FreeBSD и Linux. Также
> один человек запустил его на arm'е (правда, после некоторых моих правок
> в код memory_pools насчет выравнивания указателей). Поэтому надеюсь, что
> с портированием rspamd ужасных проблем быть не должно.

тогда вероятность того, что pkgsrc возьмут со временем в официальное
дерево, увеличивается.

-- 
Best wishes Victor Ustugov   mailto:vic...@corvax.kiev.ua
public GnuPG/PGP key:http://victor.corvax.kiev.ua/corvax.asc
ICQ UIN: 77186900, 371808614 nic-handle: CRV-UANIC

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] аналог spamassasin

ожно описывать не только в
rspamd.xml, но и в коде lua.

также изменена логика использования правил, входящих в композитные
правила. если раньше при срабатывании композитного правила
игнорировались все правила, из которых состоял композит, то сейчас можно
указать исключения. т. е. часть правил, из которых состоит композит,
можно оставить в наборе сработавших правил, со своим описанием и весом.

также есть механизм проверки разделителей между именами полей заголовков
и их значениями. сейчас уже добавлены правила для поиска пустых
разделителей и разделителей в виде символов табуляций.

в общем и целом сейчас функционал rspamd доведен до уровня, полностью
пригодного для портирования любого набора правил SpamAssassin. проблемы
могут возникнуть только при портировании сложных плагинов.

еще есть неудобства при сравнении с регекспами нескольких экземпляров
поля. т. е. если в письме есть два поля Cc, то сравнить комбинацию этих
двух полей одним регекспом штатными средствами нельзя. придется писать
функцию на lua, получать значение всех полей Cc, сцеплять в строковую
переменную и уже ее значение сравнивать с регекспом.

правил мы тоже немного добавили. так что вполне можно ставить rspamd и
пробовать.

--
Best wishes Victor Ustugov mailto:vic...@corvax.kiev.ua
public GnuPG/PGP key:http://victor.corvax.kiev.ua/corvax.asc
ICQ UIN: 77186900, 371808614 nic-handle: CRV-UANIC

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] аналог spamassasin

Igor Karpov wrote:
> Прежде всего, спасибо за столь интересный и объемный пост. :)

ну так пару последних недель на работу с rspamd потрачено ощутимое
количество времени. на самом деле, как я уже писал, вопрос замены
SpamAssassin чем-то менее прожорливым и менее тормозным давно настал.

да и Всеволод более чем охотно отвечал на вопросы, реализовывал
предложенный функционал и исправлял баги. с такой оперативной реакцией
разработчика пока сталкиваться не приходилось. за что ему большое спасибо.

> я не нашел, как в lua получить список файлов по маске.
> можно было бы реализовать подключение правил из всех файлов из
> определенного каталога.
> 
> Я ни разу не программист на lua, но вот что дает беглый поиск:
> 
> *To grab the filenames of all *.txt files in a given directory, this
> seems to be the most effective way:*
> *allfiles=murgaLua.readDirectory("/home/mik")*
> *for i=1,table.maxn(allfiles) do*
> *if string.find(allfiles[i],"%.txt$") then print(allfiles[i]) end*
> *end*
> *
> *
> *Apparently table.getn(table) has the same result as table.maxn(table)*
> *I dunno if one is actually better than the other.*
> *
> *
> *http://www.murga-projects.com/forum/showthread.php?tid=43*
> 
> Подойдет? :)

это не совсем lua. на lua здесь написан лишь разбор массива (точнее
таблицы, но в данном контексте это просто массив), который возвращает
некая функция murgaLua.readDirectory, явно внешняя по отношению к самому
lua.

я сам уже давно не программист. а lua в первый раз увидел с месяц назад,
как раз когда в первый раз взглянул на конфиги rspamd.

как показал беглый просмотр документации по lua, этот язык не очень
богат фукционально. по крайней мере это точно касается фукнций работы с
файловой системой. а вот для описания логики чего-либо его более чем
достаточно. на самом деле на том же lua без проблем можно было бы
реализовать описание логики работы того же exim'а.

-- 
Best wishes Victor Ustugov   mailto:vic...@corvax.kiev.ua
public GnuPG/PGP key:http://victor.corvax.kiev.ua/corvax.asc
ICQ UIN: 77186900, 371808614 nic-handle: CRV-UANIC

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] аналог spamassasin

Vsevolod Stakhov wrote:
> On 02/28/2011 10:09 PM, Igor Karpov wrote:
>> Прежде всего, спасибо за столь интересный и объемный пост. :)
>>
>>
>> я не нашел, как в lua получить список файлов по маске.
>> можно было бы реализовать подключение правил из всех файлов из
>> определенного каталога.
>>
>> Я ни разу не программист на lua, но вот что дает беглый поиск:
>>
>> *To grab the filenames of all *.txt files in a given directory, this
>> seems to be the most effective way:*
>> *allfiles=murgaLua.readDirectory("/home/mik")*
>> *for i=1,table.maxn(allfiles) do*
>> *if string.find(allfiles[i],"%.txt$") then print(allfiles[i]) end*
>> *end*
>> *
>> *
>> *Apparently table.getn(table) has the same result as
>> table.maxn(table)*
>> *I dunno if one is actually better than the other.*
>> *
>> *
>> *http://www.murga-projects.com/forum/showthread.php?tid=43*
>>
>> Подойдет? :)
> 
> Ну, это вызов некой C функции объекта. Из си, разумеется, все сделать
> очень просто. Если будет потребность, добавлю :)

если найдутся желающие писать много своих правил, то можно было бы
добавить такую функцию.

пока же (как лично мне кажется) вполне хватит того опционального инклуда
rspamd.local.lua

кстати, что-то после переезда рассылки на mailground.net я с большой
задержкой стал получать письма из нее. это только у меня так?

я первое свое сегодняшнее письмо отправил в 20:50:29 +0200, к mailman'у
это письмо попало в 18:52:38 +, судя по Received, в 18:52:50 +
mailman залил письмо обратно exim'у. на мой же MX письмо было доставлено
через 20 с лишним минут. причем в течении этих 20 минут никаких попыток
доставки, закончившихся темпфейлами, не было. первый коннект с
204.109.60.111 был в 21:13:54 +0200.

-- 
Best wishes Victor Ustugov   mailto:vic...@corvax.kiev.ua
public GnuPG/PGP key:http://victor.corvax.kiev.ua/corvax.asc
ICQ UIN: 77186900, 371808614 nic-handle: CRV-UANIC

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] аналог spamassasin

Igor Karpov wrote:
> Ну тогда попробую еще предложить pl.dir
> из http://lua-users.org/wiki/FileSystemOperations

по сути это тоже отдельный кусок. даже два.

один - на C:
https://github.com/downloads/keplerproject/luafilesystem/luafilesystem-1.5.0.tar.gz

второй - уже на lua:
http://luaforge.net/frs/download.php/4463/pl.0.8b.zip

после сборки и установки lfs и установки pl уже можно использовать
функции из pl.dir

но для получения возможности легче отключать отдельные наборы правил в
rspamd это уже скорее всего слишком.

проще заказать Всеволоду еще одну функцию :)

просто изначально отключать отдельные правила было хлопотно. нужно было
найти в файлах в /usr/local/etc/rspamd/lua/regexp нужные правила,
закомментировать их, потом найти в /usr/local/etc/rspamd.xml, также
закомментировать их, потом уже перегружать rspamd.

после же доработок стало возможным описывать отдельные наборы (по сути
просто группы) правил в отдельных файлах, которые просто могут быть
подключены с помощью dofile().

для подключения пользовательских файлов с наборами правил в
/usr/local/etc/rspamd/lua/rspamd.lua было добавлено опциональное
включение файла /usr/local/etc/rspamd/lua/rspamd.local.lua:

if file_exists('rspamd.local.lua') then
dofile('rspamd.local.lua')
end

сделано для того, чтобы не нужно было после каждого апгрейда rspamd
заново руками в rspamd.lua прописывать использование своих файлов правил.

так вот свои правила уже можно включать в этот rspamd.local.lua. либо
непосредственно описывать их в этом файле, либо с помощью dofile()
инклудить отдельные файлы с отдельными наборами.

но т. к. закомментировать один dofile() в rspamd.local.lua на много
проще, чем комментировать правила в файле с ними и потом еще
комментировать описания этих правил в rspamd.xml, то похоже, что
актуальность проблемы получения средствами lua списка файлов по маске
уже достаточно низка.

кстати, в lua нет штатной функции проверки существования файла. поэтому
для использования в вышеописанном фрагменте была описана крошечная
функция (в том же rspamd.lua):

local function file_exists(filename)
local file = io.open(filename)
if file then
io.close(file)
return true
else
return false
end
end

вот так вот, как оказалось, придется еще велосипеды изобретать :)

> Если снова не то, перестаю умничать :)

да можно и поумничать :)

> 2011/2/28 Vsevolod Stakhov  <mailto:vsevo...@freebsd.org>>
> 
> On 02/28/2011 10:09 PM, Igor Karpov wrote:
> 
> Прежде всего, спасибо за столь интересный и объемный пост. :)
> 
> 
>я не нашел, как в lua получить список файлов по маске.
>можно было бы реализовать подключение правил из всех файлов из
>определенного каталога.
> 
> Я ни разу не программист на lua, но вот что дает беглый поиск:
> 
>*To grab the filenames of all *.txt files in a given
> directory, this
>seems to be the most effective way:*
>*allfiles=murgaLua.readDirectory("/home/mik")*
>*for i=1,table.maxn(allfiles) do*
>*if string.find(allfiles[i],"%.txt$") then print(allfiles[i])
> end*
>*end*
>*
>*
>*Apparently table.getn(table) has the same result as
> table.maxn(table)*
>*I dunno if one is actually better than the other.*
>*
>*
>*http://www.murga-projects.com/forum/showthread.php?tid=43*
> 
> Подойдет? :)
> 
> 
> Ну, это вызов некой C функции объекта. Из си, разумеется, все
> сделать очень просто. Если будет потребность, добавлю :)
> 
> -- 
> Vsevolod Stakhov
> 
> 
> ___
> Exim-users mailing list
> Exim-users@mailground.net <mailto:Exim-users@mailground.net>
> http://mailground.net/mailman/listinfo/exim-users
> 
> 
> 
> 
> ___
> Exim-users mailing list
> Exim-users@mailground.net
> http://mailground.net/mailman/listinfo/exim-users

-- 
Best wishes Victor Ustugov   mailto:vic...@corvax.kiev.ua
public GnuPG/PGP key:http://victor.corvax.kiev.ua/corvax.asc
ICQ UIN: 77186900, 371808614 nic-handle: CRV-UANIC

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] Блокировать по IP в HELLO [218.209.22.128]

2011-06-08 Пенетрантность Victor Ustugov

Sergey Kobzar wrote:

>> Я до сих пор использовал грейлистинг для подобных отправителей (и других
>> поддельных приветствий), но они проходят его все равно.
>>
>> В данной блокировке не вижу ничего опасного, ИМХО.
> 
> greylisting - однозначно. Возможно более жесткий.
> блокировать нельзя - недоделок котрые используют helo подобного вида еще
> хватает

вообще-то использование литерала в качестве аргумента команд HELO/EHLO -
это единственно корректный путь в случае, если SMTP клиент по каким-то
причинам не может определить FQDN своего хоста.

> Китай/Корея - там тоже люди живут. Может захотят вам написать.. Иначе
> чего тогда мелочиться - Россия, Польша, Бразилия, Китай, Аргентина,
> Украина... да чего там мелочиться! ;)


-- 
Best wishes Victor Ustugov   mailto:vic...@corvax.kiev.ua
public GnuPG/PGP key:http://victor.corvax.kiev.ua/corvax.asc
ICQ UIN: 77186900, 371808614 nic-handle: CRV-UANIC

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] Invalid credential при lookup ldap

2011-09-14 Пенетрантность Victor Ustugov

   user=MS_USER \
>>pass=MS_PASS \
>>   ldap:///LDAP_AD_BASE_DN?mail?sub?\
>>  (&(|(objectClass=user)(objectClass=publicFolder)(objectClass=group))\
>>  (|(proxyAddresses=${quote_ldap:${local_part}@MS_DOMAIN})\
>>  (proxyAddresses=smtp:${quote_ldap:${local_part}@MS_DOMAIN}))\
>>  (!(userAccountControl:1.2.840.113556.1.4.803:=2))
>>
>> Все равно
>> 2011-09-14 10:17:03 H=(some-domain.ru) [127.0.0.1] Warning: ACL "warn" 
>> statement skipped: condition test deferred: failed to bind the LDAP 
>> connection to server 192.168.128.61:3268 - LDAP error 49: Invalid 
>> credentials
>> ___
>> Exim-users mailing list
>> Exim-users@mailground.net
>> http://mailground.net/mailman/listinfo/exim-users
>>
>>
> ___
> Exim-users mailing list
> Exim-users@mailground.net
> http://mailground.net/mailman/listinfo/exim-users
> 


-- 
Best wishes Victor Ustugov   mailto:vic...@corvax.kiev.ua
public GnuPG/PGP key:http://victor.corvax.kiev.ua/corvax.asc
ICQ UIN: 77186900, 371808614 nic-handle: CRV-UANIC

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] Invalid credential при lookup ldap

2011-09-14 Пенетрантность Victor Ustugov

An An wrote:
> С ldapsearch я разобрался. Даже уже в exim -be протестировал:
> 
> netgenic# exim -be
>> ${lookup ldap{user=exim@domain.local pass=ldapmail3 
>> ldap:///dc=domain,dc=local?mail?sub?(&(|(objectClass=user)(objectClass=group))(mail=psa@domain.local))}}
> psa@domain.local
>> ${lookup ldap{user=exim@domain.local pass=ldapmail3 
>> ldap:///dc=domain,dc=local?mail?sub?(&(|(objectClass=user)(objectClass=group))(mail=densi@domain.local))}}
> 
>>
> 
> Исходя из запроса, сформировал заново запрос в конфиге:
> 
> ldap_default_servers = 192.168.128.61::3268
> 
> MS_DOMAIN   = domain.local
> MS_USER = exim@domain.local
> MS_PASS = ldapmail3
> MS_B_DN = "dc=domain,dc=local"
> MS_AD_MAIL_RCPT = \
> user=MS_USER \
> pass=MS_PASS \
> ldap:///MS_B_DN?mail?sub?\
> (&\
> (|\
> 
> (objectClass=user)(objectClass=publicFolder)(objectClass=group)\
> )\
> (mail=${local_part}@MS_DOMAIN})\
> )
> 
> Осталось с драными acl разобраться:
> 
> warncondition   = ${lookup ldap {MS_AD_MAIL_RCPT}{$value}fail}
>  message = Win
> 
> warn!condition  = ${lookup ldap {MS_AD_MAIL_RCPT}{$value}fail}
>  message = Lose
> 
> Которые я ввел для проверки, и которые все время ругаются:
> 
> Warning: ACL "warn" statement skipped: condition test deferred: ldap_search 
> failed: -7, Bad search filter

во-первых, нужно таки определиться, накладывать фильтрь по атрибуту mail
или по атрибуту proxyAddresses.

во-вторых, при наложении фильтра на proxyAddresses нужно указывать
$domain, а не MS_DOMAIN. то, что они в данном конкретном случае могли
совпасть (это непонятно из-за замены в примерах реального домена на
domain.local), это сильно частный случай и конструкции MS_DOMAIN в
значении фильтра точно делать нЕчего.

в-третьих, можно в выводе exim -d -bh посмотреть, какой именно LDAP
запрос получился после подстановки всех этих макросов. и тогда уже
думать, что не так. кстати, для проверки существования адреса хватает
фильтра просто по proxyAddresses.

> 14 сентября 2011, 12:49 от Victor Ustugov :
>> An An wrote:
>>> Все равно не выходит. На запрос:
>>>
>>> enic# ldapsearch -LLL -H ldap://192.168.128.61:3268 -s base
>>>
>>> есть ответ. Но на запрос:
>>>
>>> enic# ldapsearch -D exim -w ldapmail3 -LLL 
>>> "(&(|(objectClass=user)(objectClass=publicFolder)(objectClass=group))(proxyAddresses=SMTP:psa@some-doman.local))"
>>>ldap_bind: Invalid credentials (49)
>>> additional info: 80090308: LdapErr: DSID-0C0903A9, comment: 
>>> AcceptSecurityContext error, data 52e, v1db1
>>
>> а что возвращает
>>
>> ldapsearch -x -h 192.168.128.61 -p 3268 -LLL -D exim@some-doman.local -w
>> ldapmail3 -b "dc=some-domain,dc=local"
>> "(proxyAddresses=SMTP:psa@some-doman.local)"
>>
>> ?
>>
>> причем значении артибута proxyAddresses нужно указывать почтовый домен,
>> а в ldap логине и basedn должна быть указана доменная зона виндовой
>> домена из AD. в изначальном условии задачи мелькало то
>> some-domain.local, то dc=some-domain,dc=local, то DC=pac,DC=local
>>
>> в общем и целом нужно подставить корректные данные и выполнить запрос
>>
>>> enic# ldapsearch -D exim -w ldapmail3 -LLL -H ldap://192.168.128.61:3268 
>>> "(&(|(objectClass=user)(objectClass=publicFolder)(objectClass=group))(proxyAddresses=SMTP:psa@some-domain.local))"
>>> ldap_bind: Invalid credentials (49)
>>> additional info: 80090308: LdapErr: DSID-0C0903A9, comment: 
>>> AcceptSecurityContext error, data 52e, v1db1
>>>
>>>
>>>
>>>
>>> 14 сентября 2011, 10:40 от Golub Mikhail :
>>>> Привет.
>>>>
>>>> hide ldap_default_servers =  ldap::3268 (именно двоеточие)
>>>> LDAP_AUTH= NETTIME=5 user="CN=username,OU=,DC=...,=UA" pass=password
>>>> IP_EXCHANGE=1.1.1.1
>>>>
>>>>  route_data= ${lookup ldap \
>>>> {LDAP_AUTH \
>>>>   ldap:///DC=...=UA?proxyAddresses?sub?\
>>>>   
>>>> (&(proxyAddresses=smtp:$local_part@$domain)(|(objectclass=group)(&(objectclass=user)(msExchUserAccountControl=0)))\
>>>>   )\
>>>> }\
>>>> {IP_EXCHANGE}fail}
>>>>
>>>> Переписать "по вкусу".

Re: [Exim-users] Не работает dlopen

2012-02-23 Пенетрантность Victor Ustugov

Алексей Киреев wrote:
> Здравствуйте.

приветствую

> Не получается собрать exim в debian для работы с dlopen. В логах:
> 
> 2012-02-23 21:48:46 1S0cmP-0004xo-R5 dlopen "/usr/lib/exim-dlfunc.so" failed: 
> /usr/lib/exim-dlfunc.so: undefined symbol: split_spool_directory

исходники exim'а доступны на момент сборки dlfunc? в соседнем письме
Лена в строке сборки указала
-I/usr/ports/mail/exim/work/exim-4.77/build-FreeBSD-i386
-L/usr/local/lib - это именно то, о чем я пишу.

если исходники exim'а на момент сборки доступны, то есть еще одна не
совсем очевидная причина вышеуказанной проблемы.

подобная проблема может проявляться, если exim собран без поддержки perl'а.

чуть больше года назад эта проблема уже обсуждалась в листе:
http://mailground.net/pipermail/exim-users/2011-January/000242.html

> Пытался сделать следующее (ситуация один в один с той, что описана тут - 
> http://comments.gmane.org/gmane.mail.exim.user/80545):
> 
> EXTRALIBS=-lpam --export-dynamic - ошибка та же
> 
> EXTRALIBS=-lpam --export-dynamic -ldl - ошибка та же
> 
> EXTRALIBS=-lpam --export-dynamic -export-dynamic - ошибка та же
> 
> EXTRALIBS=-lpam -export-dynamic -shared - тут экзим вообще не работает, 
> падает в корку
> 
> EXTRALIBS=-Wl,-E -lpam -export-dynamic - ошибка та же
> 
> Для проверки, что вообще флаги принимают участие - сделал:
> 
> EXTRALIBS=-lpam -export-dynamic -lek-flag, компиляция завершилась ошибкой:
> 
> ...
> gcc -o exim
> /usr/bin/ld: cannot find -lek-flag
> collect2: ld returned 1 exit status
> make[1]: *** [exim] Error 1
> make[1]: Leaving directory 
> `/usr/local/src/deb/exim-dlfunc/exim4-4.72/build-tree/build-Linux-i386'
> make: *** [build-exim4-daemon-custom/exim] Ошибка 2
> dpkg-buildpackage: ошибка: debian/rules build возвратил код ошибки 2
> 
> Что посоветуете?

вот другой рабочий пример сборки dlfunc на FreeBSD с двумя функциями:

gcc -c -O2 -shared
-I/usr/ports/mail/exim/work/exim-4.77/build-FreeBSD-i386
-I/usr/local/include -fPIC -g ip2country.c -o ip2country.o
gcc -c -O2 -shared
-I/usr/ports/mail/exim/work/exim-4.77/build-FreeBSD-i386
-I/usr/local/include -fPIC -g rspamd.c -o rspamd.o
gcc -O2 -shared -I/usr/ports/mail/exim/work/exim-4.77/build-FreeBSD-i386
-I/usr/local/include -fPIC -g -o exim-dlfunc.so -L/usr/local/lib -lGeoIP
ip2country.o rspamd.o



-- 
Best wishes Victor Ustugov   mailto:vic...@corvax.kiev.ua
public GnuPG/PGP key:http://victor.corvax.kiev.ua/corvax.asc
ICQ UIN: 77186900, 371808614 nic-handle: CRV-UANIC

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] Не работает dlopen

2012-02-23 Пенетрантность Victor Ustugov

l...@lena.kiev.ua wrote:
>> подобная проблема может проявляться, если exim собран без поддержки perl'а.
> 
> У меня Exim собран без поддержки Perl. Но dlfunc работает.
> Под FreeBSD.

это проявляется не на всех dlfunc. у меня есть как минимум одна фукнция,
которая не работает, если exim собран без поддержки perl'
а. хотя эта функция не имеет к нему ни малейшего отношения.

в ранее указанной мной теме есть ссылка на dlfunc и обсуждение. добавить
в общем-то мне нЕчего.

-- 
Best wishes Victor Ustugov   mailto:vic...@corvax.kiev.ua
public GnuPG/PGP key:http://victor.corvax.kiev.ua/corvax.asc
ICQ UIN: 77186900, 371808614 nic-handle: CRV-UANIC

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] Не работает dlopen

2012-02-24 Пенетрантность Victor Ustugov

Алексей Киреев wrote:
> Виктор, я пытаюсь прикрутить модуль kas3.c, взятый с Вашего сайта 
> (http://mta.org.ua/exim-4.69-conf/dlfunc/kas3/kas3.c)

понял

> Сделал Makefile на основе Вашего, исходники exim4, конечно, доступны (иначе 
> не собирался exim-dlfunc.so).
> 
> EXIMSRC =/usr/local/src/deb/exim-dlfunc/exim4-4.72/src
> EXIM2SRC
> =/usr/local/src/deb/exim-dlfunc/exim4-4.72/build-tree/build-exim4-daemon-custom
> KASINCLUDE  =/usr/local/ap-mailfilter3/include
> INCLUDE =-I${EXIMSRC} -I${EXIM2SRC} -I/usr/local/include -I${KASINCLUDE}
> OBJS=kas3.o
> CFLAGS  =-O2 -shared ${INCLUDE} -fPIC -g
> CLIBS   =-L/usr/lib
> STATICLIBS  =-L/usr/local/ap-mailfilter3/lib -lspamtest
> BINDIR  =/usr/lib
> 
> all: exim-dlfunc
> exim-dlfunc: exim-dlfunc.so
> 
> exim-dlfunc.so: kas3.o
> gcc $(CFLAGS) -o $@ $(CLIBS) $(OBJS) $(STATICLIBS)
> 
> install: all
> cp -f exim-dlfunc.so ${BINDIR}
> 
> clean:
> rm -f *.o *.so
> 
> %.o:%.c
> gcc -c $(CFLAGS) $< -o $@
> 
> При сборке выполняеются следующие 2 команды:
> 
> gcc -c -O2 -shared -I/usr/local/src/deb/exim-dlfunc/exim4-4.72/src 
> -I/usr/local/src/deb/exim-dlfunc/exim4-4.72/build-tree/build-exim4-
> sr/local/ap-mailfilter3/include -fPIC -g kas3.c -o kas3.o
> gcc -O2 -shared -I/usr/local/src/deb/exim-dlfunc/exim4-4.72/src 
> -I/usr/local/src/deb/exim-dlfunc/exim4-4.72/build-tree/build-exim4-dae
> local/ap-mailfilter3/include -fPIC -g -o exim-dlfunc.so -L/usr/lib kas3.o 
> -L/usr/local/ap-mailfilter3/lib -lspamtest

сборка нормально должна проходить

> Пропатчил exim4 патчем 
> (http://mta.org.ua/exim-4.68-conf/patches/exim-4.68-remove_header/patch-src::remove_header.patch),
>  но после подключения модуля exim-dlfunc.so получил ошибку при приёме письма:
> 
> 2012-02-22 23:05:06 1S0HUw-0002AP-7G dlopen "/usr/lib/exim-dlfunc.so" failed: 
> /usr/lib/exim-dlfunc.so: undefined symbol: acl_removed_headers

при этом strings `which exim` | grep acl_removed_headers выдавало пустую
строку или acl_removed_headers?

> Я подумал, что не пропатчился exim, поэтому закомментировал в файле kas3.c 
> строки, имеющие отношение к acl_removed_headers, скомпилировал снова 
> exim-dlfunc.so и получил уже другую ошибку:

легче было бы взять чуть более свежий dlfunc:
http://mta.org.ua/exim-4.76-conf/dlfunc/kas3/kas3.c

в нем использование патча patch-src::remove_header.patch регулируется
директивой условной компиляции WITH_EXPERIMENTAL_REMOVE_HEADER

> 2012-02-23 21:48:46 1S0cmP-0004xo-R5 dlopen "/usr/lib/exim-dlfunc.so" failed: 
> /usr/lib/exim-dlfunc.so: undefined symbol: split_spool_directory. Это точно в 
> экзиме есть,

ну да. split_spool_directory испльзуется вне зависимости от директив
условной компиляции

> поэтому я подумал об неправильной сборке самого exim4 и начал изучать 
> ситуацию. Нашёл обсуждение за 2008 год, мой случай такой же. Но пока не 
> получается :(

я год назад пытался найти зависимость от сборки с поддержкой и без
поддержки perl и выводом сообщения об ошибке "Undefined symbol
"acl_added_headers"" - безуспешно.

судя по исходникам exim'а, поддержка dlfunc и поддержка perl никак не
связаны.

мало того, под FreeBSD у меня используются dlfunc на полутора десятках
серверов.

на четырех из них точно используются acl_added_headers,
acl_removed_headers и split_spool_directory. на трех из них используется
именно dlfunc для интеграции с KAS3, правда изначально на одном (а
сейчас на двух из трех) dlfunc kas3 была собрана под AMD64. но это в
данном случае роли не играет.

и таких проблем с доступом к переменным exim'а в работе dlfunc я не
видел, пока год назад Вячеслав не написал о проблемах работы dlfunc для
интеграции со спамообороной.

> Начал менять в Makefile (который в debian называется EDITME.exim4-custom) 
> значение переменной EXTRALIBS.
> Ещё дополнительно пробовал ставить -Wl,-export-dynamic и -rdynamic (согласно 
> п.3.4 http://tldp.org/HOWTO/Program-Library-HOWTO/shared-libraries.html) - но 
> без результата.
> 
> Perl собирается работает, с помощью него я сделал занесение в memcache ошибок 
> авторизации и проверку.

подозреваю, что в данном случае лучший вариант - писать
http://bugs.exim.org/

> P.S. Не пойму, как писать в этот лист? Отвечать на адрес листа или на адрес 
> автора объявления и копию на адрес листа? А то получилось, что мне Лена 
> ответила, я написал ответ - а в лист это не попало.

так вроде в Reply-To писем из листа указано exim-users@mailground.net

Лена просто при ответе использовала Reply to all, поэтому ее письмо ушло
и в лист и на личный адрес. ну и при ответе на ее письмо, отосланное на
личный адрес, ответ ушел лично Лене.

где-то так...

> 24 февраля 2012, 00:08 от Victor Ustugov :
>> Алексей Киреев wrote:
>>> Здравствуйте.

Re: [Exim-users] Не работает dlopen

2012-02-25 Пенетрантность Victor Ustugov

Алексей Киреев wrote:
> Методом тыка понял, кто виновник: это опция (к ней нет никаких комментарев в 
> Makefile):
> CFLAGS += -fvisibility=hidden
> 
> Собрал exim4.77 на CentOS 5.5, не сразу, но добился работы exim-dlfunc.so и 
> начал изучать различие в флагах компиляции. Оказывается, в EXTRALIBS можно 
> ничего не писать, т.к. -ldl и -rdynamic (которого достаточно, т.е. не нужен 
> флаг -export-dynamic) - эти флаги берутся из опций линковщика, которые 
> выставляет perl (в конце набора параметров компиляции), примерно так:
> 
> gcc -o exim  acl.o child.o crypt16.o daemon.o dbfn.o debug.o deliver.o 
> directory.o dns.o drtables.o enq.o exim.o expand.o filter.o filtertest.o 
> globals.o dkim.o header.o host.o ip.o log.o lss.o match.o moan.o os.o parse.o 
> queue.o rda.o readconf.o receive.o retry.o rewrite.o rfc2047.o route.o 
> search.o sieve.o smtp_in.o smtp_out.o spool_in.o spool_out.o store.o string.o 
> tls.o tod.o transport.o tree.o verify.o lookups/lf_quote.o 
> lookups/lf_check_file.o lookups/lf_sqlperform.o local_scan.o perl.o malware.o 
> mime.o regex.o spam.o spool_mbox.o demime.o bmi_spam.o spf.o srs.o dcc.o 
> version.o \
>   routers/routers.a transports/transports.a lookups/lookups.a \
>   auths/auths.a pdkim/pdkim.a \
>   -lresolv -lnsl -lcrypt -lm   -lpam -ldl \
>-ldb -lldap -llber -lmysqlclient -lpq -lsqlite3 -lsasl2 \
>   -Wl,-E  -fstack-protector -L/usr/local/lib  
> -L/usr/lib/perl/5.14/CORE -lperl -ldl -lm -lpthread -lc -lcrypt -lgnutls 
> -lpcre -rdynamic
> 
> В последней строке - опции для perl, там -rdynamic. Возможно это и есть ответ 
> на вопрос, почему без компиляции perl не видны символы acl_added_headers.

на сколько я понимаю, при сборке с поддержкой perl в таком случае
используется значение из CFLAGS_DYNAMIC

и получается, что при сборке с поддержкой dlfunc без поддержки зукд
нужно просто добавить -rdynamic в EXTRALIBS


>> я год назад пытался найти зависимость от сборки с поддержкой и без
>> поддержки perl и выводом сообщения об ошибке "Undefined symbol
>> "acl_added_headers"" - безуспешно.
> 
> 
> В CentOS символ acl_added_headers виден глобально (второе поле - g):
> objdump -t /usr/sbin/exim|grep acl_added
> 0812b05c g O .bss   0004  acl_added_headers
> 
> В Debian, когда не работала exim-dlfunc.so этот символ был виден локально 
> (второе поле - l):
> objdump -t /usr/sbin/exim4.bad |grep acl_added
> 081267ec l O .bss   0004  acl_added_headers
> 
> Причём проверять надо бинарник без strip, иначе "SYMBOL TABLE: no symbol" 

ясно

>> при этом strings `which exim` | grep acl_removed_headers выдавало пустую
>> строку или acl_removed_headers?
>>
> Сейчас strings `which exim` | grep acl_added_headers
> выдаёт acl_added_headers
> 
> acl_removed_headers - я сейчас не патчил с этим функционалом. Вообще, он 
> нужен или можно без него нормально работать?

можно работать без него. просто я много использую удаление полей
заголовок в acl. делаю это с помощью патча, который когда-то
опубликовали в exim-dev, но который не включили в релиз.

при этом если не учитывать удаление полей заголовков при проверке писем
контент сканерами, могут сработать правила контент сканеров на тех полях
заголовокв, которых не будет в доставленном письме. что может вызвать
некоторую путаницу.

> Так же заметил, что у Вас на сайте на главной странице ссылка 
> http://mta.org.ua/exim-4.76-conf/ (Паровоз (конфигуратор для exim 4.70 и 
> выше):) ведёт на http://mta.org.ua/exim-4.69-conf/.

поправил

> Аналогично и с другой ссылкой - "Паровоз (конфигуратор для exim 4.67 и 
> выше):". Похоже из-за этого я взял файл kas3.c из 4.69.

поправил

на самом деле в самой dlfunc ничего не поменялось, кроме упрощения
сборки ее без учета использования патча для удаления полей заголовков в acl

> Спасибо Вам и Лене за помощь. И спасибо за kas3.c - наконец то получилось 
> прикрутить нормально kas к exim.

спасибо из пинок в сторону -rdynamic

а касперы потихоньку поворачиваются лицом к более функциональным методам
интеграции контент сканеров и антивирусов с exim.
в KAV 5.6 штатно включена их dlfunc.

среди нас тут есть тот, кто к этому руку приложил ощутимо. даже наверное
две :)

> При local_scan я не мог на этапе получения сообщения своими условиями 
> отвергнуть сообщение. Ну а метод интеграции с kas-pipe вообще не понравился.

поэтому я в свое время и стал испльзовать dlfunc.

а если использовать одновременно dlfunc для интеграции exim с DSPAM и
dlfunc для интеграции exim с KAS, при этом в KAS добавить правила для
оценки полей, добавленных самим DSPAM, то можно получить KAS с неплохим
статистическим фильтром, чего у него самого изначально нет.

-- 
Best wishes Victor Ustugov   mailto:vic.

Re: [Exim-users] Не работает dlopen

2012-02-26 Пенетрантность Victor Ustugov

Oleg Kostyuk wrote:

>> а касперы потихоньку поворачиваются лицом к более функциональным методам
>> интеграции контент сканеров и антивирусов с exim.
>> в KAV 5.6 штатно включена их dlfunc.
>>
>> среди нас тут есть тот, кто к этому руку приложил ощутимо.
>> даже наверное две :)
> Вы так убедительно пишете (в хорошем смысле), что я прям воочию увидел
> как он уже готов и ногой приложиться :)

это уже не нужно.

он передал тогдашним разработчикам, занимавшимся интеграцией KAV 5.6 с
MTA, ссылку на dlfunc для интеграции KAV 5.5 c exim:
http://mta.org.ua/exim-4.76-conf/dlfunc/aveserver/aveserver.c

и ссылки на простейшие примеры dlfunc:
http://www.ols.es/exim/dlext/geoip.c
http://www.ols.es/exim/dlext/getenv.c
http://www.ols.es/exim/dlext/pipe.c
http://www.ols.es/exim/dlext/surbl.c

ну и убедил оценить целесообразность использования данного метода
интеграции. на пальцах убедил.

в результате касперы написали свою dlfunc и включили в поставку KAV 5.6

у меня сохранился только kav4lms-5.6_26.tgz для FreeBSD 6.x, при его
установке исходники штатной dlfunc будут расположены в
/usr/local/src/kav4lms/exim-dlfunc

т. е. сарказм с ногой как-то не особо уместен.


>>> При local_scan я не мог на этапе получения сообщения своими условиями 
>>> отвергнуть сообщение. Ну а метод интеграции с kas-pipe вообще не понравился.
>>
>> поэтому я в свое время и стал испльзовать dlfunc.
>>
>> а если использовать одновременно dlfunc для интеграции exim с DSPAM и
>> dlfunc для интеграции exim с KAS, при этом в KAS добавить правила для
>> оценки полей, добавленных самим DSPAM, то можно получить KAS с неплохим
>> статистическим фильтром, чего у него самого изначально нет.

-- 
Best wishes Victor Ustugov   mailto:vic...@corvax.kiev.ua
public GnuPG/PGP key:http://victor.corvax.kiev.ua/corvax.asc
ICQ UIN: 77186900, 371808614 nic-handle: CRV-UANIC

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] Странного хочу :) - if match

2012-03-14 Пенетрантность Victor Ustugov

Golub Mikhail wrote:
> Добрый день.

добрый

> Скажем, есть такое правило:
> check_helo:
> deny condition = ${if match {$sender_helo_name} 
> {\N(test1.com|test2.com)\N} }
> message = Srabotalo :)
> log_message = Yes! $value
> 
> Что я хотел получить?
> Я хотел увидеть в логе результат соответствия (match).
> Чтобы знать, по какой именно части сработало.
> Т.е. в helo задаю "helo test1.com", и в логе хочу увидеть "Yes! test1.com"
> Только вот $value сюда не клеится. А что использовать?

  deny set acl_m_helo_test = \
   ${if match{$sender_helo_name}{\N(test1.com|test2.com)\N}{$1}{}}
   condition = ${if eq{$acl_m_helo_test}{}{no}{yes}}
   message = Srabotalo
   log_message = Yes! $acl_m_helo_test

p. s. делать deny до RCPT TO - зло

-- 
Best wishes Victor Ustugov   mailto:vic...@corvax.kiev.ua
public GnuPG/PGP key:http://victor.corvax.kiev.ua/corvax.asc
ICQ UIN: 77186900, 371808614 nic-handle: CRV-UANIC

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] Странного хочу :) - if match

2012-03-14 Пенетрантность Victor Ustugov

Alexandr wrote:
> On 14.03.2012 14:51, Golub Mikhail wrote:
>> Добрый день.
>> 
>> Скажем, есть такое правило: check_helo: deny condition = ${if
>> match {$sender_helo_name} {\N(test1.com|test2.com)\N} } message =
>> Srabotalo :) log_message = Yes! $value
>> 
>> Что я хотел получить? Я хотел увидеть в логе результат
>> соответствия (match). Чтобы знать, по какой именно части
>> сработало. Т.е. в helo задаю "helo test1.com", и в логе хочу
>> увидеть "Yes! test1.com" Только вот $value сюда не клеится. А что
>> использовать?
> Ну так у вас же уже есть $sender_helo_name ? Или я что-то
> неправильно понял?

с регекспом может совпасть не вся строка, а ее часть.

судя по всему, Михаил хочет видеть, какая именно часть строки совпала
с регекспом.


-- 
Best wishes Victor Ustugov   mailto:vic...@corvax.kiev.ua
public GnuPG/PGP key:http://victor.corvax.kiev.ua/corvax.asc
ICQ UIN: 77186900, 371808614 nic-handle: CRV-UANIC

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] Странного хочу :) - if match

2012-03-14 Пенетрантность Victor Ustugov

Golub Mikhail wrote:
> Да, не правильно.
> Или я так смутно выразился :(
> 
> Условие:
> deny condition = ${if match {$sender_helo_name} {\N(111|222|333)\N} }
> log_message = $value
> 
> Даю команду "helo 2" и в логе хочу увидеть "222", т.е. ту часть рег. 
> выражения, по которой сработало правило.

helo 2 не совпадет с 222

и выдать часть регулярного выражения не получится никак на мой взгляд

в отличии от части строки, которая совпала с регуляным выражением

если в регуляном выражении не будет спецсимволов (как выше), то "часть
рег. выражения, по которой сработало правило" будет совпадать с частью
исходной строки, которая совпада с регуляным выражением, т. о. можно
использовать два практически одинаковых варианта, приведенных в соседних
письмах.

p. s. может все же те, кто рулит хостом ikke.mailground.net, попытаются
минимизировать задержку доставки писем из листа?
после переезда на этот хост мне письма из рассылки приходят 16 минут.
после получения письма из рассылки я пишу ответ, а потом через минут 10
вижу в рассылке письмо, отправленное Леной, в котором синтаксис почти
такой же, но она отправила свое письмо раньше. и мне смысла писать ответ
вообще не было.

> 
> С уважением,
> Голуб Михаил
> 
> 
>> -Original Message-
>> From: exim-users-boun...@mailground.net [mailto:exim-users-
>> boun...@mailground.net] On Behalf Of Alexandr
>> Sent: Wednesday, March 14, 2012 4:59 PM
>> To: exim-users@mailground.net
>> Subject: Re: [Exim-users] Странного хочу :) - if match
>>
>> On 14.03.2012 14:51, Golub Mikhail wrote:
>>> Добрый день.
>>>
>>> Скажем, есть такое правило:
>>> check_helo:
>>> deny condition = ${if match {$sender_helo_name}
>> {\N(test1.com|test2.com)\N} }
>>> message = Srabotalo :)
>>> log_message = Yes! $value
>>>
>>> Что я хотел получить?
>>> Я хотел увидеть в логе результат соответствия (match).
>>> Чтобы знать, по какой именно части сработало.
>>> Т.е. в helo задаю "helo test1.com", и в логе хочу увидеть "Yes! test1.com"
>>> Только вот $value сюда не клеится. А что использовать?
>> Ну так у вас же уже есть $sender_helo_name ? Или я что-то неправильно
>> понял?
>>> 
>>> С уважением,
>>> Голуб Михаил
>>>
>>> _______
>>> Exim-users mailing list
>>> Exim-users@mailground.net
>>> http://mailground.net/mailman/listinfo/exim-users
>>>
> ___
> Exim-users mailing list
> Exim-users@mailground.net
> http://mailground.net/mailman/listinfo/exim-users
> 

-- 
Best wishes Victor Ustugov   mailto:vic...@corvax.kiev.ua
public GnuPG/PGP key:http://victor.corvax.kiev.ua/corvax.asc
ICQ UIN: 77186900, 371808614 nic-handle: CRV-UANIC

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] DKIM и KAS

2012-03-30 Пенетрантность Victor Ustugov

;
>>>>>>>> Wed, 28 Mar 2012 13:25:18 +0400 от An An :
>>>>>>>>> Так и не удалось мне решить проблему с [verification failed - body 
>>>>>>>>> hash mismatch (body probably modified in transit)].
>>>>>>>>> Судя по всему, письмо передается на проверку антивирусу, а 
>>>>>>>>> возвращаясь обратно, второй раз проходит DKIM проверку. Больше нигде 
>>>>>>>>> в конфиге не может письмо инжектиться. Признаться, я уже и сам 
>>>>>>>>> запутался. Выкладываю два лога для одного и того же письма.
>>>>>>>>>
>>>>>>>>> Письмо прошло один раз проверку: 
>>>>>>>>> http://so-please-do-not-ask-me-why-some-people-want-to-be-braindamaged.ru/mail1.html
>>>>>>>>> И еще раз, последний: 
>>>>>>>>> http://so-please-do-not-ask-me-why-some-people-want-to-be-braindamaged.ru/mail2.html
>>>>>>>>>
>>>>>>>>>
>>>>>>>>>
>>>>>>>>>
>>>>>>>>>
>>>>>>>>>
>>>>>>>>>>
>>>>>>>>>> проверка dkim впринципе раньше local_scan, либо вы как-то инжектите 
>>>>>>>>>> письмо второй раз обратно в мейлер.
>>>>>>>>>>
>>>>>>>>>> 24 февраля 2012, 12:30 от An An :
>>>>>>>>>>> begin local_scan
>>>>>>>>>>>
>>>>>>>>>>> kas_connect_to = 
>>>>>>>>>>> unix:/usr/local/ap-mailfilter3/run/ap-process-server.socket
>>>>>>>>>>> kas_connect_timeout = 100
>>>>>>>>>>> kas_data_timeout = 100
>>>>>>>>>>> kas_log_level = 50
>>>>>>>>>>> kas_on_error = reject
>>>>>>>>>>>
>>>>>>>>>>>> Я тогда неоч понимаю, как второй раз в том же мейлере у вас письмо 
>>>>>>>>>>>> попадает на проверку dkim если local_scan?
>>>>>>>>>>>>
>>>>>>>>>>>> P.S. и отвечайте, пожалуйста, в рассылку тоже.
>>>>>>>>>>>>
>>>>>>>>>>>> 24 февраля 2012, 10:57 от An An :
>>>>>>>>>>>>> Вроде ничего не добавляет. KAS настроен через local_scan. И 
>>>>>>>>>>>>> симулировать проблему тяжело.
>>>>>>>>>>>>> Отключить KAS попробую(сервер под высокой нагрузкой), отпишусь 
>>>>>>>>>>>>> после этого.
>>>>>>>>>>>>>
>>>>>>>>>>>>>> KAS что-то добавляет в subject?
>>>>>>>>>>>>>> И таки после его отключения все ОК?
>>>>>>>>>>>>>> И как он (кас) у вас подключен.
>>>>>>>>>>>>>>
>>>>>>>>>>>>>> Я просто на днях настраивал аналогичное, все хорошо работает.
>>>>>>>>>>>>>>
>>>>>>>>>>>>>> 22 февраля 2012, 11:58 от An An :
>>>>>>>>>>>>>>> Возникла проблема при работе DKIM с Kaspersky Antispam. В 
>>>>>>>>>>>>>>> конфиге такой вот ACL:
>>>>>>>>>>>>>>>
>>>>>>>>>>>>>>> warn
>>>>>>>>>>>>>>> <-->sender_domains = mail.ru:list.ru:bk.ru
>>>>>>>>>>>>>>> <-->dkim_signers = mail.ru:list.ru:bk.ru
>>>>>>>>>>>>>>> <-->dkim_status = none:invalid:fail
>>>>>>>>>>>>>>> <-->logwrite = Message from MailRU with invalid or missing 
>>>>>>>>>>>>>>> signature(LOG) from $sender_address
>>>>>>>>>>>>>>>
>>>>>>>>>>>>>>> Когда приходит письмо:
>>>>>>>>>>>>>>>
>>>>>>>>>>>>>>> mail1# cat /var/log/exim/exim-main-20120222.log | grep 
>>>>>>>>>>>>>>> '1S069l-000ObC-Si'
>>>>>>>>>>>>>>> 2012-02-22 10:58:29 [94562] 1S069l-000ObC-Si DKIM: d=mail.ru 
>>>>>>>>>>>>>>> s=mail c=relaxed/relaxed a=rsa-sha256 [verification succeeded]
>>>>>>>>>>>>>>> 2012-02-22 10:58:29 [94562] 1S069l-000ObC-Si DKIM test passed 
>>>>>>>>>>>>>>> (address=b...@mail.ru domain=mail.ru), good signature.
>>>>>>>>>>>>>>>
>>>>>>>>>>>>>>> Письмо передается для проверки KAS и сразу фаталити.
>>>>>>>>>>>>>>>
>>>>>>>>>>>>>>> mail1# cat /var/log/exim/exim-main-20120222.log | grep 
>>>>>>>>>>>>>>> '1S069m-000ObJ-Eb'
>>>>>>>>>>>>>>> 2012-02-22 10:58:30 [94569] 1S069m-000ObJ-Eb DKIM: d=mail.ru 
>>>>>>>>>>>>>>> s=mail c=relaxed/relaxed a=rsa-sha256 [verification failed - 
>>>>>>>>>>>>>>> body hash mismatch (body probably modified in transit)]
>>>>>>>>>>>>>>> 2012-02-22 10:58:30 [94569] 1S069m-000ObJ-Eb DKIM test failed: 
>>>>>>>>>>>>>>> bodyhash_mismatch
>>>>>>>>>>>>>>>
>>>>>>>>>>>>>>> Причем такое наблюдается не для всех писем. Например, когда я 
>>>>>>>>>>>>>>> посылаю письмо:
>>>>>>>>>>>>>>>
>>>>>>>>>>>>>>> mail1# cat /var/log/exim/exim-main-20120222.log | grep 
>>>>>>>>>>>>>>> 'darkhost' | grep DKIM
>>>>>>>>>>>>>>> 2012-02-22 11:29:20 [5761] 1S06dc-0001Uv-Pt DKIM test passed 
>>>>>>>>>>>>>>> (address=darkh...@mail.ru domain=mail.ru), good signature.
>>>>>>>>>>>>>>> 2012-02-22 11:29:21 [5767] 1S06dd-0001V1-3R DKIM test passed 
>>>>>>>>>>>>>>> (address=darkh...@mail.ru domain=mail.ru), good signature.
>>>>>>>>>>>>>>
>>>>>>>>>>> ___
>>>>>>>>>>> Exim-users mailing list
>>>>>>>>>>> Exim-users@mailground.net
>>>>>>>>>>> http://mailground.net/mailman/listinfo/exim-users
>>>>>>>>>>>
>>>>>>>>>>>
>>>>>>>>> ___
>>>>>>>>> Exim-users mailing list
>>>>>>>>> Exim-users@mailground.net
>>>>>>>>> http://mailground.net/mailman/listinfo/exim-users
>>>>>>>>>
>>>>>>>>>
>>>>>>> ___
>>>>>>> Exim-users mailing list
>>>>>>> Exim-users@mailground.net
>>>>>>> http://mailground.net/mailman/listinfo/exim-users
>>>>>>>
>>>>>>>
>>>>> ___
>>>>> Exim-users mailing list
>>>>> Exim-users@mailground.net
>>>>> http://mailground.net/mailman/listinfo/exim-users
>>>>>
>>>>>
>>> ___
>>> Exim-users mailing list
>>> Exim-users@mailground.net
>>> http://mailground.net/mailman/listinfo/exim-users
>>>
>>>
> ___
> Exim-users mailing list
> Exim-users@mailground.net
> http://mailground.net/mailman/listinfo/exim-users
> 


-- 
Best wishes Victor Ustugov   mailto:vic...@corvax.kiev.ua
public GnuPG/PGP key:http://victor.corvax.kiev.ua/corvax.asc
ICQ UIN: 77186900, 371808614 nic-handle: CRV-UANIC

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] exim rpm

2012-10-28 Пенетрантность Victor Ustugov

Pavel Piatruk wrote:
> Hello,

привет

> Откуда брать rpm последних релизов Exim? Кто каким репозиторием пользуется 
> под centos 5 & 6?

ftp://ftp.funet.fi/pub/Linux/mirrors/fedora/linux/development/rawhide/source/SRPMS/e/exim-4.80.1-1.fc19.src.rpm

хотя скорее всего для сборки под CentOS придется выкинуть поддержку
systemd, sa-exim, местного грейлистинга, зависимость от libdb-devel
заменить на зависимость от db4-devel, выкинуть зависимость от
libgsasl-devel и прописать в спеке комментирование в Local/Makefile
строк с переменными AUTH_GSASL и AUTH_GSASL_PC, которые
раскомментируются при наложении патча exim-4.80-config.patch

может там еще что-то понадобится

> Я раньше пользовался Atrpms, но там дело заглохло, последний билд датируется 
> октябрем 2011.
> Для Centos 6 есть  Exim 4.80 в CentALT и в PUIAS Unsupported. 
> Больше мне понравился PUIAS Unsupported - последний критический баг там уже 
> пофикшен, остальные репы пока не среагировали.

так если там пофиксили баг, то в чем вопрос-то?

-- 
Best wishes Victor Ustugov   mailto:vic...@corvax.kiev.ua
public GnuPG/PGP key:http://victor.corvax.kiev.ua/corvax.asc
ICQ UIN: 77186900, 371808614 nic-handle: CRV-UANIC

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] exim rpm

2012-10-28 Пенетрантность Victor Ustugov

Pavel Piatruk wrote:

>>> Откуда брать rpm последних релизов Exim? Кто каким репозиторием пользуется 
>>> под centos 5 & 6?
>>
>> ftp://ftp.funet.fi/pub/Linux/mirrors/fedora/linux/development/rawhide/source/SRPMS/e/exim-4.80.1-1.fc19.src.rpm
>>
>> хотя скорее всего для сборки под CentOS придется выкинуть поддержку
>> systemd, sa-exim, местного грейлистинга, зависимость от libdb-devel
>> заменить на зависимость от db4-devel, выкинуть зависимость от
>> libgsasl-devel и прописать в спеке комментирование в Local/Makefile
>> строк с переменными AUTH_GSASL и AUTH_GSASL_PC, которые
>> раскомментируются при наложении патча exim-4.80-config.patch
>>
>> может там еще что-то понадобится
>>
> 
> Ох-ох, хотелось бы чего-то родного для centos.

привыкайте

https://bugzilla.redhat.com/show_bug.cgi?id=609653

на сколько я помню, в CentOS 6 его тоже нет. по крайней мере на iso
дистрибутивных DVD его вроде не было

>>> Я раньше пользовался Atrpms, но там дело заглохло, последний билд 
>>> датируется октябрем 2011.
>>> Для Centos 6 есть  Exim 4.80 в CentALT и в PUIAS Unsupported. 
>>> Больше мне понравился PUIAS Unsupported - последний критический баг там уже 
>>> пофикшен, остальные репы пока не среагировали.
>>
>> так если там пофиксили баг, то в чем вопрос-то?
> 
> Там есть только под centos 6, под 5 приходиться пересобирать. 

т. е. вопрос "откуда брать rpm последних релизов Exim?" касался именно
бинарных rpm, а не src.rpm?

достаточно из
http://puias.princeton.edu/data/puias/unsupported/6/SRPMS/exim-4.80.1-3.puias6.src.rpm
выкинуть сборку exim-pgsql, может exim-mysql, убрать сборку exim-mon,
чтобы не тянула за собой кучу библиотек, да может tcp wrapper выкинуть.
и можно собирать.


-- 
Best wishes Victor Ustugov   mailto:vic...@corvax.kiev.ua
public GnuPG/PGP key:http://victor.corvax.kiev.ua/corvax.asc
ICQ UIN: 77186900, 371808614 nic-handle: CRV-UANIC

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] BATV

2012-12-29 Пенетрантность Victor Ustugov

Vasiliy P. Melnik wrote:
> Hi all.

приветствую

> Сегодня благодаря мдемону узнал от такой штуке как BATV
> 
> на почту ломиться письмо от отправителя
> F= , а экзим его посылает, ибо юзера
> не может проверифаить. Для этой штуки это вообще правильный формат
> записи ? а то я всегда считал, что между скобками идет адрес и экзим
> тоже так считает, ибо юзера prvs=17108f1aaa=user на том сервере нет.

в таких случаях локальная часть адреса отправителя как правило
регистрозависимая. у вас в правилах перезаписи адресов случайно к
нижнему регистру адреса не приводятся?

> Или это все-таки мдемон исполняет и на запрос о существовании адреса
> prvs=17108f1aaa=u...@company.ua он должен отвечать положительно, даже
> если мыло на самом деле u...@company.ua ?

только в течении времени жизни адреса prvs=17108f1aaa=u...@company.ua и
как правило с учетом регистра локальной части адреса

-- 
Best wishes Victor Ustugov   mailto:vic...@corvax.kiev.ua
public GnuPG/PGP key:http://victor.corvax.kiev.ua/corvax.asc
ICQ UIN: 77186900, 371808614 nic-handle: CRV-UANIC

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] Рассылка

2013-11-28 Пенетрантность Victor Ustugov

Igor Karpov wrote:
> Всем привет!

привет

> Хочу узнать общее мнение, нужна ли эта рассылка? Активность тут
> чередуется с длительными периодами затишья, и, хотя активность
> радует, тишина наводит на мысль, что то ли Exim выходит из моды, то
> ли рассылки вообще уступили место форумам.

по поводу "моды" - данные почти двухлетней давности (свежие у них за
деньги):

http://www.securityspace.com/s_survey/data/man.201201/mxsurvey.html

и, судя по тенденции (примерно +14% за 2010 и 2011 годы), на данный
момент времени exim скорее всего уже перевалил рубеж в 50% доли
почтовых серверов.


> Спасибо за ваши мнения.



-- 
Best wishes Victor Ustugov  mailto:vic...@corvax.kiev.ua
public GnuPG/PGP key:   http://victor.corvax.kiev.ua/corvax.asc
ICQ UIN: 371808614  JID: cor...@corvax.kiev.ua
nic-handle: CRV-UANIC

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] match_ip и lookup dnsdb

2014-04-26 Пенетрантность Victor Ustugov

Anton Gorlov wrote:
> Понадобилось тут для некоторых серверов при отправке почты внешним
> адресатам не просто смотреть, что домен не наш, а что mx для того, кому
> отправляем  указывает не на  IP нашего сервера.
> 
> Почему так  понадобилось - некоторые особо умные любят добавлять домены
> вида google.ru или им подобные.
> 
> На 1 из серверов с exim 4.72 работала такая вот конструкция
> 
> dnslookup:
>   driver = dnslookup
>  condition = ${if !match_ip {193.106.xx.yy} { ${lookup dnsdb {>:a=
> ${lookup dnsdb {>: mxh=$domain} } } } } }
>   transport = remote_smtp
>   ignore_target_hosts = 0.0.0.0 : 127.0.0.0/8
>   no_more
> 
> Но после exim  4.77 сиё перестало работать с руганью в логах
> 
> condition = ${if !match_ip {193.106.xx.yy} { ${lookup dnsdb {>:a=
> ${lookup dnsdb {>: mxh=$domain} } } } } }
> 
> 2014-04-26 22:53:25 failed to expand " ${lookup dnsdb {>:a= ${lookup
> dnsdb {>: mxh=$domain" while checking a list: missing } at end of string
> 2014-04-26 22:53:25 failed to expand condition "${if !match_ip
> {193.106.xx.yy} { ${lookup dnsdb {>:a= ${lookup dnsdb {>: mxh=$domain} }
> } } } }" for dnslookup router: unable to complete match against "
> ${lookup dnsdb {>:a= ${lookup dnsdb {>: mxh=$domain": NULL
> 
> 
> Судя по чейнджлогу  это из-за
> 
> The match_{string1}{string2} expansion conditions no longer subject
>string2 to string expansion, unless Exim was built with the new
>"EXPAND_LISTMATCH_RHS" option.  Too many people have inadvertently
> created
>insecure configurations that way.  If you need the functionality and
> turn on
>that build option, please let the developers know, and know why, so
> we can
>try to provide a safer mechanism for you.
> 
> 
> Как бы правило переписать более по другому,что бы не пересобирать с
> EXPAND_LISTMATCH_RHS ?

  condition = ${if forany{${lookup dnsdb{>:a=${lookup
dnsdb{>:mxh=$domain}{eq{$item}{193.106.xx.yy}}{no}{yes}}

-- 
Best wishes Victor Ustugov  mailto:vic...@corvax.kiev.ua
public GnuPG/PGP key:   http://victor.corvax.kiev.ua/corvax.asc
ICQ UIN: 371808614  JID: corvax_at...@jabber.corvax.kiev.ua
nic-handle: CRV-UANIC

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] match_ip и lookup dnsdb

2014-04-27 Пенетрантность Victor Ustugov

Anton Gorlov wrote:
> 27.04.2014 01:02, Victor Ustugov пишет:
>>condition = ${if forany{${lookup dnsdb{>:a=${lookup
>> dnsdb{>:mxh=$domain}{eq{$item}{193.106.xx.yy}}{no}{yes}}
> Спасибо большое мил человек.

велкам

> Вроде работает так, как надо.
> Правильно ли я понимаю эту конструкцию что она корректно отработает,
> даже если у хоста несколько MX-ов?

да. и корректно отработает, если у какого-то из MX'ов более одной A записи

match_ip с вычисляемым вторым аргументом безболезненно заменяется на
forany, если в этом втором аргументе были только IP адреса. если там
были и номера сетей с масками, то ой...

-- 
Best wishes Victor Ustugov  mailto:vic...@corvax.kiev.ua
public GnuPG/PGP key:   http://victor.corvax.kiev.ua/corvax.asc
ICQ UIN: 371808614  JID: corvax_at...@jabber.corvax.kiev.ua
nic-handle: CRV-UANIC

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] Задержки

2014-06-14 Пенетрантность Victor Ustugov

l...@lena.kiev.ua wrote:
>> У меня лично стоит 30 секунд задержки на ответ сервера - очень действенная
>> мера оказалась.
> 
> При отправке в этот mailing list (exim-users@mailground.net)
> я получаю мое сообщение назад через 15-20 минут.
> В опциях подписки включила подтверждение - оно приходит через
> несколько секунд. Т.е. рассылка сообщений всем подписчикам
> занимает как минимум 15 минут. Наверно, из-за вот таких задержек.

у меня такая проблема наблюдается с тех пор, как рассылка переехала на
нынешний сервер.

я пару раз писал о проблеме - в ответ молчание.

при этом даже коннектов со стороны сервера отправителя нет во время,
которое указано в добавленном им самим Received. просто письмо приходит
с задержкой:

Received: from [204.109.60.111] (helo=ikke.mailground.net)
by mx.org.ua with esmtps (TLSv1:DHE-RSA-AES256-SHA:256)
id 1Wvsma-Rc-Tt
for vic...@corvax.kiev.ua; Sat, 14 Jun 2014 21:34:35 +0300
Received: from localhost ([127.0.0.1] helo=ikke.mailgroung.net)
by ikke.mailground.net with esmtp (Exim 4.82 (FreeBSD))
(envelope-from )
id 1WvsVa-000OnG-LB; Sat, 14 Jun 2014 18:16:54 +


-- 
Best wishes Victor Ustugov  mailto:vic...@corvax.kiev.ua
public GnuPG/PGP key:   http://victor.corvax.kiev.ua/corvax.asc
ICQ UIN: 371808614  JID: corvax_at...@jabber.corvax.kiev.ua
nic-handle: CRV-UANIC

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] Задержки

Igor Karpov wrote:
> On Jun 15, 2014, at 1:00 AM, Victor Ustugov 
> wrote:
>> 
>> l...@lena.kiev.ua wrote:
>>>> У меня лично стоит 30 секунд задержки на ответ сервера -
>>>> очень действенная мера оказалась.
>>> 
>>> При отправке в этот mailing list (exim-users@mailground.net) я
>>> получаю мое сообщение назад через 15-20 минут. В опциях
>>> подписки включила подтверждение - оно приходит через несколько
>>> секунд. Т.е. рассылка сообщений всем подписчикам занимает как
>>> минимум 15 минут. Наверно, из-за вот таких задержек.
>> 
>> у меня такая проблема наблюдается с тех пор, как рассылка
>> переехала на нынешний сервер.
> 
> То есть года четыре?

у меня архив рассылки с 2002 года есть, еще когда она жила на
exim-us...@lists.karpov.com.ua


самое старое письмо, полученное с ikke.mailground.net, датировано Fri,
14 May 2010 11:10:36 +
оно было получено без задержек:

Received: from mailground.net ([204.109.60.111] helo=ikke.mailground.net)
by colocall.falbi.kiev.ua with esmtps (TLSv1:AES256-SHA:256)
id 1OCsoz-000Nmw-03
for vic...@corvax.kiev.ua; Fri, 14 May 2010 14:12:57 +0300
Received: from localhost ([127.0.0.1] helo=mailground.net)
by ikke.mailground.net with esmtp (Exim 4.71 (FreeBSD))
(envelope-from )
id 1OCsoi-00062Z-EA
for vic...@corvax.kiev.ua; Fri, 14 May 2010 11:12:32 +
Date: Fri, 14 May 2010 11:10:36 +


это было письмо с темой "Добро пожаловать в список рассылки
"Exim-users"" о переносе рассылки.

и первый же ответ на него был уже с задержкой:

Received: from mailground.net ([204.109.60.111] helo=ikke.mailground.net)
by colocall.falbi.kiev.ua with esmtps (TLSv1:AES256-SHA:256)
id 1OCtpI-0001Gl-IT
for vic...@corvax.kiev.ua; Fri, 14 May 2010 15:17:40 +0300
Received: from localhost ([127.0.0.1] helo=mailground.net)
by ikke.mailground.net with esmtp (Exim 4.71 (FreeBSD))
(envelope-from )
id 1OCtSJ-00069A-KI; Fri, 14 May 2010 11:53:27 +
Date: Fri, 14 May 2010 13:53:18 +0200


так что да, проблема наблюдается все эти четыре года.

>> я пару раз писал о проблеме - в ответ молчание.
> 
> Мне кажется, что я все-таки отвечал - просто проблема не была
> решена.

я уже не стал рыться, смысла нет. но с тех пор в лучшую сторону точно
ничего не изменилось.

при этом на gmail.com письмо приходят без задержек.

>> при этом даже коннектов со стороны сервера отправителя нет во
>> время, которое указано в добавленном им самим Received. просто
>> письмо приходит с задержкой:
>> 
>> Received: from [204.109.60.111] (helo=ikke.mailground.net) by
>> mx.org.ua with esmtps (TLSv1:DHE-RSA-AES256-SHA:256) id
>> 1Wvsma-Rc-Tt for vic...@corvax.kiev.ua; Sat, 14 Jun 2014
>> 21:34:35 +0300 Received: from localhost ([127.0.0.1]
>> helo=ikke.mailgroung.net) by ikke.mailground.net with esmtp (Exim
>> 4.82 (FreeBSD)) (envelope-from
>> ) id 1WvsVa-000OnG-LB; Sat, 14
>> Jun 2014 18:16:54 +
> 
> Похоже, там слишком слабая VPS. Посмотрим, как события будут
> развиваться в ближайший месяц-другой, может, смогу перенести ее на
> более приличный сервер. Пока обещать не могу.

т. е. exim на VPS тратит 20 и более минут, чтобы разослать всем
подписчикам одно письмо?

нас вроде не так много тут, чтобы количество подписчиков так сильно
влияло на скорость доставки.

> Вчера-сегодня немного подчистил там. В частности, убрал clamav - я
> все равно удаляю любые сообщение с вложениями. Может, станет чуть
> быстрее.


-- 
Best wishes Victor Ustugov  mailto:vic...@corvax.kiev.ua
public GnuPG/PGP key:   http://victor.corvax.kiev.ua/corvax.asc
ICQ UIN: 371808614  JID: corvax_at...@jabber.corvax.kiev.ua
nic-handle: CRV-UANIC

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] Задержки

Igor Karpov wrote:

>>>>>> У меня лично стоит 30 секунд задержки на ответ сервера - 
>>>>>> очень действенная мера оказалась.
>>>>> 
>>>>> При отправке в этот mailing list
>>>>> (exim-users@mailground.net) я получаю мое сообщение назад
>>>>> через 15-20 минут. В опциях подписки включила подтверждение
>>>>> - оно приходит через несколько секунд. Т.е. рассылка
>>>>> сообщений всем подписчикам занимает как минимум 15 минут.
>>>>> Наверно, из-за вот таких задержек.
>>>> 
>>>> у меня такая проблема наблюдается с тех пор, как рассылка 
>>>> переехала на нынешний сервер.
>>> 
>>> То есть года четыре?
>> 
>> у меня архив рассылки с 2002 года есть, еще когда она жила на 
>> exim-us...@lists.karpov.com.ua
> 
> Ого. Я и забыл о таком.

ну... это давно было с 01.03.2004 уже ж использовался домен exim.org.ua

а вот его жаль

>> самое старое письмо, полученное с ikke.mailground.net, датировано
>> Fri, 14 May 2010 11:10:36 + оно было получено без задержек:
>> 
>> Received: from mailground.net ([204.109.60.111]
>> helo=ikke.mailground.net) by colocall.falbi.kiev.ua with esmtps
>> (TLSv1:AES256-SHA:256) id 1OCsoz-000Nmw-03 for
>> vic...@corvax.kiev.ua; Fri, 14 May 2010 14:12:57 +0300 Received:
>> from localhost ([127.0.0.1] helo=mailground.net) by
>> ikke.mailground.net with esmtp (Exim 4.71 (FreeBSD)) 
>> (envelope-from ) id
>> 1OCsoi-00062Z-EA for vic...@corvax.kiev.ua; Fri, 14 May 2010
>> 11:12:32 + Date: Fri, 14 May 2010 11:10:36 +
>> 
>> 
>> это было письмо с темой "Добро пожаловать в список рассылки 
>> "Exim-users"" о переносе рассылки.
>> 
>> и первый же ответ на него был уже с задержкой:
>> 
>> Received: from mailground.net ([204.109.60.111]
>> helo=ikke.mailground.net) by colocall.falbi.kiev.ua with esmtps
>> (TLSv1:AES256-SHA:256) id 1OCtpI-0001Gl-IT for
>> vic...@corvax.kiev.ua; Fri, 14 May 2010 15:17:40 +0300 Received:
>> from localhost ([127.0.0.1] helo=mailground.net) by
>> ikke.mailground.net with esmtp (Exim 4.71 (FreeBSD)) 
>> (envelope-from ) id
>> 1OCtSJ-00069A-KI; Fri, 14 May 2010 11:53:27 + Date: Fri, 14
>> May 2010 13:53:18 +0200
>> 
>> 
>> так что да, проблема наблюдается все эти четыре года.
>> 
>>>> я пару раз писал о проблеме - в ответ молчание.
>>> 
>>> Мне кажется, что я все-таки отвечал - просто проблема не была 
>>> решена.
>> 
>> я уже не стал рыться, смысла нет. но с тех пор в лучшую сторону
>> точно ничего не изменилось.
> 
> Ну, меняться там было нечему, я как арендовал Iota на
> http://www.rootbsd.net/services/virtual-servers-vps/, так и
> арендую. Хотя по ощущениям машинка стала тупить. Возможно, смежные
> VM начали кушать больше ресурсов. Я недавно арендовал у них еще
> один сервер, на этот раз в Германии и Lambda. По скорости - небо и
> земля.

фраза скорее касалась ситуации, если бы причиной задержек доставки
были настройки mailman/exim, а не аппаратная конфигурация сервера.

>> при этом на gmail.com письмо приходят без задержек.
>> 
>>>> при этом даже коннектов со стороны сервера отправителя нет
>>>> во время, которое указано в добавленном им самим Received.
>>>> просто письмо приходит с задержкой:
>>>> 
>>>> Received: from [204.109.60.111] (helo=ikke.mailground.net)
>>>> by mx.org.ua with esmtps (TLSv1:DHE-RSA-AES256-SHA:256) id 
>>>> 1Wvsma-Rc-Tt for vic...@corvax.kiev.ua; Sat, 14 Jun 2014 
>>>> 21:34:35 +0300 Received: from localhost ([127.0.0.1] 
>>>> helo=ikke.mailgroung.net) by ikke.mailground.net with esmtp
>>>> (Exim 4.82 (FreeBSD)) (envelope-from 
>>>> ) id 1WvsVa-000OnG-LB;
>>>> Sat, 14 Jun 2014 18:16:54 +
>>> 
>>> Похоже, там слишком слабая VPS. Посмотрим, как события будут 
>>> развиваться в ближайший месяц-другой, может, смогу перенести ее
>>> на более приличный сервер. Пока обещать не могу.
>> 
>> т. е. exim на VPS тратит 20 и более минут, чтобы разослать всем 
>> подписчикам одно письмо?
>> 
>> нас вроде не так много тут, чтобы количество подписчиков так
>> сильно влияло на скорость доставки.
> 
> Немного, около пятисот.

последнее письмо пришло мне с задержкой около 12 минут. обычно 22-24
минуты. но и 12 минут - это вроде многовато для 500 получателей.

и не факт же, что мой адрес в самом конце списка. так что полностью
500 писем отправляться могли ощутимо дольше 12 минут.

а можно в выводе exigrep 1WwYBm-000GgN-2M посмотреть, что происходило
между 14:47:14 + и 17:58:06 +0300?


>>> Вчера-сегодня немного подчистил там. В частности, убрал clamav
>>> - я все равно удаляю любые сообщение с вложениями. Может,
>>> станет чуть быстрее.



-- 
Best wishes Victor Ustugov  mailto:vic...@corvax.kiev.ua
public GnuPG/PGP key:   http://victor.corvax.kiev.ua/corvax.asc
ICQ UIN: 371808614  JID: corvax_at...@jabber.corvax.kiev.ua
nic-handle: CRV-UANIC

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] Задержки

Igor Karpov wrote:
> On Jun 16, 2014, at 6:32 PM, Victor Ustugov 
> wrote:
>> 
>> 
>> а можно в выводе exigrep 1WwYBm-000GgN-2M посмотреть, что
>> происходило между 14:47:14 + и 17:58:06 +0300?
>> 
> 
> Можно, конечно, но не хочется в рассылку выкладывать адреса
> подписчиков.

я не имел ввиду выкладывать сюда вывод exigrep.

просто визуально посмотреть, что происходило в течении указанного мной
промежутка времени.

просто производилась доставка писем более-менее равномерно разным
получателям?

кстати, а какие значения SMTP_MAX_SESSIONS_PER_CONNECTION и
SMTP_MAX_RCPTS используется в настройках mailman на ikke.mailground.net?

судя по поведению рассылки, там дефолтовые 0 и 500.

-- 
Best wishes Victor Ustugov  mailto:vic...@corvax.kiev.ua
public GnuPG/PGP key:   http://victor.corvax.kiev.ua/corvax.asc
ICQ UIN: 371808614  JID: corvax_at...@jabber.corvax.kiev.ua
nic-handle: CRV-UANIC

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] Задержки

Chaos Zed wrote:
> народ вы серьёзно?

более чем

> честно, перечитайте что было в ветке.

ветка началась с очередного вопроса, что делать админстратору почтовой
системы отправителя с неестественным интеллектом системы репутации
хостов (я склонен полагать, что Владимир строил чуть больше, чем просто
специфическую реализацию серых списков) почтовой системы ukr.net.

потом в ветке была упомянута 30 секундная задержка на ответ от сервера,
на что Лена ответила, что возможно из-за таких воз задержке она получает
письма с примерно 15 минутной задержкой. при этом она изменила тему письма.

каюсь, я не создавал новую ветку, когда отвечал на ее письмо.

но ранее на эти задержки доставки писем из рассылки вообще особой
реакции не было. так что вопрос о задержках был практически риторический.

если Игорь, как владелец рассылки, не погонит меня создавать новую
ветку, то проблемы в общем-то никакой и нет.

а по существу - кроме aol.com ни одна из почтовых систем, с которыми
доводилось сталкиваться, не ставит перед постмастерами столько проблем,
сколько ukr.net.

на части серверов, с которых мои клиенты производят рассылки своим
клиентам, приходится в системном фильтре замораживать все сообщения в
сторону ukr.net, а потом скриптом отдельным, запускаемым из планировщика
задач, размораживать письма по одному и отправлять их с интервалами. без
этого рано или поздно ukr.net начинает возвращать 4xx хотя бы на часть
писем. иногда начинает вообще отвергать доставку писем.

плюс при возможности проводить ротацию исходящих IP аресов, не забывая
использовать HELO, соответствующее используемому IP адресу.

и не забывать, что Владимир пальцем тычет в STD3 (надеюсь, что таки в
http://www.rfc-editor.org/std/std3.txt, а не
http://www.ukr.net/mta/std3.html), поэтому в retry rules для ukr.net
прописать отдельное правило с периодом повторной доставки 30 минут. хотя
рекомендация 1989 года могла и устареть. хотя даже в далеком 1989 году
имелось ввиду "the retry interval SHOULD be at least 30 minutes", а не
"MUST be". при этом когда-то несколько лет назад на паре серверов
проблемы доставки в сторону ukr.net были решены только после увеличения
retry interval до 30 минут.

но кроме retry rule все вышеуказанное актуально скорее при проблемах
доставки рассылок для пользователей ukr.net.

это достаточно серьезно?

> 16 июня 2014 г., 18:32 пользователь Victor Ustugov
> mailto:vic...@corvax.kiev.ua>> написал:
> 
> Igor Karpov wrote:
> 
> >>>>>> У меня лично стоит 30 секунд задержки на ответ сервера -
> >>>>>> очень действенная мера оказалась.
> >>>>>
> >>>>> При отправке в этот mailing list
> >>>>> (exim-users@mailground.net <mailto:exim-users@mailground.net>)
> я получаю мое сообщение назад
> >>>>> через 15-20 минут. В опциях подписки включила подтверждение
> >>>>> - оно приходит через несколько секунд. Т.е. рассылка
> >>>>> сообщений всем подписчикам занимает как минимум 15 минут.
> >>>>> Наверно, из-за вот таких задержек.
> >>>>
> >>>> у меня такая проблема наблюдается с тех пор, как рассылка
> >>>> переехала на нынешний сервер.
> >>>
> >>> То есть года четыре?
> >>
> >> у меня архив рассылки с 2002 года есть, еще когда она жила на
> >> exim-us...@lists.karpov.com.ua
> <mailto:exim-us...@lists.karpov.com.ua>
> >
> > Ого. Я и забыл о таком.
> 
> ну... это давно было с 01.03.2004 уже ж использовался домен
> exim.org.ua <http://exim.org.ua>
> 
> а вот его жаль
> 
> >> самое старое письмо, полученное с ikke.mailground.net
> <http://ikke.mailground.net>, датировано
> >> Fri, 14 May 2010 11:10:36 + оно было получено без задержек:
> >>
> >> Received: from mailground.net <http://mailground.net>
> ([204.109.60.111]
> >> helo=ikke.mailground.net <http://ikke.mailground.net>) by
> colocall.falbi.kiev.ua <http://colocall.falbi.kiev.ua> with esmtps
> >> (TLSv1:AES256-SHA:256) id 1OCsoz-000Nmw-03 for
> >> vic...@corvax.kiev.ua <mailto:vic...@corvax.kiev.ua>; Fri, 14 May
> 2010 14:12:57 +0300 Received:
> >> from localhost ([127.0.0.1] helo=mailground.net
> <http://mailground.net>) by
> >> ikke.mailground.net <http://ikke.mailground.net> with esmtp (Exim
> 4.71 (FreeBSD))
> >> (envelope-from  <mailto:exim-users-boun...@mailground.net>>) id
> >> 1OCsoi-00062Z-EA for vic...@corvax.kiev.ua
> <mailto:vic...@corvax.kiev.ua>; Fri, 14 May 2010
>

Re: [Exim-users] Задержки

Vasiliy P. Melnik wrote:
> а по существу - кроме aol.com <http://aol.com> ни одна из почтовых
> систем, с которыми
> доводилось сталкиваться, не ставит перед постмастерами столько проблем,
> сколько ukr.net <http://ukr.net>.
> 
> Та ну - а как жыж mail.ru <http://mail.ru>

кроме отсутствия возможности проверить существование получателя на этапе
RCPT To они меня вроде ничем не доставали.

> на части серверов, с которых мои клиенты производят рассылки своим
> клиентам, приходится в системном фильтре замораживать все сообщения в
> сторону ukr.net <http://ukr.net>, а потом скриптом отдельным,
> запускаемым из планировщика
> задач, размораживать письма по одному и отправлять их с интервалами. без
> этого рано или поздно ukr.net <http://ukr.net> начинает возвращать
> 4xx хотя бы на часть
> писем. иногда начинает вообще отвергать доставку писем.
> 
> плюс при возможности проводить ротацию исходящих IP аресов, не забывая
> использовать HELO, соответствующее используемому IP адресу.
> 
> 
> Я данный вопрос решил где-то за 10 минут с помощью гугля.
> 
> smtp_banner = "$smtp_active_hostname ESMTP Server $tod_full"
> smtp_active_hostname = ${lookup
> dnsdb{defer_never,ptr=$received_ip_address}{$value}{$primary_hostname}}
> 
> remote_smtp:
> driver = smtp
> helo_data = ${lookup dnsdb{ptr=$sending_ip_address}{$value}
> {$primary_hostname}}

smtp_banner и smtp_active_hostname менять вообще не нужно

ротация исходящих адресов для исходящих писем касается исключительно
remote_smtp трансорта

только кроме helo_data нужно менять и interface

> и не забывать, что Владимир пальцем тычет в STD3 (надеюсь, что таки в
> http://www.rfc-editor.org/std/std3.txt, а не
> http://www.ukr.net/mta/std3.html), поэтому в retry rules для ukr.net
> <http://ukr.net>
> прописать отдельное правило с периодом повторной доставки 30 минут. хотя
> рекомендация 1989 года могла и устареть. хотя даже в далеком 1989 году
> имелось ввиду "the retry interval SHOULD be at least 30 minutes", а не
> "MUST be". при этом когда-то несколько лет назад на паре серверов
> проблемы доставки в сторону ukr.net <http://ukr.net> были решены
> только после увеличения
> retry interval до 30 минут.
> 
> но кроме retry rule все вышеуказанное актуально скорее при проблемах
> доставки рассылок для пользователей ukr.net <http://ukr.net>.
> 
> 
> А если бы все придерживались правил, то и спама бы не было. Да фиг с ним
> с укрнетом - ну хотят они так, ну пусть будет так. Ну есть у них этот
> чудо-грейлистинг - пусть развлекаются.
> 
> З.Ы. Я свой вопрос решил. И свой второй вопрос о покупке нового сервера
> тоже решил - спасибо укрнету  :)

если уж пошла такая пьянка, то и свою историю расскажу.

есть у меня клиент. позвали они меня несколько лет назад посмотреть, что
там за проблемы у них с почтой. а у ихнего Kerio MailServer и входящая и
исходящая почта были завернуты через сервера Golden Telecom. и что-то
там случилось, что у них исходящая почта могла на серверах Golden
Telecom по неделе или две мариноваться. с входящей тоже проблем хватало.

толкового постмастера для Kerio MailServer у них не было, чтобы
полноценно обслуживать почту без заворота через провайдера.

они согласились на компромиссный вариант - использование exim в качестве
прокладки между Kerio MailServer (который они используют не только и не
столько как почтовый сервер, сколько как средство групповой работы).

плюс через этот exim стали проводиться рассылки их клиентам.

и вот в прошлом году в головном офисе этой конторы (который в Праге)
постановили почти все сервисы виртуализировать и перенести в датацентр в
Праге. это означало, что у меня становилось на одного клиента меньше, т.
к. все сервера по доровору должна были обслуживать чешская
аутсорсинговая контора.

но они не смогли добиться доставки писем из ERP этого клиента через их
postfix на debian'е в сторону ukr.net. за неделю примерно они не смогли
пробиться.

а киевская контора со мной договор не расторгла еще. и они тихо стали по
нему платить дальше. теперь те же деньги платят за обслуживание
почтового сервера, через который больше не ходит корпоративная почта, а
ходят лишь рассылки для клиентов. кстати, тоже с тем костылем с
заморозкой писем в системном фильтре и разморозкой внешним скриптом.
получается контроллируемая задержка в доставке части писем вместо
возможной неконтроллируемой задержки доставки всех писем или вовсе
отсутствия доставки.

так что от ukr.net в этом плане пользы больше, чем от других почтовых
сервисов ;-)

-- 
Best wishes Victor Ustugov  mailto:vic...@corvax.kiev.ua
public GnuPG/PGP key:   http://victor.corvax.kiev.ua/corvax.asc
ICQ UIN: 371808614  JID: corvax_at...@jabber.corvax.kiev.ua
nic-handle: CRV-UANIC

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] Задержки

Vasiliy P. Melnik wrote:
> 
> smtp_banner и smtp_active_hostname менять вообще не нужно
> 
> А что плохого, чтобы хело-ехло совпадало с запись в днс-е ?

аргумент команд HELO/EHLO должен содержать FQDN хоста отправителя.
который может быть чуть меньше чем полностью никак не связан с
smtp_active_hostname. и тем более smtp_banner.

чисто теоретический пример - у хоста один внешний интерфейс чисто для
приема почты (свой IP адресом своей PTR записью в реверсной зоне) и пара
интерфейсов для отсылки исходящих писем (со своими IP адресами и своими
PTR записями в реверсной зоне).

так вот, для каждого IP адреса интерфейсов, используемых для отсылки
почты, PTR запись должна резолвиться в соответствующий IP адрес.

очень желательно, чтобы аргумент команды HELO/EHLO резолвился в IP адрес
исходящего интерфейса (хотя формально по RFC даже не обязательно, чтобы
он резолвился).

желательно, но не обязательно, чтобы аргумент команды HELO/EHLO совпадал
с PTR записью адреса интерфейса, через который уходит письмо. требований
о совпадении вообще нет, на сколько я знаю. но такое совпадение
гарантирует прохождение даже самых экстремистских фильтров по HELO.

при этом smtp_active_hostname вообще не важен при отсылке почты.

при этом вообще неважно, какая будет PTR запись у адреса интерфейса,
используемого только для приема почты.

единственная причина, по которой мне приходилось делать вычисляемое
значение smtp_active_hostname, это когда один сервер должен был
выглядеть как два разных в зависимости от того, на какой интерфейс
пришел коннект. в этом случае менялись smtp_active_hostname,
smtp_banner, received_header_text, tls_certificate, tls_privatekey,
message_id_header_domain.

это всё критично для входящей почты.

а для исходящей нужно было только менять interface и helo_data в
remote_smtp в зависимости от домена отправителя или от адреса
внутреннего интерфейса, на который пришел коннект от SMTP клиента.

нерешенной осталась только проблема указания interface и helo_data при
отсылке bounce message, если не удалось доставить локально (или
смаршрутизировать письмо получателю в случае рилеемого домена). признаки
того, кому не удалось доставить письмо, находятся только в самом теле
bounce message.

> ротация исходящих адресов для исходящих писем касается исключительно
> remote_smtp трансорта
> 
> только кроме helo_data нужно менять и interface
> 
> А разве экзим не будет использовать интерфейс в зависимости от гейта ?

если у сервера несколько разных каналов (каждый со своим гейтом, конечно
же), то система (не exim) в качестве исходящего адреса выберет ближайший
к гейту.

а если несколько адресов прибиты алиасами к одному интерфейсу, то сам
exim может вполне указать системе, какой src адрес будет у пакетов.

есть у меня клиент. у них небольшая рассылка примерно на 18-20 тысяч
адресов держателей дисконтных карт их магазинов. из них 5-6 тысяч
пользователей ukr.net (точно не меньше, а может и больше).

клиент изначально получил штук пять дополнительных IP адресов у
провайдера исключительно для рассылок. внешний канал у них один, эти
пять адресов прибиты алиасами к внешнему интерфейсу. а в remote_smtp
транспорте interface и helo_data используются дефолтные для писем от
живых людей, либо используется один из этих пяти адресов, если во
внешний мир отсылается письмо от mailman. плюс заморозка в очереди писем
в сторону ukr.net и костыль для их дозированной разморозки и доставки.

а вот как раз helo_data можно и не менять в remote_smtp транспорте. но
только в одном случае - PTR запись у всех возможных адресов,
используемых в качестве значений для interface в remote_smtp трансорте,
должна быть одинаковая. и ей должны соответствовать несколько A записей
- по одной на каждое значение для interface.

в чистом виде вряд ли кто-то это будет использовать. чисто технически
никаких нарушений в этой схеме нет, но чудо враждебной техники MDaemon
при проверке соответствия записей в прямой и реверсной зонах проверяет
не всех A записи для PTR записи хоста, а только первую.

но аргумент HELO с несколькими A записями может понадобится, когда
почтовый сервер работает из-за NAT'а, на router'е есть интерфейсы в
сторону нескольких провайдеров, а exim заранее не знает, через какой из
интерфейсов уйдет письмо. соответственно не знает, какой будет адрес
этого интерфейса. поэтому будет лучше, если HELO будет резолвится в
адреса всех интерфейсов, а PTR записи адресов всех интерфейсов будут
совпадать с этим HELO. отосланное таким образом письмо может не пройти
только проверку вышеупомянутого MDaemon или сопоставимой по кривизне
поделки.

хотя всё это уже далековато от темы задержке доставки почты в сторону
ukr.net.

p. s. зато письма из рассылки (по крайней мере два последних) стали
приходить быстрее (три минуты и минута по сравнению с 12-24 минутами).

-- 
Best wishes Victor Ustugov  mailto:vic...@corvax.kiev.ua
public GnuPG/PGP key:   http://victor.corvax.kiev.ua/corvax.asc
IC

Re: [Exim-users] Задержки

Vasiliy P. Melnik wrote:
> много буков, поэтому все покусано голодными мышами :) , потому как суть
> из-за такого количества буков все равно как-то теряется
> 
> 1) Так я не говорил, что обязан - я лишь сказал, что это точно не хуже.
> Ну и опять же - не надо помнить какой имя сервера, просто экзим берет
> запись из обратной зоны. Какой маладец однако - столько всего умеет

я только что на виртуалке, на которой вывод команды hostname, значение
smtp_active_hostname и PTR запись не совпадают, отправил через exim
тестовое письмо.

в HELO было имя хоста, совпадающее с выводом команды hostname, а не с
PTR записью.

> 2) Я не пытался обозначить все возможные варианты использования
> адресного пространства. Я лишь привел свой пример, когда на обычный
> офисный сервер заходит 2 разных провайдера. И не надо ни о чем помнить

я просто расписал, что имел ввиду под ротацией IP адресов для рассылок,
когда у сервера лишь один внешний канал. и как при этом используются
interface и helo_data

-- 
Best wishes Victor Ustugov  mailto:vic...@corvax.kiev.ua
public GnuPG/PGP key:   http://victor.corvax.kiev.ua/corvax.asc
ICQ UIN: 371808614  JID: corvax_at...@jabber.corvax.kiev.ua
nic-handle: CRV-UANIC

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] Задержки

Victor Ustugov wrote:
> Vasiliy P. Melnik wrote:
>> много буков, поэтому все покусано голодными мышами :) , потому как суть
>> из-за такого количества буков все равно как-то теряется
>>
>> 1) Так я не говорил, что обязан - я лишь сказал, что это точно не хуже.
>> Ну и опять же - не надо помнить какой имя сервера, просто экзим берет
>> запись из обратной зоны. Какой маладец однако - столько всего умеет
> 
> я только что на виртуалке, на которой вывод команды hostname, значение
> smtp_active_hostname и PTR запись не совпадают, отправил через exim
> тестовое письмо.
> 
> в HELO было имя хоста, совпадающее с выводом команды hostname, а не с
> PTR записью.

только отмотав ветку вверх понял, что видимо речь шла о строке?

helo_data = ${lookup dnsdb{ptr=$sending_ip_address}{$value}
{$primary_hostname}}

посыпаю голову пеплом...


>> 2) Я не пытался обозначить все возможные варианты использования
>> адресного пространства. Я лишь привел свой пример, когда на обычный
>> офисный сервер заходит 2 разных провайдера. И не надо ни о чем помнить
> 
> я просто расписал, что имел ввиду под ротацией IP адресов для рассылок,
> когда у сервера лишь один внешний канал. и как при этом используются
> interface и helo_data
> 
> 


-- 
Best wishes Victor Ustugov  mailto:vic...@corvax.kiev.ua
public GnuPG/PGP key:   http://victor.corvax.kiev.ua/corvax.asc
ICQ UIN: 371808614  JID: corvax_at...@jabber.corvax.kiev.ua
nic-handle: CRV-UANIC

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] Задержки

Igor Karpov wrote:
> On Jun 16, 2014, at 6:57 PM, Victor Ustugov 
> wrote:
>> 
>> 
>> кстати, а какие значения SMTP_MAX_SESSIONS_PER_CONNECTION и 
>> SMTP_MAX_RCPTS используется в настройках mailman на
>> ikke.mailground.net?
>> 
>> судя по поведению рассылки, там дефолтовые 0 и 500.
> 
> Да, на этом хосте стоят дефолтные. Это немного странно. Видимо, я
> то ли просто забыл, то ли по каким-то причинам решил для начала их
> не трогать, а уже потом забыл. Сейчас поменял, вот это письмо уже
> должно прийти с использованием
> 
> # Max recipients for each message SMTP_MAX_RCPTS = 15 # Max
> messages sent in each SMTP connection 
> SMTP_MAX_SESSIONS_PER_CONNECTION = 50

а я уж думал, что ночью уже письма с новыми настройками уходили

сейчас задержка была чуть меньше восьми минут

ночью на одном письме была минута, на другом - около трех


-- 
Best wishes Victor Ustugov  mailto:vic...@corvax.kiev.ua
public GnuPG/PGP key:   http://victor.corvax.kiev.ua/corvax.asc
ICQ UIN: 371808614  JID: corvax_at...@jabber.corvax.kiev.ua
nic-handle: CRV-UANIC

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] Задержки

Igor Karpov wrote:

>>>> кстати, а какие значения SMTP_MAX_SESSIONS_PER_CONNECTION и 
>>>> SMTP_MAX_RCPTS используется в настройках mailman на 
>>>> ikke.mailground.net?
>>>> 
>>>> судя по поведению рассылки, там дефолтовые 0 и 500.
>>> 
>>> Да, на этом хосте стоят дефолтные. Это немного странно. Видимо,
>>> я то ли просто забыл, то ли по каким-то причинам решил для
>>> начала их не трогать, а уже потом забыл. Сейчас поменял, вот
>>> это письмо уже должно прийти с использованием
>>> 
>>> # Max recipients for each message SMTP_MAX_RCPTS = 15 # Max 
>>> messages sent in each SMTP connection 
>>> SMTP_MAX_SESSIONS_PER_CONNECTION = 50
>> 
>> а я уж думал, что ночью уже письма с новыми настройками уходили
>> 
> 
> Нет, я вчера ничего не делал.
> 
>> сейчас задержка была чуть меньше восьми минут
>> 
>> ночью на одном письме была минута, на другом - около трех
> 
> Думаю, в итоге мы выйдем где-то на три и на этом остановимся.

последнее письмо - меньше минуты

предпоследнее письмо - около трех минут


-- 
Best wishes Victor Ustugov  mailto:vic...@corvax.kiev.ua
public GnuPG/PGP key:   http://victor.corvax.kiev.ua/corvax.asc
ICQ UIN: 371808614  JID: corvax_at...@jabber.corvax.kiev.ua
nic-handle: CRV-UANIC

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] Задержки

Igor Karpov wrote:

>> последнее письмо пришло мне с задержкой около 12 минут. обычно
>> 22-24 минуты. но и 12 минут - это вроде многовато для 500
>> получателей.
>> 
>> и не факт же, что мой адрес в самом конце списка. так что
>> полностью 500 писем отправляться могли ощутимо дольше 12 минут.
> 
> Кстати, довольно любопытный момент:
> 
> 70299   SMTP<< 451-host lookup did not complete 70299  451
> Could not complete sender verify callout 70299 LOG: MAIN 70299
> SMTP error from remote mail server after RCPT
> TO:: host mail2.itsupport.kiev.ua
> [91.197.146.24]: 451-host lookup did not complete\n451 Could not
> complete sender verify callout

судя по логам на backup'ном MX, вчера вечером были проблемы с
резолвингом домена отправителя

адрес exim-users-boun...@mailground.net должен был быть исключен из
встречной проверки отправителя.

если не был, исключу


> 70299   SMTP<< 503-All RCPT commands were rejected with this
> error: 70299  503-host lookup did not complete 70299
> 503 Valid RCPT command must precede DATA 70299   SMTP>> QUIT 70299
> Connecting to mail1.itsupport.kiev.ua [46.182.86.194]:25 ...
> connected 70299   SMTP<< 220 mail1.itsupport.kiev.ua ESMTP daemon 
> 70299   SMTP>> EHLO ikke.mailground.net 70299   SMTP<<
> 250-mail1.itsupport.kiev.ua Hello ikke.mailground.net
> [204.109.60.111] 70299  250-SIZE 52428800 70299
> 250-8BITMIME 70299  250-PIPELINING 70299  250-AUTH
> PLAIN LOGIN 70299  250-STARTTLS 70299  250 HELP 
> 70299   SMTP>> STARTTLS 70299   SMTP<< 220 TLS go ahead 70299
> SMTP>> EHLO ikke.mailground.net 70299   SMTP<<
> 250-mail1.itsupport.kiev.ua Hello ikke.mailground.net
> [204.109.60.111] 70299  250-SIZE 52428800 70299
> 250-8BITMIME 70299  250-PIPELINING 70299  250-AUTH
> PLAIN LOGIN 70299  250 HELP 70299   SMTP>> MAIL
> FROM: SIZE=7253 70299   SMTP>>
> RCPT TO: 70299   SMTP>> DATA 70299   SMTP<<
> 250 OK 70299   SMTP<< 250 Accepted 70299   SMTP<< 354 Enter
> message, ending with "." on a line by itself 70299   SMTP>> writing
> message and terminating "." 70299   SMTP<< 250 OK
> id=1WwoEi-000G1U-5V 70299   SMTP>> QUIT LOG: MAIN =>
> vic...@corvax.kiev.ua R=dnslookup T=remote_smtp
> H=mail1.itsupport.kiev.ua [46.182.86.194]
> X=TLSv1:DHE-RSA-AES256-SHA:256 C="250 OK id=1WwoEi-000G1U-5V"
> 
> 
> 
> ___ Exim-users mailing
> list Exim-users@mailground.net 
> http://mailground.net/mailman/listinfo/exim-users
> 


-- 
Best wishes Victor Ustugov  mailto:vic...@corvax.kiev.ua
public GnuPG/PGP key:   http://victor.corvax.kiev.ua/corvax.asc
ICQ UIN: 371808614  JID: corvax_at...@jabber.corvax.kiev.ua
nic-handle: CRV-UANIC

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] Задержки

Igor Karpov wrote:

>> желательно, но не обязательно, чтобы аргумент команды HELO/EHLO
>> совпадал с PTR записью адреса интерфейса, через который уходит
>> письмо. требований о совпадении вообще нет, на сколько я знаю. но
>> такое совпадение гарантирует прохождение даже самых
>> экстремистских фильтров по HELO.
> 
> А точно никому из присутствующих не доводилось резать по шаблонам
> вроде dynamic, dial-up, etc. ? Мне вот, сознаюсь, доводилось. И я
> до сих пор считаю это приемлемой практикой. Так что насчет
> экстремизма я бы не горячился :)

ну... PTR запись, явно содержащая слова dynamic или dial-up - это одно.

а HELO, резолвящееся в IP адрес хоста отправителя, но не совпадающая с
PTR записью - это другое.


-- 
Best wishes Victor Ustugov  mailto:vic...@corvax.kiev.ua
public GnuPG/PGP key:   http://victor.corvax.kiev.ua/corvax.asc
ICQ UIN: 371808614  JID: corvax_at...@jabber.corvax.kiev.ua
nic-handle: CRV-UANIC

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] exim filter - принудительно задержать письмо

Павел Завада wrote:
> Добрый день.

приветствую

> Появилась задача такого плана.
> Необходимо настроить фильтр exim на конкретный ящик, пусть будет
> usern...@example.com, таким образом, чтобы искусственно задержать
> письмо, пока снова-таки вручную не дать добро на его отправку.
> 
> Просьба подсказать  - каким должен быть фильтр?

if first_delivery and $sender_address is "usern...@example.com" then
    freeze
endif

-- 
Best wishes Victor Ustugov  mailto:vic...@corvax.kiev.ua
public GnuPG/PGP key:   http://victor.corvax.kiev.ua/corvax.asc
ICQ UIN: 371808614  JID: corvax_at...@jabber.corvax.kiev.ua
nic-handle: CRV-UANIC

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] exim filter - принудительно задержать письмо

Victor Ustugov wrote:

>> Появилась задача такого плана.
>> Необходимо настроить фильтр exim на конкретный ящик, пусть будет
>> usern...@example.com, таким образом, чтобы искусственно задержать
>> письмо, пока снова-таки вручную не дать добро на его отправку.
>>
>> Просьба подсказать  - каким должен быть фильтр?
> 
> if first_delivery and $sender_address is "usern...@example.com" then
>   freeze
> endif

скорее всего неверно понял вопрос

usern...@example.com - это адрес получателя или отправителя?


-- 
Best wishes Victor Ustugov  mailto:vic...@corvax.kiev.ua
public GnuPG/PGP key:   http://victor.corvax.kiev.ua/corvax.asc
ICQ UIN: 371808614  JID: corvax_at...@jabber.corvax.kiev.ua
nic-handle: CRV-UANIC

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] exim filter - принудительно задержать письмо

Павел Завада wrote:
> Ящик является локальным на сервере,  это адрес отправителя.

тогда нижеуказанный синтаксис подойдет

> И ещё, уточнение по задаче - такую "задержку" надо выполнять только в
> определённое время, то есть в конфиге exim с фильтрами надо держать
> такой подготовленный фильтр в закомментированном состоянии, затем в
> указанное время вручную раскомментировать.

этот период времени как-то формализован? т. е. это "с такого-то времени
суток по такое-то" или как-то по другому его описать можно?

> После определённых действий
> этот фильтр снова закомментируем.
> 
> Письмо от отправителя  должно быть задержано на непродолжительное время.
> Не более получаса. Не уверен, что это на что-то повлияет...

с помощью exqgrep можно эти письма из очереди вылавливать и через xargs
отправлять к exim -v -M

> 20.06.2014 12:12, Victor Ustugov пишет:
>> Victor Ustugov wrote:
>>
>>>> Появилась задача такого плана.
>>>> Необходимо настроить фильтр exim на конкретный ящик, пусть будет
>>>> usern...@example.com, таким образом, чтобы искусственно задержать
>>>> письмо, пока снова-таки вручную не дать добро на его отправку.
>>>>
>>>> Просьба подсказать  - каким должен быть фильтр?
>>> if first_delivery and $sender_address is "usern...@example.com" then
>>> freeze
>>> endif
>> скорее всего неверно понял вопрос
>>
>> usern...@example.com - это адрес получателя или отправителя?

-- 
Best wishes Victor Ustugov  mailto:vic...@corvax.kiev.ua
public GnuPG/PGP key:   http://victor.corvax.kiev.ua/corvax.asc
ICQ UIN: 371808614  JID: corvax_at...@jabber.corvax.kiev.ua
nic-handle: CRV-UANIC

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] exim filter - принудительно задержать письмо

skele...@lissyara.su wrote:
> 20.06.2014 11:39, Павел Завада пишет:
>> Добрый день.
>>
>> Появилась задача такого плана.
>> Необходимо настроить фильтр exim на конкретный ящик, пусть будет
>> usern...@example.com, таким образом, чтобы искусственно задержать
>> письмо, пока снова-таки вручную не дать добро на его отправку.
>>
>> Просьба подсказать  - каким должен быть фильтр?
>>
> 
> Если вдруг на exim'e такое нельзя будет сделать, а саму задачу надо
> будет решить - то можно использовать mailman (или другие рассылки, у
> которых можно ставить принудительную модерацию) и почту этого
> usern...@example.com форвардить на эту рассылку.

подозреваю, что нежелательно, чтобы потом по письму было видно, что с
ним проводились столько радикальные мероприятия


-- 
Best wishes Victor Ustugov  mailto:vic...@corvax.kiev.ua
public GnuPG/PGP key:   http://victor.corvax.kiev.ua/corvax.asc
ICQ UIN: 371808614  JID: corvax_at...@jabber.corvax.kiev.ua
nic-handle: CRV-UANIC

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] exim filter - принудительно задержать письмо

Павел Завада wrote:

>>> И ещё, уточнение по задаче - такую "задержку" надо выполнять только в
>>> определённое время, то есть в конфиге exim с фильтрами надо держать
>>> такой подготовленный фильтр в закомментированном состоянии, затем в
>>> указанное время вручную раскомментировать.
>> этот период времени как-то формализован? т. е. это "с такого-то времени
>> суток по такое-то" или как-то по другому его описать можно?
>>
> 
> Скажем так, такой функционал должен быть реализован до востребования.
> Это случайная величина. Может быть и днём, и ночью, может быть каждый
> час...  Может и год не быть востребовано.
> Решение об использовании будет принимать человек. Формулировка примерно
> такова: "я знаю, что в течение, к примеру, получаса такой-то почтовый
> юзер на сервере (адрес отправителя) собирается отправить письмо. Вот это
> письмо надо задержать."

тогда делаем крошечную базку SQLite. при необходимости вышеописанной
операции в табличку любым способом (хоть через веб интерфейс)
добавляется запись с адресом отправителя.

в системном фильтре в условие заморозки добавляется лукап в эту
табличку. и если адрес отправителя в ней есть, письмо замораживается, а
запись из таблицы либо удаляется, либо апдейтится поле срабатывания
данного события (в зависимости от того, нужны ли будут потом отчеты о
срабатываниях).

> Причём не надо задерживать все письма от данного юзера. Достаточно
> только ближайшего, которое собирается отправить пользователь.

если из самого системного фильтра удалять запись из таблицы
задерживаемых отправителей, то данная задача будет выполнена.

> Сразу после этого, как станет определён адрес отправителя, фильтр в
> закомментированном состоянии немного правится (вписываем нужный email), 
> раскомментируется.

ручная работа, причем нужен технарь. с табличкой проще.

> Кстати, надо ли делать релоад exim сразу после этого??

после правки системного фильтра reload делать нужно

> Далее, если нижеприведённый фильтр подходит нам
> 
>> if first_delivery and $sender_address is "usern...@example.com" then
>>  freeze
>> endif
> 
> то как тогда разрешить отправку письма?

протолкнуть замороженное письмо можно с помощью exim -M
я уже упоминал exiqgrep, xargs и exim -M

если проталкиванием письма будет заниматься живой человек, то для
наглядности можно вот так:

exiqgrep -f usern...@example.com -i | xargs exim -v -M

если проталкивать письма будет скрипт, то можно из таблички читать
данные об отправителях, письма от которых были заморожены за последние N
секунд (минут, часов), выполнять по ним exiqgrep и проталкивать эти
письма без -v

но в этом случае из системного фильтра нужно не удалять записи из
таблицы, а апдейтить записи, указывая время заморозки.

> 20.06.2014 13:05, Victor Ustugov пишет:
>> Павел Завада wrote:
>>> Ящик является локальным на сервере,  это адрес отправителя.
>> тогда нижеуказанный синтаксис подойдет
>>
>>> И ещё, уточнение по задаче - такую "задержку" надо выполнять только в
>>> определённое время, то есть в конфиге exim с фильтрами надо держать
>>> такой подготовленный фильтр в закомментированном состоянии, затем в
>>> указанное время вручную раскомментировать.
>> этот период времени как-то формализован? т. е. это "с такого-то времени
>> суток по такое-то" или как-то по другому его описать можно?
>>
>>> После определённых действий
>>> этот фильтр снова закомментируем.
>>>
>>> Письмо от отправителя  должно быть задержано на непродолжительное время.
>>> Не более получаса. Не уверен, что это на что-то повлияет...
>> с помощью exqgrep можно эти письма из очереди вылавливать и через xargs
>> отправлять к exim -v -M
>>
>>> 20.06.2014 12:12, Victor Ustugov пишет:
>>>> Victor Ustugov wrote:
>>>>
>>>>>> Появилась задача такого плана.
>>>>>> Необходимо настроить фильтр exim на конкретный ящик, пусть будет
>>>>>> usern...@example.com, таким образом, чтобы искусственно задержать
>>>>>> письмо, пока снова-таки вручную не дать добро на его отправку.
>>>>>>
>>>>>> Просьба подсказать  - каким должен быть фильтр?
>>>>> if first_delivery and $sender_address is "usern...@example.com" then
>>>>>  freeze
>>>>> endif
>>>> скорее всего неверно понял вопрос
>>>>
>>>> usern...@example.com - это адрес получателя или отправителя?


-- 
Best wishes Victor Ustugov  mailto:vic...@corvax.kiev.ua
public GnuPG/PGP key:   http://victor.corvax.kiev.ua/corvax.asc
ICQ UIN: 371808614  JID: corvax_at...@jabber.corvax.kiev.ua
nic-handle: CRV-UANIC

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] exim filter - принудительно задержать письмо

Igor Karpov wrote:
> On Jun 20, 2014, at 1:35 PM, Victor Ustugov 
> wrote:
>> 
>> тогда делаем крошечную базку SQLite. при необходимости
>> вышеописанной операции в табличку любым способом (хоть через веб
>> интерфейс) добавляется запись с адресом отправителя.
>> 
>> в системном фильтре в условие заморозки добавляется лукап в эту 
>> табличку. и если адрес отправителя в ней есть, письмо
>> замораживается, а запись из таблицы либо удаляется, либо
>> апдейтится поле срабатывания данного события (в зависимости от
>> того, нужны ли будут потом отчеты о срабатываниях).
> 
> Другая возможность - не замораживать, а выпихивать на более другой
> smarthost, который вообще по собственной инициативе ничего не
> доставляет - или доставляет с (получасовой?) задержкой. Хотя для
> единственного отправителя, пожалуй, много чести...

тогда в Received будет видно, что с письмом проводились манипуляции

в случае заморозки будет видно только, что между доставкой письма
непосредственно от отправителя данному exim'у и доставкой от данного
exim'а дальше по маршруту или по MX была задержка по времени. и всё.

по условиям задачи неясно, на сколько "чисто" нужно провести данную
операцию.

-- 
Best wishes Victor Ustugov  mailto:vic...@corvax.kiev.ua
public GnuPG/PGP key:   http://victor.corvax.kiev.ua/corvax.asc
ICQ UIN: 371808614  JID: corvax_at...@jabber.corvax.kiev.ua
nic-handle: CRV-UANIC

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] exim filter - принудительно задержать письмо

Павел Завада wrote:
> Вариант с базой очень нравится. Более того, exim уже настроен в связке с
> mysql базой.
> Ссылка на структуру БД, которая используется -
> http://piccy.info/view3/6577415/00cb0bd269e9c4159e5ab3753a65b56b/
> 
> Исходя из ранее указанного метода (решить задачу через БД и фильтр с
> выборкой из неё), я бы добавил в эту структуру поле *hold*  со
> значениями 0 и 1,  как в поле *status* (активен ли ящик в принципе)

можно вообще абстрагироваться от существующих таблиц. разве что
использовать список учетных записей, чтобы при блокировке не вручную
указывать адрес блокируемого отправителя.

я бы создал отдельную таблицу, в которой бы указывал адрес отправителя
(или ссылку на учетную запись в уже существующей таблице учетных
записей), дату блокировки, можно указать того, кто заблокировал (если
блокировать могут несколько человек через какой-нибудь веб интерфейс),
можно указать величину задержки или граничное время разморозки (по
желанию), дату и время блокировки письма, дату и время расчетной
разморозки письма (если ранее была указана величина задержки и не
хочется в запросе копаться с вычислениями этого момента времени, па в
результатах запроса к табличке хочется видеть визуально все в виде
datetime), дату и время реальной разморозки письма.

а можно (если вообще не нужно знать, что и как происходило),
действительно просто добавить одно поле в таблицу учетных записей. и
сбрасывать его значение при заморозке письма.

все зависит "от полного налитого стакана".

>>> Далее, если нижеприведённый фильтр подходит нам
>>>
>>>> if first_delivery and $sender_address is "usern...@example.com" then
>>>>  freeze
>>>> endif
>>> то как тогда разрешить отправку письма?
>> протолкнуть замороженное письмо можно с помощью exim -M
>> я уже упоминал exiqgrep, xargs и exim -M
> 
> Если ничего не предпринимать,  то письмо будет отправлено автоматом при
> следующей попытке? Здесь вступает в силу queue_runner?
> Хотелось бы разрешить отправку письма явно, то есть, после каких-то
> ручных действий. Идеально будет, если так же, через БД... Изменить поле
> *hold* с 1 на 0  у юзера.
> Но тогда фильтр должен быть универсальным, а не только на*first_delivery*.
> 
> Итого, осталось только  написать правильный запрос, который будет
> использован в фильтре.
> Просьба помочь с этим. Заранее благодарю :)
> 
> 20.06.2014 13:47, Victor Ustugov пишет:
>> Igor Karpov wrote:
>>> On Jun 20, 2014, at 1:35 PM, Victor Ustugov 
>>> wrote:
>>>> тогда делаем крошечную базку SQLite. при необходимости
>>>> вышеописанной операции в табличку любым способом (хоть через веб
>>>> интерфейс) добавляется запись с адресом отправителя.
>>>>
>>>> в системном фильтре в условие заморозки добавляется лукап в эту 
>>>> табличку. и если адрес отправителя в ней есть, письмо
>>>> замораживается, а запись из таблицы либо удаляется, либо
>>>> апдейтится поле срабатывания данного события (в зависимости от
>>>> того, нужны ли будут потом отчеты о срабатываниях).
>>> Другая возможность - не замораживать, а выпихивать на более другой
>>> smarthost, который вообще по собственной инициативе ничего не
>>> доставляет - или доставляет с (получасовой?) задержкой. Хотя для
>>> единственного отправителя, пожалуй, много чести...
>> тогда в Received будет видно, что с письмом проводились манипуляции
>>
>> в случае заморозки будет видно только, что между доставкой письма
>> непосредственно от отправителя данному exim'у и доставкой от данного
>> exim'а дальше по маршруту или по MX была задержка по времени. и всё.
>>
>> по условиям задачи неясно, на сколько "чисто" нужно провести данную
>> операцию.
>>
> 
> 
> 
> ___
> Exim-users mailing list
> Exim-users@mailground.net
> http://mailground.net/mailman/listinfo/exim-users
> 


-- 
Best wishes Victor Ustugov  mailto:vic...@corvax.kiev.ua
public GnuPG/PGP key:   http://victor.corvax.kiev.ua/corvax.asc
ICQ UIN: 371808614  JID: corvax_at...@jabber.corvax.kiev.ua
nic-handle: CRV-UANIC

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] iconv

2014-06-28 Пенетрантность Victor Ustugov

Vasiliy P. Melnik wrote:
> > во фре в 10-тке иконв нативный. Если какое-то приложение нативный не
> > устраивает - в систему устанавливается iconv из портов. А экзиму не
> > нравиться два иконва в системе
> 
> 
> Так это не бага - это фича :) Точнее какой-то костыль, да чего-то не
> понятно сколько он там будет. Видать не собирается с двумя разными
> хидерами. Ну и ко всему уже вышел 4.82.1 - а в портах все еще 4.82. Так
> что ждем-с.

4.82.1, на сколько я помню, выпустили с исправления бага в реализации DMARC.

а из портов FreeBSD exim штатно не собирался с поддержкой DMARC. в том
смысле что в Makefile порта нет механизма указания значения для
EXPERIMENTAL_DMARC - нужно самому патчик рисовать для правки Local/Makefile.

видимо меинтейнер порта и решил не заморачиваться.

ибо 4.82.1 вышел уже не два дня назад и не три. письмо от Todd Lyons
было ровно месяц назад.

> З.Ы. выбросил иконв - все равно у меня он не используется насколько я понял

-- 
Best wishes Victor Ustugov  mailto:vic...@corvax.kiev.ua
public GnuPG/PGP key:   http://victor.corvax.kiev.ua/corvax.asc
ICQ UIN: 371808614  JID: corvax_at...@jabber.corvax.kiev.ua
nic-handle: CRV-UANIC

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] iconv

2014-07-05 Пенетрантность Victor Ustugov

приветствую

Vsevolod Stakhov wrote:

>>> > во фре в 10-тке иконв нативный. Если какое-то приложение нативный не
>>> > устраивает - в систему устанавливается iconv из портов. А экзиму не
>>> > нравиться два иконва в системе
>>>
>>>
>>> Так это не бага - это фича :) 
> 
> Это именно что старый костыль, который не убрали по причинам мне непонятным.
> 
>>> Точнее какой-то костыль, да чего-то не
>>> понятно сколько он там будет. Видать не собирается с двумя разными
>>> хидерами. Ну и ко всему уже вышел 4.82.1 - а в портах все еще 4.82. Так
>>> что ждем-с.
>>
>> 4.82.1, на сколько я помню, выпустили с исправления бага в реализации DMARC.
>>
>> а из портов FreeBSD exim штатно не собирался с поддержкой DMARC. в том
>> смысле что в Makefile порта нет механизма указания значения для
>> EXPERIMENTAL_DMARC - нужно самому патчик рисовать для правки Local/Makefile.
> 
> Local/Makefile и так довольно неслабо патчится портом. Добавить туда
> DMARC не особая проблема.

так для некоторых вещей так и делаем. кому что надо по мелочам, не
предусмотренного при сборке порта, правим src/EDITME патчиками мелкими.

>> видимо меинтейнер порта и решил не заморачиваться.
>>
>> ибо 4.82.1 вышел уже не два дня назад и не три. письмо от Todd Lyons
>> было ровно месяц назад.
>>
>>> З.Ы. выбросил иконв - все равно у меня он не используется насколько я понял
> 
> Я забрал этот порт себе, в связи с тем, что предыдущий мейнтейнер так и
> не сконвертировал его для STAGING, что было чревато тем, что exim был бы
> полностью удален из портов.

ну теперь меинтейнер порта exim в FreeBSD - наш человек.

и вижду, что сборку 4.82.1 с поддержкой DMARC ты уже сделал.

может тогда (раз уж штатными патчем порта patch-src::EDITME включается
поддержка DLFUNC) для следующей сборки порта добавить в EXTRALIBS всякие
-export-dynamic/-rdynamic/-fPIC? если этого не делать, то при сборке
exim без поддержки embedded Perl из dlfunc недоступны внутренние данные
exim'а, что делает работу большинства dlfunc бесполезной.

если это потребует обсуждения, то я отдельное письмо напишу.

-- 
Best wishes Victor Ustugov  mailto:vic...@corvax.kiev.ua
public GnuPG/PGP key:   http://victor.corvax.kiev.ua/corvax.asc
ICQ UIN: 371808614  JID: corvax_at...@jabber.corvax.kiev.ua
nic-handle: CRV-UANIC

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] failover для av_scanner, spamd_address

2014-07-22 Пенетрантность Victor Ustugov

skele...@lissyara.su wrote:
> Всем привет.

привет

> В силу определённых обстоятельств, появилась необходимость добавить
> failover для проверки на спам, вирусы. Согласно доке добавил в конфиг
> 
> av_scanner = clamd:10.1.5.2 3310 : 10.1.5.1 3310
> spamd_address = 10.1.5.2 783 : 10.1.5.1 783
> 
> Правда в той же доке, указано, что это не failover, а всего лишь
> балансировка (то ли roundrobin, то ли random).
> На практике оказалось следующее:
> 
> - av_scanner
> если первый адрес недоступен, то на второй даже не смотрит и
> соответственно получаем проблемы при отправке почты.

что касается av_scanner, то перед использованием его значение экспандится.

т. о. можно прописать что-то типа

av_scanner = $acl_m0

непосредственно перед проверкой можно в значении acl_m0 указать адрес
первого антивируса. при его недоступности присвоить переменной acl_m0 в
качестве значения адрес альтернативного антивируса.

что касается определения того, что антивирус недоступен, то есть вариант
с его выполнением в отдельном acl.

схематично это выглядит примерно так:

av_scanner = $acl_m0

acl_check_data:

warn set acl_m0 = clamd:/var/run/clamav/clamd
 acl= acl_check_data_av

warn condition  = ${if eq{$acl_m_av_result}{defer}{yes}{no}}
 set acl_m0 = clamd:10.1.5.2 3310
 acl= acl_check_data_av

warn condition  = ${if eq{$acl_m_av_result}{infected}{yes}{no}}
...

acl_check_data_av:
warn set acl_m_av_result = defer
accept ! malware = *
 set acl_m_av_result = clean
warn set acl_m_av_result = infected
accept

в 4.77 появилась переменная $av_failed, которая должна позволить такие
громоздкие конструкции не использовать. но т. к. всё годами работало, то
переделывать на всех серверах конфиги как-то не тянет.

> - spamd_address
> вообще побарабану, что там прописано, и смотрит только локальный (exim
> был собран с spam-assassin, видимо в этом и загвоздка) сокет (10.1.5.1),
> а на второй даже не пытается подключаться.

имеется ввиду интеграция с SpamAssassin через local_scan? тогда
spamd_address вообще не используется.

если использовать интеграцию с SpamAssassin средствами exiscan, то
сервера из spamd_address должны перебираться в случайном порядке, пока
один из них не ответит.

в крайнем случае spamd_address тоже экспандится, так что на коленке
можно соорудить любую схему использования SpamAssassin

> Вопрос в следующем: можно ли сделать именно failover штатными (или около
> штатными) средствами? Пока на ум приходит проксирование через
> nginx/haproxy/..., но не сильно нравится этот вариант.

все это реализуемо средствами конфига exim'а

-- 
Best wishes Victor Ustugov  mailto:vic...@corvax.kiev.ua
public GnuPG/PGP key:   http://victor.corvax.kiev.ua/corvax.asc
ICQ UIN: 371808614  JID: corvax_at...@jabber.corvax.kiev.ua
nic-handle: CRV-UANIC

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] Exim version 4.84 segfault

2014-11-11 Пенетрантность Victor Ustugov

Golub Mikhail wrote:
> Добрый день.

добрый

> FreeBSD 9.3, Exim version 4.84
> Некоторое время наблюдаются ошибки:
> pid 89145 (exim), uid 26: exited on signal 11
> 
> Экспериметальным путем (а затем и баг нашел) выяснил, что причина в
> обработке mime.
> http://bugs.exim.org/show_bug.cgi?id=1513

это другой баг

> Порты обновлены, Exim обновлен. И патч, судя по исходнику, применен.
> http://git.exim.org/exim.git/commitdiff/4fd5d2bf25195969b9c6a6c23a59c495400e
> ce8d
> 
> Но ошибки всеравно встречаются.
> Есть ли подобная проблема у кого?

как только что выяснил - есть

> Как ее обойти? - отключить acl_smtp_mime не предлагать :)
> 
> 
> P.S. Ошибку сегментации можно получить, "скормив" такое письмо.

в письме не указан charset для отдельных частей письма

если вообще поле charset в заголовках Content-Type отсутствует, то
проблема не наблюдается

она наблюдается только тогда, когда charset= есть, но сам набор символов
не указан

это отдельный баг

> Date: Mon, 10 Nov 2014 17:15:34 +0100
> From: Jeep 
> To: i...@test.com
> Subject:
> =?iso-8859-15?Q?Nuova=20Jeep=20Renegade=2E=20Scopri=20la=20versione=20?=
>  =?iso-8859-15?Q?speciale=20in=20edizione=20limitata=20Opening=20Ed?=
>  =?iso-8859-15?Q?ition?=
> MIME-Version: 1.0
> Content-Type: multipart/alternative; boundary="_--=_141563016432980"
> Precedence: bulk
> List-unsubscribe:
> <http://www.mypiggybank.biz/piggy/templates/my_piggybank/common/rimozioneDaN
> ewsletterID.php?id=18336312>
> Message-Id: <592808.79.7167.18336...@mrsend.it>
> 
> This is a multi-part message in MIME format.
> 
> --_--=_141563016432980
> Content-Type: text/plain; charset=
> Content-Transfer-Encoding: quoted-printable
> 
> 
> =20
> 
> --_--=_141563016432980
> Content-Type: text/html; charset=
> Content-Transfer-Encoding: quoted-printable
> Content-Disposition: inline
> 
> 
> --_--=_141563016432980--
> 
> 
> 


-- 
Best wishes Victor Ustugov  mailto:vic...@corvax.kiev.ua
public GnuPG/PGP key:   http://victor.corvax.kiev.ua/corvax.asc
ICQ UIN: 371808614  JID: corvax_at...@jabber.corvax.kiev.ua
nic-handle: CRV-UANIC

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] Exim version 4.84 segfault

2014-11-11 Пенетрантность Victor Ustugov

Victor Ustugov wrote:

>> FreeBSD 9.3, Exim version 4.84
>> Некоторое время наблюдаются ошибки:
>> pid 89145 (exim), uid 26: exited on signal 11
>>
>> Экспериметальным путем (а затем и баг нашел) выяснил, что причина в
>> обработке mime.
>> http://bugs.exim.org/show_bug.cgi?id=1513
> 
> это другой баг

хотя фрагмент кода в вышеупомянутом баге тот же

>> Порты обновлены, Exim обновлен. И патч, судя по исходнику, применен.
>> http://git.exim.org/exim.git/commitdiff/4fd5d2bf25195969b9c6a6c23a59c495400e
>> ce8d
>>
>> Но ошибки всеравно встречаются.
>> Есть ли подобная проблема у кого?
> 
> как только что выяснил - есть
> 
>> Как ее обойти? - отключить acl_smtp_mime не предлагать :)

http://mta.org.ua/exim-4.83-conf/patches/exim-4.84-ignore-null-mime-parameters/patch-src__exim-4.84-ignore-null-mime-parameters.patch

костыль очень грубый, но exim падать перестанет

>> P.S. Ошибку сегментации можно получить, "скормив" такое письмо.
> 
> в письме не указан charset для отдельных частей письма
> 
> если вообще поле charset в заголовках Content-Type отсутствует, то
> проблема не наблюдается
> 
> она наблюдается только тогда, когда charset= есть, но сам набор символов
> не указан
> 
> это отдельный баг
> 
>> Date: Mon, 10 Nov 2014 17:15:34 +0100
>> From: Jeep 
>> To: i...@test.com
>> Subject:
>> =?iso-8859-15?Q?Nuova=20Jeep=20Renegade=2E=20Scopri=20la=20versione=20?=
>>  =?iso-8859-15?Q?speciale=20in=20edizione=20limitata=20Opening=20Ed?=
>>  =?iso-8859-15?Q?ition?=
>> MIME-Version: 1.0
>> Content-Type: multipart/alternative; boundary="_--=_141563016432980"
>> Precedence: bulk
>> List-unsubscribe:
>> <http://www.mypiggybank.biz/piggy/templates/my_piggybank/common/rimozioneDaN
>> ewsletterID.php?id=18336312>
>> Message-Id: <592808.79.7167.18336...@mrsend.it>
>>
>> This is a multi-part message in MIME format.
>>
>> --_--=_141563016432980
>> Content-Type: text/plain; charset=
>> Content-Transfer-Encoding: quoted-printable
>>
>>
>> =20
>>
>> --_--=_141563016432980
>> Content-Type: text/html; charset=
>> Content-Transfer-Encoding: quoted-printable
>> Content-Disposition: inline
>>
>>
>> --_--=_141563016432980--
>>
>>
>>
> 
> 


-- 
Best wishes Victor Ustugov  mailto:vic...@corvax.kiev.ua
public GnuPG/PGP key:   http://victor.corvax.kiev.ua/corvax.asc
ICQ UIN: 371808614  JID: corvax_at...@jabber.corvax.kiev.ua
nic-handle: CRV-UANIC

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] Exim version 4.84 segfault

2014-11-11 Пенетрантность Victor Ustugov

Golub Mikhail wrote:
> Спасибо.
> Помогло ...
> Но спустя два часа Exim вылетел вообще :(
> socket bind() to port 25 for address (any IPv4) failed: Permission denied:
> daemon abandoned
> 
> Подобное у меня было, когда я применил патч
> https://lists.exim.org/lurker/message/20140829.122627.403ae90a.en.html

тогда нужно баг оформлять

воспроизвести проблему просто - достаточно в любом multipart письме в
текстовом Content-Type убрать значение параметра charset, оставив
название самого параметра и символ "="


> -Original Message-
> From: Exim-users [mailto:exim-users-boun...@mailground.net] On Behalf Of
> Victor Ustugov
> Sent: Tuesday, November 11, 2014 2:33 PM
> To: Golub Mikhail
> Subject: Re: [Exim-users] Exim version 4.84 segfault
> 
> Victor Ustugov wrote:
> 
>>> FreeBSD 9.3, Exim version 4.84
>>> Некоторое время наблюдаются ошибки:
>>> pid 89145 (exim), uid 26: exited on signal 11
>>>
>>> Экспериметальным путем (а затем и баг нашел) выяснил, что причина в
>>> обработке mime.
>>> http://bugs.exim.org/show_bug.cgi?id=1513
>>
>> это другой баг
> 
> хотя фрагмент кода в вышеупомянутом баге тот же
> 
>>> Порты обновлены, Exim обновлен. И патч, судя по исходнику, применен.
>>>
> http://git.exim.org/exim.git/commitdiff/4fd5d2bf25195969b9c6a6c23a59c495400e
>>> ce8d
>>>
>>> Но ошибки всеравно встречаются.
>>> Есть ли подобная проблема у кого?
>>
>> как только что выяснил - есть
>>
>>> Как ее обойти? - отключить acl_smtp_mime не предлагать :)
> 
> http://mta.org.ua/exim-4.83-conf/patches/exim-4.84-ignore-null-mime-paramete
> rs/patch-src__exim-4.84-ignore-null-mime-parameters.patch
> 
> костыль очень грубый, но exim падать перестанет
> 
>>> P.S. Ошибку сегментации можно получить, "скормив" такое письмо.
>>
>> в письме не указан charset для отдельных частей письма
>>
>> если вообще поле charset в заголовках Content-Type отсутствует, то
>> проблема не наблюдается
>>
>> она наблюдается только тогда, когда charset= есть, но сам набор символов
>> не указан
>>
>> это отдельный баг
>>
>>> Date: Mon, 10 Nov 2014 17:15:34 +0100
>>> From: Jeep 
>>> To: i...@test.com
>>> Subject:
>>> =?iso-8859-15?Q?Nuova=20Jeep=20Renegade=2E=20Scopri=20la=20versione=20?=
>>>  =?iso-8859-15?Q?speciale=20in=20edizione=20limitata=20Opening=20Ed?=
>>>  =?iso-8859-15?Q?ition?=
>>> MIME-Version: 1.0
>>> Content-Type: multipart/alternative;
> boundary="_--=_141563016432980"
>>> Precedence: bulk
>>> List-unsubscribe:
>>>
> <http://www.mypiggybank.biz/piggy/templates/my_piggybank/common/rimozioneDaN
>>> ewsletterID.php?id=18336312>
>>> Message-Id: <592808.79.7167.18336...@mrsend.it>
>>>
>>> This is a multi-part message in MIME format.
>>>
>>> --_--=_141563016432980
>>> Content-Type: text/plain; charset=
>>> Content-Transfer-Encoding: quoted-printable
>>>
>>>
>>> =20
>>>
>>> --_--=_141563016432980
>>> Content-Type: text/html; charset=
>>> Content-Transfer-Encoding: quoted-printable
>>> Content-Disposition: inline
>>>
>>>
>>> --_--=_141563016432980--
>>>
>>>
>>>
>>
>>
> 
> 


-- 
Best wishes Victor Ustugov  mailto:vic...@corvax.kiev.ua
public GnuPG/PGP key:   http://victor.corvax.kiev.ua/corvax.asc
ICQ UIN: 371808614  JID: corvax_at...@jabber.corvax.kiev.ua
nic-handle: CRV-UANIC

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] Exim version 4.84 segfault

2014-11-13 Пенетрантность Victor Ustugov

l...@lena.kiev.ua wrote:
> Уже исправили 29 августа:
> https://github.com/Exim/exim/commit/93cad488cb2c9a31aea345c8910a9f9c5815071c
> Будет в 4.85. Можно перекомпилить 4.84 (или 4.83) с исправленными версиями
> двух файлов исходников:
> 
> https://raw.githubusercontent.com/Exim/exim/93cad488cb2c9a31aea345c8910a9f9c5815071c/src/src/mime.h
> https://raw.githubusercontent.com/Exim/exim/93cad488cb2c9a31aea345c8910a9f9c5815071c/src/src/mime.c

на сколько я понимаю, это то, что имел ввиду Jeremy Harris, когда писал
о коммите 93cad488?

если да, то может Сева включит эти изменения в порт exim в FreeBSD?

если да, то вот тоже самое в виде патча:

http://mta.org.ua/exim-4.83-conf/patches/exim-4.84-ignore-null-mime-parameters-2/patch-src__exim-4.84-ignore-null-mime-parameters-2.patch

> Мне помогло. А вам?


-- 
Best wishes Victor Ustugov  mailto:vic...@corvax.kiev.ua
public GnuPG/PGP key:   http://victor.corvax.kiev.ua/corvax.asc
ICQ UIN: 371808614  JID: corvax_at...@jabber.corvax.kiev.ua
nic-handle: CRV-UANIC

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] Exim version 4.84 segfault

2014-11-14 Пенетрантность Victor Ustugov

Victor Ustugov wrote:

>> Уже исправили 29 августа:
>> https://github.com/Exim/exim/commit/93cad488cb2c9a31aea345c8910a9f9c5815071c
>> Будет в 4.85. Можно перекомпилить 4.84 (или 4.83) с исправленными версиями
>> двух файлов исходников:
>>
>> https://raw.githubusercontent.com/Exim/exim/93cad488cb2c9a31aea345c8910a9f9c5815071c/src/src/mime.h
>> https://raw.githubusercontent.com/Exim/exim/93cad488cb2c9a31aea345c8910a9f9c5815071c/src/src/mime.c
> 
> на сколько я понимаю, это то, что имел ввиду Jeremy Harris, когда писал
> о коммите 93cad488?
> 
> если да, то может Сева включит эти изменения в порт exim в FreeBSD?
> 
> если да, то вот тоже самое в виде патча:
> 
> http://mta.org.ua/exim-4.83-conf/patches/exim-4.84-ignore-null-mime-parameters-2/patch-src__exim-4.84-ignore-null-mime-parameters-2.patch

в ночь со вчера на сегодня меинтейнер порта exim в FreeBSD внес данный
патч в exim-4.84_2

так что под FreeBSD ничего самим можно не накладывать, нужно просто
пересобрать exim из свежего порта.

>> Мне помогло. А вам?


-- 
Best wishes Victor Ustugov  mailto:vic...@corvax.kiev.ua
public GnuPG/PGP key:   http://victor.corvax.kiev.ua/corvax.asc
ICQ UIN: 371808614  JID: corvax_at...@jabber.corvax.kiev.ua
nic-handle: CRV-UANIC

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] lookup dnsdb - SERVFAIL

Golub Mikhail wrote:
> Доброго времени суток.

приветствую

> Подскажите, пожалуйста, как правильно выдать defer, если библиотека
> резолвера тоже возвращает SERVFAIL?
> 
> warn set acl_c_rdns = ${lookup
> dnsdb{defer_never,ptr=$sender_host_address}{$value}fail}
> 
> Под " condition = ${if eq{$acl_c_rdns} {}}" - попадают и SERVFAIL и
> NXDOMAIN.
> 
> Как отделить временную ошибку резолвинга от явного отсутствия записи в
> обратной зоне?

exim сам резолвит PTR запись и пытается резолвить соответствующую A
запись в прямой зоне.

можно использовать $host_lookup_failed и $host_lookup_deferred, значения
которых зависят от наличия проблем при резолвинге.


-- 
Best wishes Victor Ustugov  mailto:vic...@corvax.kiev.ua
public GnuPG/PGP key:   http://victor.corvax.kiev.ua/corvax.asc
ICQ UIN: 371808614  JID: corvax_at...@jabber.corvax.kiev.ua
nic-handle: CRV-UANIC

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] lookup dnsdb - SERVFAIL

Golub Mikhail wrote:
> host_lookup_failed - немного не то (defer тоже не то для той цели, что я
> хочу использовать).
> Здесь "истина" будет, если запись в прямой и обратной зоне ДНС не совпадают.
> 
> Я же хочу проверять наличие _любой_ записи в обратной зоне для хоста
> отправителя.
> Есть - хорошо.
> Нет - плохо.
> Но под "нет" попадают и ошибки резолвинга.
> 
> warn set acl_c_rdns = ${lookup
> dnsdb{defer_never,ptr=$sender_host_address}{$value}fail}

тогда можно использовать дополнительный acl в качестве костыля:

acl_check_rcpt:

warnacl = acl_check_rdns
denycondition   = ${if eq{$acl_c_rdns}{}{yes}{no}}
log_message = DENY
warncondition   = ${if eq{$acl_c_rdns}{defer}{yes}{no}}
log_message = GREYLISTING


acl_check_rdns:
warnset acl_c_rdns  = defer
set acl_c_rdns  = \
${lookup dnsdb{ptr=$sender_host_address}{$value}{}}
accept


>> -Original Message-
>> From: Exim-users [mailto:exim-users-boun...@mailground.net] On Behalf
>> Of Victor Ustugov
>> Sent: Monday, April 06, 2015 1:43 PM
>> To: Golub Mikhail
>> Subject: Re: [Exim-users] lookup dnsdb - SERVFAIL
>>
>> Golub Mikhail wrote:
>>> Доброго времени суток.
>>
>> приветствую
>>
>>> Подскажите, пожалуйста, как правильно выдать defer, если
>> библиотека
>>> резолвера тоже возвращает SERVFAIL?
>>>
>>> warn set acl_c_rdns = ${lookup
>>> dnsdb{defer_never,ptr=$sender_host_address}{$value}fail}
>>>
>>> Под " condition = ${if eq{$acl_c_rdns} {}}" - попадают и SERVFAIL и
>>> NXDOMAIN.
>>>
>>> Как отделить временную ошибку резолвинга от явного отсутствия
>> записи в
>>> обратной зоне?
>>
>> exim сам резолвит PTR запись и пытается резолвить соответствующую A
>> запись в прямой зоне.
>>
>> можно использовать $host_lookup_failed и $host_lookup_deferred,
>> значения
>> которых зависят от наличия проблем при резолвинге.
>>
>>
>> --
>> Best wishes Victor Ustugov  mailto:vic...@corvax.kiev.ua
>> public GnuPG/PGP key:   http://victor.corvax.kiev.ua/corvax.asc
>> ICQ UIN: 371808614  JID: corvax_at...@jabber.corvax.kiev.ua
>> nic-handle: CRV-UANIC
>>
>> ___
>> Exim-users mailing list
>> Exim-users@mailground.net
>> http://mailground.net/mailman/listinfo/exim-users
> 
> ___
> Exim-users mailing list
> Exim-users@mailground.net
> http://mailground.net/mailman/listinfo/exim-users
> 


-- 
Best wishes Victor Ustugov  mailto:vic...@corvax.kiev.ua
public GnuPG/PGP key:   http://victor.corvax.kiev.ua/corvax.asc
ICQ UIN: 371808614  JID: corvax_at...@jabber.corvax.kiev.ua
nic-handle: CRV-UANIC

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] lookup dnsdb - SERVFAIL

Golub Mikhail wrote:
> Спасибо.
> Я пробовал с подобным "костылем", но почему-то не доделал :(

он более-менее универсальный.

сработает в любой ситуации, когда из-за временной ошибки лукапа
переменной не присваивается ни один из вариантов новых значений.

поэтому его можно использовать не только с dnsdb.

но тут есть ньюанс. в случае, если лукап не вернет значения, переменной
присваивается пустое значение. если лукап найдет запись с пустым
значением, переменной тоже будет присвоено пустое значение.

в случае с dnsdb это не актуально.

в случае других лукапов можно немного переделать костыль:

acl_check_connect:
warnacl = acl_check_rdns

acl_check_rcpt:
denycondition   = ${if eq{$acl_c_rdns}{fail}{yes}{no}}
log_message = DENY
warncondition   = ${if eq{$acl_c_rdns}{defer}{yes}{no}}
log_message = GREYLISTING

acl_check_rdns:
warnset acl_c_rdns  = defer
set acl_c_rdns  = \
${lookup dnsdb{ptr=$sender_host_address}{$value}{fail}}
accept

нужно лишь выбирать предопределенное значение для случаев, когда лукап
ничего не вернул (fail в данном случае) таким, которое не может быть
возвращено самим лукапом.

>> -Original Message-
>> From: Exim-users [mailto:exim-users-boun...@mailground.net] On Behalf
>> Of Victor Ustugov
>> Sent: Monday, April 06, 2015 1:30 PM
>> To: Golub Mikhail
>> Subject: Re: [Exim-users] lookup dnsdb - SERVFAIL
>>
>> Golub Mikhail wrote:
>>> host_lookup_failed - немного не то (defer тоже не то для той цели, что я
>>> хочу использовать).
>>> Здесь "истина" будет, если запись в прямой и обратной зоне ДНС не
>> совпадают.
>>>
>>> Я же хочу проверять наличие _любой_ записи в обратной зоне для
>> хоста
>>> отправителя.
>>> Есть - хорошо.
>>> Нет - плохо.
>>> Но под "нет" попадают и ошибки резолвинга.
>>>
>>> warn set acl_c_rdns = ${lookup
>>> dnsdb{defer_never,ptr=$sender_host_address}{$value}fail}
>>
>> тогда можно использовать дополнительный acl в качестве костыля:
>>
>> acl_check_rcpt:
>>
>> warnacl = acl_check_rdns
>> denycondition   = ${if eq{$acl_c_rdns}{}{yes}{no}}
>> log_message = DENY
>> warncondition   = ${if eq{$acl_c_rdns}{defer}{yes}{no}}
>> log_message = GREYLISTING
>>
>>
>> acl_check_rdns:
>> warnset acl_c_rdns  = defer
>>     set acl_c_rdns  = \
>>  ${lookup dnsdb{ptr=$sender_host_address}{$value}{}}
>> accept
>>
> ___
> Exim-users mailing list
> Exim-users@mailground.net
> http://mailground.net/mailman/listinfo/exim-users
> 

-- 
Best wishes Victor Ustugov  mailto:vic...@corvax.kiev.ua
public GnuPG/PGP key:   http://victor.corvax.kiev.ua/corvax.asc
ICQ UIN: 371808614  JID: corvax_at...@jabber.corvax.kiev.ua
nic-handle: CRV-UANIC

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] Глобальный алиас

Sergey Shumakher wrote:
> пользователи виртуальные в текстовом файле.

добавить в список алиасов и проэкспандить результат лукапа в него:

a...@domain.ru :
${sg{${sg{${sg{${sg{${readfile{/usr/local/etc/passwd.imap}}}{\N[
\t]*#[^\n]+\n\N}{}}}{\N:[^\n]+\N}{}}}{\N.*@(?!all@domain\.ru).*\n\N}{}}}{\n}{,}}


это все одна строка.


> 6 апреля 2015 г., 17:39 пользователь Golub Mikhail  <mailto:eximl...@gmn.org.ua>> написал:
> 
> Добрый день.
> 
> Пользователи у вас где хранятся? (sql, ldap)
> Если в перечисленных - то через роутер, который запросом выберет
> всех, кто попадает под заданное вами условие.
> 
> С локальными системными пользователями, учитывая алиасы - сходу не
> скажу.
> 
> 
> From: Exim-users [mailto:exim-users-boun...@mailground.net
> <mailto:exim-users-boun...@mailground.net>] On Behalf Of Sergey
> Shumakher
> Sent: Friday, April 03, 2015 9:01 AM
> To: Exim MTA на русском
> Subject: [Exim-users] Глобальный алиас
> 
> Добрый день!
> Подскажите, пожалуйста, через какой механизм Exim лучше создать
> глобальный алиас для домена. Типа a...@domain.ru
> <mailto:a...@domain.ru>. Как сделать редактированием списка
> пользователей понятно. Нужно чтоб все пользователи туда
> автоматически попадали.
> ___
> Exim-users mailing list
> Exim-users@mailground.net <mailto:Exim-users@mailground.net>
> http://mailground.net/mailman/listinfo/exim-users
> 
> 
> 
> 
> ___
> Exim-users mailing list
> Exim-users@mailground.net
> http://mailground.net/mailman/listinfo/exim-users
> 


-- 
Best wishes Victor Ustugov  mailto:vic...@corvax.kiev.ua
public GnuPG/PGP key:   http://victor.corvax.kiev.ua/corvax.asc
ICQ UIN: 371808614  JID: corvax_at...@jabber.corvax.kiev.ua
nic-handle: CRV-UANIC

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] Exim 4.86: SSL verify error

приветствую

Golub Mikhail wrote:
> Спасибо, но не помогло.
> 
> Ошибки в лог пишутся при приеме сообщений – или из мира, или с
> внутренних серверов.
> 
> Они и на 4.85 были (так как опции сборки и конфиг те же), но в лог не
> писались.
> 
>  
> 
> Например:
> 
> 2015-07-28 10:16:32 [77.88.21.89] SSL verify error: depth=1 error=unable
> to get local issuer certificate cert=/C=PL/O=Unizeto Technologies
> S.A./OU=Certum Certification Authority/CN=Certum Level IV CA
> 
> 2015-07-28 10:16:32 [77.88.21.89] SSL verify error: depth=1
> error=certificate not trusted cert=/C=PL/O=Unizeto Technologies
> S.A./OU=Certum Certification Authority/CN=Certum Level IV CA

скорее всего это ошибки проверки сертификата при проведении встречной
проверки отправителя.

если тут же послать письмо от того же отправителя на данный сервер, то
сообщение об ошибке вряд ли будет выведено в лог повторно.

также при отключении встречной проверке отправителя скорее всего таких
сообщений при получении писем не будет.


> *From:*Exim-users [mailto:exim-users-boun...@mailground.net] *On Behalf
> Of *dawnshade
> *Sent:* Tuesday, July 28, 2015 10:01 AM
> *To:* Exim MTA нарусском
> *Subject:* Re: [Exim-users] Exim 4.86: SSL verify error
> 
>  
> 
> 24
> <http://git.exim.org/exim.git/blob/exim-4_86:/doc/doc-txt/ChangeLog#l24>JH/06 
> Verification of the server certificate for a TLS connection is now tried
> 
> 25
> <http://git.exim.org/exim.git/blob/exim-4_86:/doc/doc-txt/ChangeLog#l25>  
> (but not required) by default.  The verification status is now logged by
> 
> 26
> <http://git.exim.org/exim.git/blob/exim-4_86:/doc/doc-txt/ChangeLog#l26>  
> default, for both outbound TLS and client-certificate supplying inbound
> 
> 27
> <http://git.exim.org/exim.git/blob/exim-4_86:/doc/doc-txt/ChangeLog#l27>  
> TLS connections
> 
>  
> 
> *tls_verify_cert_hostnames*
> 
>   
> 
> Use: /smtp/
> 
>   
> 
> Type: /host//list/†
> 
>   
> 
> Default: /*/
> 
> 
> поставить в пустую строку не поможет в транспорте?
> 
> Вторник, 28 июля 2015, 9:50 +03:00 от Golub Mikhail  <mailto:eximl...@gmn.org.ua>>:
> 
> Доброе утро.
> 
> Как отключить запись этого "мусора" в лог?
> SSL verify error: depth=1 error=certificate not trusted cert=
> SSL verify error: certificate name mismatch:
> 
> Этотпараметрнепомог:
> log_selector = -tls_certificate_verified
> 
> P.S. В4.85 такнемусориловлог.
> 
> -- 
> ГолубМихаил
> 
> ___
> Exim-users mailing list
> Exim-users@mailground.net 
> http://mailground.net/mailman/listinfo/exim-users
> 
>  
> 
> 
> 
> ___
> Exim-users mailing list
> Exim-users@mailground.net
> http://mailground.net/mailman/listinfo/exim-users
> 


-- 
Best wishes Victor Ustugov  mailto:vic...@corvax.kiev.ua
public GnuPG/PGP key:   http://victor.corvax.kiev.ua/corvax.asc
ICQ UIN: 371808614  JID: corvax_at...@jabber.corvax.kiev.ua
nic-handle: CRV-UANIC

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] Exim 4.86: SSL verify error

Golub Mikhail wrote:
> Спасибо, но не помогло.

можно попробовать в параметры remote_smtp транспорта добавить:

tls_try_verify_hosts = :

кстати, тогда в лог не будут выводиться и сообщения о проверке
сертификатов серверов отправителей при проведении встречной проверки
отправителя (если, конечно, для встречной проверки используется
remote_smtp транспорт).


> Ошибки в лог пишутся при приеме сообщений – или из мира, или с
> внутренних серверов.
> 
> Они и на 4.85 были (так как опции сборки и конфиг те же), но в лог не
> писались.
> 
>  
> 
> Например:
> 
> 2015-07-28 10:16:32 [77.88.21.89] SSL verify error: depth=1 error=unable
> to get local issuer certificate cert=/C=PL/O=Unizeto Technologies
> S.A./OU=Certum Certification Authority/CN=Certum Level IV CA
> 
> 2015-07-28 10:16:32 [77.88.21.89] SSL verify error: depth=1
> error=certificate not trusted cert=/C=PL/O=Unizeto Technologies
> S.A./OU=Certum Certification Authority/CN=Certum Level IV CA
> 
>  
> 
>  
> 
>  
> 
> *From:*Exim-users [mailto:exim-users-boun...@mailground.net] *On Behalf
> Of *dawnshade
> *Sent:* Tuesday, July 28, 2015 10:01 AM
> *To:* Exim MTA нарусском
> *Subject:* Re: [Exim-users] Exim 4.86: SSL verify error
> 
>  
> 
> 24
> <http://git.exim.org/exim.git/blob/exim-4_86:/doc/doc-txt/ChangeLog#l24>JH/06 
> Verification of the server certificate for a TLS connection is now tried
> 
> 25
> <http://git.exim.org/exim.git/blob/exim-4_86:/doc/doc-txt/ChangeLog#l25>  
> (but not required) by default.  The verification status is now logged by
> 
> 26
> <http://git.exim.org/exim.git/blob/exim-4_86:/doc/doc-txt/ChangeLog#l26>  
> default, for both outbound TLS and client-certificate supplying inbound
> 
> 27
> <http://git.exim.org/exim.git/blob/exim-4_86:/doc/doc-txt/ChangeLog#l27>  
> TLS connections
> 
>  
> 
> *tls_verify_cert_hostnames*
> 
>   
> 
> Use: /smtp/
> 
>   
> 
> Type: /host//list/†
> 
>   
> 
> Default: /*/
> 
> 
> поставить в пустую строку не поможет в транспорте?
> 
> Вторник, 28 июля 2015, 9:50 +03:00 от Golub Mikhail  <mailto:eximl...@gmn.org.ua>>:
> 
> Доброе утро.
> 
> Как отключить запись этого "мусора" в лог?
> SSL verify error: depth=1 error=certificate not trusted cert=
> SSL verify error: certificate name mismatch:
> 
> Этотпараметрнепомог:
> log_selector = -tls_certificate_verified
> 
> P.S. В4.85 такнемусориловлог.
> 
> -- 
> ГолубМихаил
> 
> ___
> Exim-users mailing list
> Exim-users@mailground.net 
> http://mailground.net/mailman/listinfo/exim-users
> 
>  
> 
> 
> 
> ___
> Exim-users mailing list
> Exim-users@mailground.net
> http://mailground.net/mailman/listinfo/exim-users
> 


-- 
Best wishes Victor Ustugov  mailto:vic...@corvax.kiev.ua
public GnuPG/PGP key:   http://victor.corvax.kiev.ua/corvax.asc
ICQ UIN: 371808614  JID: corvax_at...@jabber.corvax.kiev.ua
nic-handle: CRV-UANIC

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] Exim 4.86: SSL verify error

Golub Mikhail wrote:
>> -Original Message-
>> From: Exim-users [mailto:exim-users-boun...@mailground.net] On Behalf
>> Of Victor Ustugov
>> Sent: Tuesday, July 28, 2015 10:08 PM
>> To: Golub Mikhail
>> Subject: Re: [Exim-users] Exim 4.86: SSL verify error
>>
>> скорее всего это ошибки проверки сертификата при проведении
>> встречной проверки отправителя.
> 
> Нет, такое происходит при отправке письма на внутренний Exchange, например.
> На тестовом сервере сразу три ошибки:
> SSL verify error: depth=0 error=unable to get local issuer certificate 
> cert=...
> SSL verify error: depth=0 error=certificate not trusted cert=...
> SSL verify error: depth=0 error=unable to verify the first certificate 
> cert=...
> 
> А так при отправке на многие хосты в Интернете.
> [108.174.3.215] SSL verify error: depth=1 error=certificate not trusted 
> cert=/C=US/O=DigiCert Inc/CN=DigiCert Secure Server CA
> [93.171.218.25] SSL verify error: depth=2 error=self signed certificate in 
> certificate chain cert=/C=IL/O=StartCom Ltd./OU=Secure Digital Certificate 
> Signing/CN=StartCom Certification Authority
> [91.208.52.158] SSL verify error: depth=1 error=unable to get local issuer 
> certificate cert=/C=US/O=thawte, Inc./CN=thawte SSL CA - G2
> ...

это понятно. я отвечал на "Ошибки в лог пишутся при приеме сообщений –
или из мира, или с внутренних серверов."

то, что эти ошибки появляются при отсылке писем - это понятно. но при
приёме они появляться не должны.

если такие сообщения об ошибках появляются при приёме письма, значит на
самом деле была предпринята попытка если не отправки письма со стороны
этого сервера, то по крайней мере была предпринята попытка проведения
встречной проверки отправителя.

> Как указывал dawnshade, параметр tls_verify_cert_hostnames пробовал добавлять 
> в транспорт.
> Не помогает :(
> И так tls_verify_cert_hostnames = *
> И так tls_verify_cert_hostnames =!*

tls_verify_cert_hostnames - это несколько другая история.

этот параметр, судя по всему, должен отвечать за проверку соответствия
имени хоста сервера значению Common Name сертификата. ну и ещё алиасы
проверяются (имена хостов из поля Subject Alternative Name из X509v3
extensions сертификата). тот же WoGign подписывает сертификаты с
немерянной кучей алиасов, даже из разных доменов. да и StartCom'овские
сертификаты вроде идут с одним алиасом всегда.

но при этом сам сертификат всё равно должен пройти проверку валидности.

-- 
Best wishes Victor Ustugov  mailto:vic...@corvax.kiev.ua
public GnuPG/PGP key:   http://victor.corvax.kiev.ua/corvax.asc
ICQ UIN: 371808614  JID: corvax_at...@jabber.corvax.kiev.ua
nic-handle: CRV-UANIC

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] Exim 4.86: SSL verify error

Golub Mikhail wrote:
>> то, что эти ошибки появляются при отсылке писем - это понятно. но при
>> приёме они появляться не должны.
> 
> Внутреннюю структуру своих серверов я вроде знаю :)
> И знаю, что на Exchange письма с внешнего Exim уходят на один IP - ошибка SSL 
> есть.
> 
> При отправке письма с Exchange во внешний мир (через шлюз Exim) письма на 
> Exim попадают с других адресов - ошибка SSL тоже есть.

тогда не буду настаивать.

я лишь изложил результаты тестирования сообщений об ошибках при
включенной встречной проверке отправителя, отключенной встречной
проверке отправителя, а также при включенной проверке отправителя после
очистки кеша.

> "tls_try_verify_hosts = : " - так я вообще отключу запрос на открытие 
> TLS-сессии.
> И тогда будет все чисто, но не будет TLS :)

при использовании на стороне отправителя "tls_try_verify_hosts = : " в
настройках транспорта remote_smtp я в логах на стороне получателя
наблюдал "P=esmtps" при доставке.

на стороне отправителя ошибок проверки сертификата сервера получателя в
логах не было.

на сервере получателя самоподписанный сертификат.

но опять же, настаивать не буду.

-- 
Best wishes Victor Ustugov  mailto:vic...@corvax.kiev.ua
public GnuPG/PGP key:   http://victor.corvax.kiev.ua/corvax.asc
ICQ UIN: 371808614  JID: corvax_at...@jabber.corvax.kiev.ua
nic-handle: CRV-UANIC

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] Exim 4.86: SSL verify error

l...@lena.kiev.ua wrote:
> После апгрейда Exim до 4.86 у меня появились в mainlog при отправке на 
> mail.ru:
> 
> 2015-07-28 21:39:28 +0300 1ZK9mc-0007bA-5S [217.69.139.150] SSL verify error: 
> depth=2 error=unable to get local issuer certificate cert=/C=US/O=GeoTrust 
> Inc./CN=GeoTrust Global CA
> 
> У меня FreeBSD на сервере и в домашнем компе.
> В сервере Exim использует openssl из портов.
> В домашнем компе установлены много портов, среди них curl и ca_root_nss.
> Я скопировала из домашнего компа на сервер файл /usr/local/openssl/cert.pem
> (который вроде от порта ca_root_nss, хотя pkg which этого не знает)
> и рестартовала Exim: kill -HUP `cat /var/run/exim.pid`
> Теперь такие сообщения в логе не появляются.

в случае самоподписанных сертификатов всё равно сообщения об ошибках
будут появляться (на сколько я понял, Михаилу и они не нужны).


-- 
Best wishes Victor Ustugov  mailto:vic...@corvax.kiev.ua
public GnuPG/PGP key:   http://victor.corvax.kiev.ua/corvax.asc
ICQ UIN: 371808614  JID: corvax_at...@jabber.corvax.kiev.ua
nic-handle: CRV-UANIC

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

[Exim-users] поддержка RFC2231 в exim 4.86

приветствую

вышел exim 4.86

в ChangeLog написали в том числе:

JH/25 Bug 466: Add RFC2322 support for MIME attachment filenames.
  Original patch from Alexander Shikoff, worked over by JH.


при этом в этом RFC2322 называется "Management of IP numbers by peg-dhcp".

а тот RFC, который они скорее всего имели ввиду, это RFC2231 "MIME
Parameter Value and Encoded Word Extensions: Character Sets, Languages,
and Continuations"

похоже, что они просто перепутали номер RFC в ChangeLog, т. к. в
src/mime.c из 4.86 по сравнению с 4.85 появилась функция
rfc2231_to_2047 и её использование. но при этом ничего о поддержке
RFC2231 в ChangeLog нет.


Александр тут был среди нас (как минимум в конце прошлого года).

так вот, патч некорректно работает с именами файлов, разбитыми на
несколько строк, а также если не указан charset.

т. е. корректно обрабатывается:

Content-Disposition: attachment;
 filename*=KOI8-R''%C1%C2%D7%2E%74%78%74


но некорректно обрабатываются:

Content-Disposition: attachment;
 filename*0="Declaration_for_Exemption_from_deduction_of_defence_contrib_";
 filename*1="15%.doc"


Content-Disposition: attachment;
 filename*0="Letter of Undertaking by Beneficial Owners of registered sha";
 filename*1="res.doc"


Content-Disposition: attachment;
 filename*0*=KOI8-R''%D0%D2%CF%D3%D4%CF%20%CF%DE%C5%CE%D8%20%C4%CC%C9%CE%CE;
 filename*1*=%CF%C5%20%C9%CD%D1%20%D0%D2%C9%D3%CF%C5%C4%C9%CE%C5%CE%CE%CF;
 filename*2*=%C7%CF%20%C6%C1%CA%CC%C1%20%D3%20%CB%C9%D2%C9%CC%CC%C9%DE%C5;
 filename*3*=%D3%CB%C9%CD%C9%20%D3%C9%CD%D7%CF%CC%C1%CD%C9%20%D7%20%C9%CD;
 filename*4*=%C5%CE%C9%2E%74%78%74


строки тут чуть-чуть порвало, но я специально их не уменьшал. это
фрагменты заголовков двух писем несколько летней давности - одно было
тестовое, а другое реальное.


для первых двух проблемных аттачей (для которых не указан charset)
значение $mime_filename получается пустым.

для третьего проблемного аттача в $mime_filename я вижу только
раскодированное значение из первой части имени файла (из атрибута
filename*0*).


-- 
Best wishes Victor Ustugov  mailto:vic...@corvax.kiev.ua
public GnuPG/PGP key:   http://victor.corvax.kiev.ua/corvax.asc
ICQ UIN: 371808614  JID: corvax_at...@jabber.corvax.kiev.ua
nic-handle: CRV-UANIC

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] Exim 4.86, SSL verify error

2015-08-20 Пенетрантность Victor Ustugov

Golub Mikhail wrote:
> Доброго времени суток.

доброго

> Переходил ли кто  на 4.86?

я перевел около полутора десятков серверов

> Я перешел и вернулся на 4.85 из-за ошибок SSL в логе.
> И крешился иногда при отправке почты (в рассылке было).

крешей я не наблюдал

> Второй вопрос.
> Как отключить вывод в лог всех ошибок "SSL verify error"?
> Не нашел :(

tls_try_verify_hosts = :

а с первого раза поверить было нельзя?

p. s. я хотел дать линк на своё письмо в веб архиве рассылки, но у нас
там на http://mailground.net/mailman/listinfo/exim-users с чарсетами
жуть какая-то твориться (служебные сообщения на странице в UTF-8, а
данные о листе в KOI8-R), а на
http://mailground.net/pipermail/exim-users/ вообще ошибка 403

-- 
Best wishes Victor Ustugov  mailto:vic...@corvax.kiev.ua
public GnuPG/PGP key:   http://victor.corvax.kiev.ua/corvax.asc
ICQ UIN: 371808614  JID: corvax_at...@jabber.corvax.kiev.ua
nic-handle: CRV-UANIC

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

[Exim-users] Exim 4.86, SSL verify error

2015-08-20 Пенетрантность Victor Ustugov

Vsevolod Stakhov wrote:
> On 20/08/2015 14:12, l...@lena.kiev.ua wrote:
>>> дампов и корок нет. выб поглядели ту кору, где оно падает, этож
>>> не сложно
> 
>> По умолчанию при крэше exim не сохраняется coredump. Недавно в
>> англоязычной exim-users были жалобы на signal 11: 
>> https://lists.exim.org/lurker/message/20150816.204206.150bc9eb.en.html
> 
> 
> https://lists.exim.org/lurker/message/20150817.194612.40c782a6.en.html
> 
>>> Переходил ли кто  на 4.86?
> 
>> 3 недели назад, signal 11 в mainlog нет, но трафик маленький.
>> FreeBSD 6 i386.
> 
>> А сообщения об ошибках certificate verification в логе мне не
>> мешают. Это только предупреждения, письма проходят нормально. В
>> FreeBSD если exim использует openssl, то количество таких
>> сообщений можно уменьшить, установив порт ca_root_nss (если openssl
>> не из портов, а из base, то make config поставить галочку "add
>> symlink to /etc/ssl/cert.pem").
> 
> Возможно, следует добавить следующие две вещи в порт mail/exim:
> 
> 1) зависимость от openssl должна быть жестко от openssl port, а не от
> openssl base

Сева, а может лучше дать возможность выбора использования OpenSSL из
порта или из базовой системы.

понятное дело, что в свете событий последнего года или полутора лучше
использовать портовый. но может у кого-то будут объективные причины
использовать базовый OpenSSL. а если exim по зависимостям потянет и
портовый OpenSSL, то куча остальных портов при сборке будут использовать
именно его.

> 2) при включении зависимости от openssl включать зависимость от
> ca_root_nss

а вот это хорошая идея. галка "Add symlink to /etc/ssl/cert.pem" вроде
там по дефолту стоит. так что в этом случае предупреждений о валидных
сертификатах уже не будет в логах.

но даже у крупных почтовых систем, даже при использовании сертификатов,
заверенных центрами сертификации, могут быть предупреждения в логах.

на примере домена narod.ru

# host -t mx narod.ru
narod.ru mail is handled by 10 mx2.yandex.ru.
narod.ru mail is handled by 10 mx1.yandex.ru.
narod.ru mail is handled by 10 mx3.yandex.ru.

смотрим Common Name сертификата на mx1.yandex.ru:

# true | openssl s_client -connect mx1.yandex.ru:25 -servername
mx1.yandex.ru -starttls smtp 2>/dev/null | openssl x509 -noout -subject

subject= /C=RU/O=Yandex LLC/OU=ITO/L=Moscow/ST=Russian
Federation/CN=mx.yandex.ru/emailAddress=p...@yandex-team.ru

а в CN указан не mx1.yandex.ru, а mx.yandex.ru

смотрим синонимы:

# true | openssl s_client -connect mx1.yandex.ru:25 -servername
mx1.yandex.ru -starttls smtp 2>/dev/null | openssl x509 -noout -text |
grep -A 1 'Subject Alternative Name'

X509v3 Subject Alternative Name:
DNS:mx.yandex.ru, DNS:mx.yandex.net

тут есть mx.yandex.ru, mx.yandex.net, но нет mx1.yandex.ru

соответственно, в логах exim'а будут предупреждения о несоответствии
имени хоста MX'а и CN/Alternative Name сертификата: "SSL verify error:
certificate name mismatch".

у rambler.ru тоже самое - на основном MX'е imx1.rambler.ru используется
сертификат, выписанный для mail.rambler.ru:

# true | openssl s_client -connect imx1.rambler.ru:25 -servername
imx1.rambler.ru -starttls smtp 2>/dev/null | openssl x509 -noout -subject

subject= /C=RU/ST=Moscow/L=Moscow/O=Rambler Internet Holdings,
LLC/CN=mail.rambler.ru

список синонимов там выше крыши, но imx1.rambler.ru среди них нет:

# true | openssl s_client -connect mail.rambler.ru:25 -servername
mail.rambler.ru -starttls smtp 2>/dev/null | openssl x509 -noout -text |
grep -A 1 'Subject Alternative Name'

X509v3 Subject Alternative Name:
DNS:pop.rambler.ru, DNS:imap.rambler.ru,
DNS:smtp.rambler.ru, DNS:pop3.rambler.ru, DNS:mxf2.rambler.ru,
DNS:mxf1.rambler.ru, DNS:mail.rambler.ru

так что предупреждения в логах мы будем ещё долго вылавливать

кстати, ты товарищей из rambler.ru по старой памяти не хочешь подергать
по этому вопросу?

> Патч для исправления SIGSEGV я включу, как только будет вкоммичено
> решение для bug 1671 [1]
> 
> [1]: https://bugs.exim.org/show_bug.cgi?id=1671
> 
> 
> ___
> Exim-users mailing list
> Exim-users@mailground.net
> http://mailground.net/mailman/listinfo/exim-users
> 

-- 
Best wishes Victor Ustugov  mailto:vic...@corvax.kiev.ua
public GnuPG/PGP key:   http://victor.corvax.kiev.ua/corvax.asc
ICQ UIN: 371808614  JID: corvax_at...@jabber.corvax.kiev.ua
nic-handle: CRV-UANIC

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] Exim 4.86, SSL verify error

2015-08-20 Пенетрантность Victor Ustugov

Vsevolod Stakhov wrote:

>>> Возможно, следует добавить следующие две вещи в порт mail/exim:
>>>
>>> 1) зависимость от openssl должна быть жестко от openssl port, а
>>> не от openssl base
> 
>> Сева, а может лучше дать возможность выбора использования OpenSSL
>> из порта или из базовой системы.
> 
> Я считаю данную возможность, как и наличие openssl в базе - огромной
> ошибкой, из-за которой мы имеем огромное количество дырявых систем,
> которые не были бы дырявыми в случае openssl из портов/пакетов. Тут
> надежда только на pkg для base и на более вменяемую политику security
> updates.

так если сейчас кто-то не обновляет базовую систему (и вместе с ней
базовый OpenSSL) в случае необходимости, так он точно также в случае
появления уязвимостей может плевать на ругань pkg audit и не обновлять
портовый OpenSSL.

я не ратую за использование базового OpenSSL (у самого уже везде
портовый используется, но не из-за exim), но может не надо так прямо с
плеча рулить?

>> понятное дело, что в свете событий последнего года или полутора
>> лучше использовать портовый.
> 
> Учитывая 0day статус всех этих уязвимостей а также тот факт, что новые
> дыры вносятся тоже постоянно, единственный вариант - это quaterly
> branches пакетов и немедленная реакция security officers на все
> найденные проблемы.

так на проблемы в любом случае нужно реагировать, будь то проблемы с
базовой системой, ядром или пакетами.

>> но может у кого-то будут объективные причины использовать базовый
>> OpenSSL. а если exim по зависимостям потянет и портовый OpenSSL, то
>> куча остальных портов при сборке будут использовать именно его.
> 
> Никаких *объективных* причин на это нет. К счастью, наши re@ и
> остальное коммьюнити уже согласны с этой точкой зрения (по поводу
> выноса openssl из base).

ну... если вы там у себя уже все решили, то может оно и к лучшему...

>>> 2) при включении зависимости от openssl включать зависимость от 
>>> ca_root_nss
> 
>> а вот это хорошая идея. галка "Add symlink to /etc/ssl/cert.pem"
>> вроде там по дефолту стоит. так что в этом случае предупреждений о
>> валидных сертификатах уже не будет в логах.
> 
>> но даже у крупных почтовых систем, даже при использовании
>> сертификатов, заверенных центрами сертификации, могут быть
>> предупреждения в логах.
> 
> Но имя должно проверяться через DANE! Проверка сертификата через
> trusted CA - это всего лишь костыль для тех, у кого сломан DNSSEC.
> 
>> на примере домена narod.ru
> 
>> # host -t mx narod.ru narod.ru mail is handled by 10
>> mx2.yandex.ru. narod.ru mail is handled by 10 mx1.yandex.ru. 
>> narod.ru mail is handled by 10 mx3.yandex.ru.
> 
> 
>> смотрим Common Name сертификата на mx1.yandex.ru:
> 
> 
>> # true | openssl s_client -connect mx1.yandex.ru:25 -servername 
>> mx1.yandex.ru -starttls smtp 2>/dev/null | openssl x509 -noout
>> -subject
> 
>> subject= /C=RU/O=Yandex LLC/OU=ITO/L=Moscow/ST=Russian 
>> Federation/CN=mx.yandex.ru/emailAddress=p...@yandex-team.ru
> 
> 
>> а в CN указан не mx1.yandex.ru, а mx.yandex.ru
> 
>> смотрим синонимы:
> 
> 
>> # true | openssl s_client -connect mx1.yandex.ru:25 -servername 
>> mx1.yandex.ru -starttls smtp 2>/dev/null | openssl x509 -noout
>> -text | grep -A 1 'Subject Alternative Name'
> 
>> X509v3 Subject Alternative Name: DNS:mx.yandex.ru,
>> DNS:mx.yandex.net
> 
> 
>> тут есть mx.yandex.ru, mx.yandex.net, но нет mx1.yandex.ru
> 
> 
>> соответственно, в логах exim'а будут предупреждения о
>> несоответствии имени хоста MX'а и CN/Alternative Name сертификата:
>> "SSL verify error: certificate name mismatch".
> 
> 
>> у rambler.ru тоже самое - на основном MX'е imx1.rambler.ru
>> используется сертификат, выписанный для mail.rambler.ru:
> 
> 
>> # true | openssl s_client -connect imx1.rambler.ru:25 -servername 
>> imx1.rambler.ru -starttls smtp 2>/dev/null | openssl x509 -noout
>> -subject
> 
>> subject= /C=RU/ST=Moscow/L=Moscow/O=Rambler Internet Holdings, 
>> LLC/CN=mail.rambler.ru
> 
> 
>> список синонимов там выше крыши, но imx1.rambler.ru среди них нет:
> 
> 
>> # true | openssl s_client -connect mail.rambler.ru:25 -servername 
>> mail.rambler.ru -starttls smtp 2>/dev/null | openssl x509 -noout
>> -text | grep -A 1 'Subject Alternative Name'
> 
>> X509v3 Subject Alternative Name: DNS:pop.rambler.ru,
>> DNS:imap.rambler.ru, DNS:smtp.rambler.ru, DNS:pop3.rambler.ru,
>> DNS:mxf2.rambler.ru, DNS:mxf1.rambler.ru, DNS:mail.rambler.ru
> 
> 
>> так что преду

Re: [Exim-users] signal 11

2015-08-21 Пенетрантность Victor Ustugov

dawnshade wrote:
> 
> sysctl kern.corefile=/tmp/%N.core
> sysctl kern.sugid_coredump=1
> 
> как упадет
> 
> gdb -c /tmp/exim.core /usr/local/sbin/exim
> bt
> 
> экзим скомпилять лучше нестрипанный, иначе хер чо покажет

Сева ж показал линк https://bugs.exim.org/show_bug.cgi?id=1671

я у себя тоже такое таки обнаружил. случается крайне редко - раз на
несколько тысяч исходящих писем. на мелких серверах такого вообще нет.


> Пятница, 21 августа 2015, 11:39 +03:00 от Golub Mikhail
> :
> 
> Редко, но бывает такой глюк (после перехода вчера на 4.86 - первый раз).
> Вполне нормальное письмо во внешний мир.
> И ошибка:
> адрес_получателя: smtp transport process returned non-zero status
> 0x000b: terminated by signal 11
> 
> В логе:
> 1ZShVu-0003Ip-0p Spool file 1ZSLSq-0005X2-AI-D not found
> 
> "exim -M 1ZShVu-0003Ip-0p" - письмо ушло.
> 
> 
> 
> > -Original Message-
> > From: Exim-users [mailto:exim-users-boun...@mailground.net] On Behalf
> > Of Golub Mikhail
> > Sent: Thursday, August 20, 2015 4:18 PM
> > To: exim-users@mailground.net
> 
> > Subject: Re: [Exim-users] signal 11
> >
> > > -Original Message-
> > > From: Exim-users [mailto:exim-users-boun...@mailground.net] On
> Behalf
> > > Of l...@lena.kiev.ua 
> > > Sent: Thursday, August 20, 2015 4:12 PM
> > > To: exim-users@mailground.net
> 
> > > Subject: [Exim-users] signal 11
> > >
> > > > дампов и корок нет. выб поглядели ту кору, где оно падает, этож не
> > > сложно
> > >
> > > По умолчанию при крэше exim не сохраняется coredump.
> > > Недавно в англоязычной exim-users были жалобы на signal 11:
> > >
> https://lists.exim.org/lurker/message/20150816.204206.150bc9eb.en.html
> > >
> https://lists.exim.org/lurker/message/20150817.194612.40c782a6.en.html
> >
> > Спасибо, почитаем.
> >
> > >
> > > > Переходил ли кто на 4.86?
> > >
> > > 3 недели назад, signal 11 в mainlog нет, но трафик маленький.
> FreeBSD 6
> > > i386.
> > >
> > > А сообщения об ошибках certificate verification в логе мне не
> мешают.
> > > Это только предупреждения, письма проходят нормально.
> > > В FreeBSD если exim использует openssl, то количество таких
> > сообщений
> > > можно уменьшить, установив порт ca_root_nss (если openssl не из
> > > портов, а из
> > > base, то make config поставить галочку "add symlink to
> > /etc/ssl/cert.pem").
> >
> > Да, порт ca_root_nss установлен, но без этой опции. Добавил.
> >
> > >
> > > ___
> > > Exim-users mailing list
> > > Exim-users@mailground.net 
> > > http://mailground.net/mailman/listinfo/exim-users
> >
> > _______
> > Exim-users mailing list
> > Exim-users@mailground.net 
> > http://mailground.net/mailman/listinfo/exim-users
> 
> ___
> Exim-users mailing list
> Exim-users@mailground.net 
> http://mailground.net/mailman/listinfo/exim-users
> 
> 
> 
> 
> ___
> Exim-users mailing list
> Exim-users@mailground.net
> http://mailground.net/mailman/listinfo/exim-users
> 


-- 
Best wishes Victor Ustugov  mailto:vic...@corvax.kiev.ua
public GnuPG/PGP key:   http://victor.corvax.kiev.ua/corvax.asc
ICQ UIN: 371808614  JID: corvax_at...@jabber.corvax.kiev.ua
nic-handle: CRV-UANIC

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] signal 11

2015-08-21 Пенетрантность Victor Ustugov

dawnshade wrote:
> 
> мож это не тот сегфолт. без бэктрейса не разберешь

симптомы те же

и в Лена показала линк
https://lists.exim.org/lurker/message/20150817.194612.40c782a6.en.html
на проблему с теми же симптомами

правда упомянутая там проблема появилась в 4.85 еще до выхода 4.86.

> Пятница, 21 августа 2015, 12:23 +03:00 от Victor Ustugov
> :
> 
> dawnshade wrote:
> >
> > sysctl kern.corefile=/tmp/%N.core
> > sysctl kern.sugid_coredump=1
> >
> > как упадет
> >
> > gdb -c /tmp/exim.core /usr/local/sbin/exim
> > bt
> >
> > экзим скомпилять лучше нестрипанный, иначе хер чо покажет
> 
> Сева ж показал линк https://bugs.exim.org/show_bug.cgi?id=1671
> 
> я у себя тоже такое таки обнаружил. случается крайне редко - раз на
> несколько тысяч исходящих писем. на мелких серверах такого вообще нет.
> 
> 
> > Пятница, 21 августа 2015, 11:39 +03:00 от Golub Mikhail
> > >:
> >
> > Редко, но бывает такой глюк (после перехода вчера на 4.86 - первый
> раз).
> > Вполне нормальное письмо во внешний мир.
> > И ошибка:
> > адрес_получателя: smtp transport process returned non-zero status
> > 0x000b: terminated by signal 11
> >
> > В логе:
> > 1ZShVu-0003Ip-0p Spool file 1ZSLSq-0005X2-AI-D not found
> >
> > "exim -M 1ZShVu-0003Ip-0p" - письмо ушло.
> >
> >
> >
> > > -Original Message-
> > > From: Exim-users [mailto:exim-users-boun...@mailground.net] On
> Behalf
> > > Of Golub Mikhail
> > > Sent: Thursday, August 20, 2015 4:18 PM
> > > To: exim-users@mailground.net
> 
> >  >
> > > Subject: Re: [Exim-users] signal 11
> > >
> > > > -Original Message-
> > > > From: Exim-users [mailto:exim-users-boun...@mailground.net] On
> > Behalf
> > > > Of l...@lena.kiev.ua 
>  >
> > > > Sent: Thursday, August 20, 2015 4:12 PM
> > > > To: exim-users@mailground.net
> 
> >  >
> > > > Subject: [Exim-users] signal 11
> > > >
> > > > > дампов и корок нет. выб поглядели ту кору, где оно падает,
> этож не
> > > > сложно
> > > >
> > > > По умолчанию при крэше exim не сохраняется coredump.
> > > > Недавно в англоязычной exim-users были жалобы на signal 11:
> > > >
> > https://lists.exim.org/lurker/message/20150816.204206.150bc9eb.en.html
> > > >
> > https://lists.exim.org/lurker/message/20150817.194612.40c782a6.en.html
> > >
> > > Спасибо, почитаем.
> > >
> > > >
> > > > > Переходил ли кто на 4.86?
> > > >
> > > > 3 недели назад, signal 11 в mainlog нет, но трафик маленький.
> > FreeBSD 6
> > > > i386.
> > > >
> > > > А сообщения об ошибках certificate verification в логе мне не
> > мешают.
> > > > Это только предупреждения, письма проходят нормально.
> > > > В FreeBSD если exim использует openssl, то количество таких
> > > сообщений
> > > > можно уменьшить, установив порт ca_root_nss (если openssl не из
> > > > портов, а из
> > > > base, то make config поставить галочку "add symlink to
> > > /etc/ssl/cert.pem").
> > >
> > > Да, порт ca_root_nss установлен, но без этой опции. Добавил.
> > >
> > > >
> > > > ___
> > > > Exim-users mailing list
> > > > Exim-users@mailground.net
> 
>  >
> > > > http://mailground.net/mailman/listinfo/exim-users
> > >
> > > ___
> > > Exim-users mailing list
> > > Exim-users@mailground.net
> 
>  >
> > > http://mailground.net/mailman/listinfo/exim-users
> >
> > ___
> > Exim-users mailing list
> > Exim-users@mailground.net
> 
>  >
>     > http://mailground.net/mailman/listinfo/exim-users
> >
> >
> >
> >
> > ___
> > Exim-us

Re: [Exim-users] signal 11

2015-08-25 Пенетрантность Victor Ustugov

Golub Mikhail wrote:
> Доброго времени суток.
> 
> С патчем в течении для проблем небыло.

Сева, может тогда этот патч хотя бы опционально в порт добавить?


>> -Original Message-
>> From: Exim-users [mailto:exim-users-boun...@mailground.net] On Behalf
>> Of Vsevolod Stakhov
>> Sent: Friday, August 21, 2015 5:05 PM
>> To: exim-users@mailground.net
>> Subject: Re: [Exim-users] signal 11
>>
>>
>> http://git.exim.org/exim.git/patch/dadff1d47e54962b0fdf98e8ce5cef42b6cb
>> 7fb5
>>
>> - --
>> Vsevolod Stakhov
>> -BEGIN PGP SIGNATURE-
>>
>> iQIcBAEBCAAGBQJV1zAEAAoJEAdke2eQCBQ3udUQAL/g3DcaaW9LIvlF7wwE
>> HRTO
>> W0uX+bCKPRsQb0UmsqIYoJ1fr2xcZfBPRlZyjC3K2W+ktnMagQ2tAVewmMHt
>> ns5g
>> KEL3uq/EXkOtFHRVkj3aDWOtFRiWzZd1wbJ/M9RcKgU9kkZNV4mJicijOkgiOcp
>> T
>> B15wOoWxIImEaMWcNEEgycI/HYXhEFxRqhabcShXmuALxO0L1KQgYUcSWAh
>> /IOGq
>> sXg8X1UC/9QgZ5YEMn8uhvfoHd9ZQsk0Uym/Imu3jRhp6UIWy86xyXC9m2F6
>> MK2y
>> IWyHi3CjaooRsDzYH/eDx7S+8na5QTrZbdbblML2zTDiWf9GD1pzmwlQ1QkEKT
>> mA
>> S1KvIdAXfz/xbj+xRdwHn/ziz2oeFaMpZbw9KG7rwYSRqWl40Wo4xJBomTz/Hx
>> k6
>> Ns89mE3V8ioFDOjzNvEQx/WlThrxGWJz9S13e7r8eU941rCkubiY4PS6lesL8Brp
>> ZN4FbCzHHJ8FTWCj+dHdt4AcrSUJjFBY1kfuzWQrtJnIvDZU9iIoOmrS82zpf6Tn
>> wErli0mb155FffPm5AhGwcbOqFJaKpvnZSty7FfjFZzfu4A6idcOhqYOlxxXKDEa
>> JCcx3agWKL1W22qDd0Ft3eeWMLo4cgT/x6mu3lMxeYEJJLYvQ3/VcSlVra4KUE
>> zE
>> 1tLuc8z3GnuDhjUBU4hm
>> =FhPl
>> -END PGP SIGNATURE-


-- 
Best wishes Victor Ustugov  mailto:vic...@corvax.kiev.ua
public GnuPG/PGP key:   http://victor.corvax.kiev.ua/corvax.asc
ICQ UIN: 371808614  JID: corvax_at...@jabber.corvax.kiev.ua
nic-handle: CRV-UANIC

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] OT: антиспам - коммерческие решения

Vyacheslav wrote:
> 2015-12-13 18:53, Vsevolod Stakhov написав:
>> On 13/12/2015 15:08, Vyacheslav Biruk wrote:
>>> Здравствуйте,
>>>
>>> возвращаясь к теме
>>> https://groups.google.com/forum/#!searchin/exim-rusers/антиспам/exim-rusers/8HTbGIQj9uI/tr-w85OLi4sJ
>>>
>>>
>>> а не подскажите, плиз, какие на сегодняшний день есть вменяемые
>>> коммерчиские антиспам (да и антивирусные) продукты, которые работают на
>>> freebsd (на крайний случай - на linux), и с которыми можно подружить
>>> exim?
>>
>> А коммерческий - принципиальный момент?
> 
> нет
> 
> с некоммерческого сейчас еще работает spamassassin
> 
> пробовал еще rspamd (нравится тем, что легче обучается чем
> spamassassin), но было много ложных срабатываний - пришлось отказаться :(

может тогда не всё потеряно

ибо Слава - и есть автор, причём весьма чутко реагирующий на
конструктивные предложения и пожелания


p. s. писать что-то в письме после строки из двух минусов и пробела -
это не очень хорошо. почтовые клиенты при ответе вообще-то игнорируют
текст после этого строки, т. к. ею обычно отделяется письмо от подписи.

отвечать на такое письмо крайне неудобно.

-- 
Best wishes Victor Ustugov  mailto:vic...@corvax.kiev.ua
public GnuPG/PGP key:   http://victor.corvax.kiev.ua/corvax.asc
ICQ UIN: 371808614  JID: corvax_at...@jabber.corvax.kiev.ua
nic-handle: CRV-UANIC

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] OT: антиспам - коммерческие решения

Vasiliy P. Melnik wrote:
> А коммерческий - принципиальный момент?
> 
> 
> ну судя по всему коммерческий = беспроблемный, но  тот же доктор веб
> доказывает обратное.
> 
> P/S/ как по мне - то лучше уже раскошелится на гугль бизнес , хоть
> понимаешь за что платишь 50 евро с аккаунта

года полтора назад для пары клиентов пришлось просить у провайдера
отдельные IP адреса для исходящей почты.

потому что с их обычных адресов, не залистенных в DNSBL, письма от живых
людей из почтовых клиентов на gmail.com упорно попадали в фолдер со
спамом. при корректных PTR записях в реверсной зоне, прописанных SPF
записях и использовании DKIM подписей. из совсем необязательного и
бесполезного даже DMARC был настроен.

и ничего. пока не настроил exim на отправку писем с другого IP адреса,
ничего не помогало.

и я специально храню у себя примеры писем с нескольких гугловых
серверов, при отсылке которых в качестве аргумента команды HELO было
указано слово без точки. т. е. ни разу не FQDN.

есть ещё много мелочей, исходя из которых считать, что Google лучше
решит почтовые задачи, по меньшей мере спорно.

кто-то вообще знает, сколько у него ложных срабатываний? у себя хоть
логи посмотреть можно, карантины. а там?

были случаи (совсем недавно, около месяца назад), когда письмо уходило в
никуда. по логам оповещения из Jira уходили на сервера Google, а у
получателя их не было ни во входящих, ни в фолдере со спамом.

вот такие коммерческие решения бывают за 50 евро с аккаунта

-- 
Best wishes Victor Ustugov  mailto:vic...@corvax.kiev.ua
public GnuPG/PGP key:   http://victor.corvax.kiev.ua/corvax.asc
ICQ UIN: 371808614  JID: corvax_at...@jabber.corvax.kiev.ua
nic-handle: CRV-UANIC

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] [SPAM:RS]: Re: OT: антиспам - коммерческие решения

Vyacheslav wrote:
> 
>>> А коммерческий - принципиальный
>>> момент?
>>
>> ну судя по всему коммерческий =
>> беспроблемный, но  тот же доктор веб
>> доказывает обратное.
> да - именно хочется беспроблемный.
> 
>>
>> P/S/ как по мне - то лучше уже
>> раскошелится на гугль бизнес , хоть
>> понимаешь за что платишь 50 евро с
>> аккаунта
> ну насколько я понимаю, в варианте "гугль бизнес" почта хранится у них
> на сервере,
> а хотелось бы ее у себя держать.
> и еще гугль напрягает отлупами, что превышен лимит писем с хоста.
> 
> так же надо почту с серверов пропускать без спамфильтров, а иногда и
> переписывая/игнорируя заголовки from
> да и абузные мыла не фильтровать.
> 
> тоисть я хочу сам решать что отправлять на проверку в спамфильтр, а что нет
> (чем мне не нравится KA - что он работает через local_scan, раньше можно
> было через dlfunc, но с новыми версиями, наскока я понял, такой финт не
> проходит)

это решаемо


-- 
Best wishes Victor Ustugov  mailto:vic...@corvax.kiev.ua
public GnuPG/PGP key:   http://victor.corvax.kiev.ua/corvax.asc
ICQ UIN: 371808614  JID: corvax_at...@jabber.corvax.kiev.ua
nic-handle: CRV-UANIC

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] OT: антиспам - коммерческие решения

Igor Karpov wrote:
> My $.02: где-то с год назад у меня сложилось устойчивое ощущение, что gmail 
> не любит новых TLD. Картина была примерно такая же - было прописано все, что 
> пристало иметь хорошо воспитанному почтовому домену. И, тем не менее, гугл 
> упорно складывал письма оттуда в спам.

домен был не новым. не говоря уже о TLD. всё шло хорошо несколько лет.
потом с интервалом в несколько недель стало хуже у многих доменов
отправителей.

у большинства полечилось прописыванием SPF (у кого не было) и
прикручиванием DKIM подписей (у кого не было).

но это помогло не всем.

конкретно те два больше других пострадавших домена были из зон .ua и
.com.ua, т. е. это не касается новых TLD.

у google вообще проколов мелких и не очень стало как-то больше в
последнее время. причем "по всем фронтам".



> Некоторое время назад на slashdot был коллективный стон по поводу некоторых 
> практик крупных почтовых операторов, gmail и помельче.
> 
>> On Dec 13, 2015, at 11:41 PM, Victor Ustugov  wrote:
>>
>> Vasiliy P. Melnik wrote:
>>>А коммерческий - принципиальный момент?
>>>
>>>
>>> ну судя по всему коммерческий = беспроблемный, но  тот же доктор веб
>>> доказывает обратное.
>>>
>>> P/S/ как по мне - то лучше уже раскошелится на гугль бизнес , хоть
>>> понимаешь за что платишь 50 евро с аккаунта
>>
>> года полтора назад для пары клиентов пришлось просить у провайдера
>> отдельные IP адреса для исходящей почты.
>>
>> потому что с их обычных адресов, не залистенных в DNSBL, письма от живых
>> людей из почтовых клиентов на gmail.com упорно попадали в фолдер со
>> спамом. при корректных PTR записях в реверсной зоне, прописанных SPF
>> записях и использовании DKIM подписей. из совсем необязательного и
>> бесполезного даже DMARC был настроен.
>>
>> и ничего. пока не настроил exim на отправку писем с другого IP адреса,
>> ничего не помогало.
>>
>> и я специально храню у себя примеры писем с нескольких гугловых
>> серверов, при отсылке которых в качестве аргумента команды HELO было
>> указано слово без точки. т. е. ни разу не FQDN.
>>
>> есть ещё много мелочей, исходя из которых считать, что Google лучше
>> решит почтовые задачи, по меньшей мере спорно.
>>
>> кто-то вообще знает, сколько у него ложных срабатываний? у себя хоть
>> логи посмотреть можно, карантины. а там?
>>
>> были случаи (совсем недавно, около месяца назад), когда письмо уходило в
>> никуда. по логам оповещения из Jira уходили на сервера Google, а у
>> получателя их не было ни во входящих, ни в фолдере со спамом.
>>
>> вот такие коммерческие решения бывают за 50 евро с аккаунта
>>
>>
>> --
>> Best wishes Victor Ustugov  mailto:vic...@corvax.kiev.ua
>> public GnuPG/PGP key:   http://victor.corvax.kiev.ua/corvax.asc
>> ICQ UIN: 371808614  JID: corvax_at...@jabber.corvax.kiev.ua
>> nic-handle: CRV-UANIC
>>
>> ___________
>> Exim-users mailing list
>> Exim-users@mailground.net
>> http://mailground.net/mailman/listinfo/exim-users
>>
> 
> 
> 
> ___
> Exim-users mailing list
> Exim-users@mailground.net
> http://mailground.net/mailman/listinfo/exim-users
> 


-- 
Best wishes Victor Ustugov  mailto:vic...@corvax.kiev.ua
public GnuPG/PGP key:   http://victor.corvax.kiev.ua/corvax.asc
ICQ UIN: 371808614  JID: corvax_at...@jabber.corvax.kiev.ua
nic-handle: CRV-UANIC

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] bruteforce

2016-01-18 Пенетрантность Victor Ustugov

Vasiliy P. Melnik wrote:
> в укрнете то понятно - там если бороться, то только и будешь заниматься
> тем, что обрабатывать обращения в техподдержку.
> 
> У меня офисные сервера, количество юзеров минимально, а ящики у всех
> преднастроенные и пароли многие юзеры даже не знают, так что если даже
> кого-то забанит, то невелика беда, ибо в случае неправильного пароля
> юзер все рано ко мне обратиться.

если это офисные сервера со сравнительно небольшим количеством
пользователей, то можно перевести их на отправку почты через порт 587, а
на порту 25 для внешнего мира вообще не анонсировать аутентификацию. ну
и без шифрования её не анонсировать.

а можно для локальной сети оставить аутентификацию и на порту 25 и без
STARTTLS:

auth_advertise_hosts = ${if eq{$received_port}{25}{+relay_from_hosts}\
  {${if eq{$tls_cipher}{}{+relay_from_hosts}{*


> 18 января 2016 г., 10:46 пользователь Vladimir Sharun
> mailto:vladimir.sha...@ukr.net>> написал:
> 
> Всем привет :)
> 
> Давать ок на любые пароли. В случае несовпадения с паролем в базе по
> imap/pop3 - показывать один и тот же пустой ящик-болванку. Если
> отправляют почту (подбор по SMTP) - всю отправляемую почту дропать.
> Подстраиваться под такую схему по сравнению с перебором весьма
> непросто. Второй вариант - перевести клиентов на клиентские
> сертификаты. Это не так страшно, как звучит.
> 
> Существенно - нельзя в файрвол ip - за ним могут быть большие NAT'ы
> например.
> 
> 
> 
> поделитесь методом борьбы с вялотекущим подбором паролей?
> замечаю периодически попытку подбора паролей типа 5-10 попыток к
> в час, но настырно - пару суток
> 
> 
> ___
> Exim-users mailing list
> Exim-users@mailground.net <mailto:Exim-users@mailground.net>
> http://mailground.net/mailman/listinfo/exim-users
> 
> 
> 
> 
> 
> ___
> Exim-users mailing list
> Exim-users@mailground.net
> http://mailground.net/mailman/listinfo/exim-users
> 


-- 
Best wishes Victor Ustugov  mailto:vic...@corvax.kiev.ua
public GnuPG/PGP key:   http://victor.corvax.kiev.ua/corvax.asc
ICQ UIN: 371808614  JID: corvax_at...@jabber.corvax.kiev.ua
nic-handle: CRV-UANIC

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] advanced antispam

2016-03-14 Пенетрантность Victor Ustugov

Vladimir Sharun wrote:
> Всем привет!
> 
> А Вы пробовали жаловаться в сам FirstVDS.ru ?

нет

> Они жалобы мои (что про спам, то фиг с ним, но вот про фишинг - это финальная 
> точка) просто игноврируют. Причем целую пачку. 
> 
> Писал и про вот эти .pw (и не тольо их, там десятки .ru спамящих) - тоже 
> тишина.

иногда проще не сгонять спамеров с насиженных хостингов, а использовать
найденные критерии при фильтрации.

в данном случае если есть какой-то не очень надежный критерий, то при
его срабатывании вроде бы нехорошо письмо фильтровать. но если при этом
домен отправителя хостится на ns1.firstvds.ru и ns2.firstvds.ru (что
тоже само по себе не является надежным критерием), то в сумме два эти
критерия уже позволяют принять более взвешенное решение.

но в данном конкретном случае есть более надежные признаки.

на самом деле A записей там не две, а более полусотни, в SPF записях
доменов отправителей есть характерные черты.

кроме указанных Александром регекспов для helo можно ещё использовать
\N^m[sx][a-z]\.oami\.pw$\N

>> они ещё используют helo mta3000.mail-sender.pw и mailer.power-mail.pw
>>
>> и в качестве DNS серверов кроме ns1.dnstop.ru и ns2.dnstop.ru ещё
>> используют ns1.firstvds.ru и ns2.firstvds.ru
>>
>  
>  
> 
> ___
> Exim-users mailing list
> Exim-users@mailground.net
> http://mailground.net/mailman/listinfo/exim-users
> 

-- 
Best wishes Victor Ustugov  mailto:vic...@corvax.kiev.ua
public GnuPG/PGP key:   https://victor.corvax.kiev.ua/corvax.asc
ICQ UIN: 371808614  JID: corvax_at...@jabber.corvax.kiev.ua
nic-handle: CRV-UANIC

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] Ну что, в полку спамеров прибыло - Amazon

2016-04-11 Пенетрантность Victor Ustugov

Vladimir Sharun wrote:
> Всем привет,

привет

> Прекрасно вот это я считаю:
> 
> Received: from ec2-54-197-228-219.compute-1.amazonaws.com ([54.197.228.219] 
> helo=dakar.ewb.ca)
> Message-ID: 001101c416f9$f295df4b$c10f9cee@revelat...@btfenterprises.com
> From: "Amoxicillin Best price" 
> Subject: Pharma Viagra Erectile Dysfunction, Male Enhancement, Erection 0.99
> 
> Оно-то в спам почти всё присыпалось, но Амазон же, facepalm.

с Амазона уже некоторое время сыпется всякое (то, что удалось быстро
найти, датировано концом января).

но регулярно мне попадался только спам со специфически сгенерированными
доменами в адресах отправителей:

ababdfceabadb.ru
fdcfeaffddcfad.ru
ceeaafbfcfb.ru
defdabb.ru
efabaaafdbce.ru
bdbbddacffdac.ru
aeacddfa.ru
ddeefbfec.ru
eedbf.ru
cfdfefdeedbd.ru
cfeabdbf.ru
ecacdabccbce.ru
dbdfcbdbfeca.ru
deabccacfcb.ru
aaadbdfdcbeaeefd.ru
eadbdabbd.ru
dbbcadefea.ru
bcebeadecba.ru
affbaaeedafecec.ru
fcdccafccafada.ru
febfcdabbabecef.ru
deabccacfcb.ru

в helo указаны эти же домены, A записи которых не совпадают с адресами
хостов отправителей. но в SPF записи этих доменов адреса хостов
отправителя присутствуют в явном виде.


-- 
Best wishes Victor Ustugov  mailto:vic...@corvax.kiev.ua
public GnuPG/PGP key:   https://victor.corvax.kiev.ua/corvax.asc
ICQ UIN: 371808614  JID: corvax_at...@jabber.corvax.kiev.ua
nic-handle: CRV-UANIC

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] CNAME Was: smart host и авторизация в качестве клиента

dawnshade wrote:
> я имел в виду ровно то что написал - download.microsoft.com не является
> полноценной зоной 3-го уровня, дальше они отдают на лоад балансинг и
> порнографию CDN и тот пляшет там как хочет, в десны долбится и
> так далее, важно понимать что download* с очень малой долей вероятности
> будет когда-нибудь MX (особенно с текущей политикой MS), как следствие
> им просто похрен что там будет далее.
> Ну и если у нас уже зашел срачъ за крупные компании, их отношение к
> стандартам и иже с ними, могу напомнить корпорацию бобра (aka googl) -
> которая не стесняясь впихивает в хело unqualified hostname (или IP, я
> уже запамятовал, Витя У, поправь, пжалста).

было у них такое в ноябре и декабре 2014 года.

у меня сохранилось 19 таких писем.

отличились всего 4 хоста:

mail-pd0-f193.google.com [209.85.192.193]
mail-pd0-f194.google.com [209.85.192.194]
mail-pd0-f195.google.com [209.85.192.195]
mail-pd0-f196.google.com [209.85.192.196]

и каждый из них использовал ровно по три разных helo, не являющихся FQDN.

например mail-pd0-f193.google.com [209.85.192.193] использовал pdbfp1,
pdev10 и pdjy10.

остальные сервера использовали такие же рандомные helo.

в чём тут логика - я так и не понял.


> И, да, работая сам в средней компании РФ мне приходится часто бить по
> рукам граждан, плюющих на RFC, но я один, а их дохрена.
>  
> 
> 
> Пятница, 17 июня 2016, 22:38 +03:00 от "Alexander Sheiko"
> :
> 
> 
> В письме от Птн, 17 Июн 2016, 22:29 George L. Yermulnik пишет:
> 
> > Где здесь "корень зоны" (если я правильно понял коллегу, то он тоже
> > имеет в виду $ORIGIN)?
> 
> В "формулировке автора" - CNAME здесь ссылается / указывает на
> корень зоны
> e3673.dspg.akamaiedge.net
> 
> А вот что он "имеет в виду" - я сам жду ответ.
> 
> -- 
> WBR, Alexander Sheiko
> 
> 
> ___
> Exim-users mailing list
> Exim-users@mailground.net <mailto:Exim-users@mailground.net>
> http://mailground.net/mailman/listinfo/exim-users
> 
> 
> 
> 
> _______
> Exim-users mailing list
> Exim-users@mailground.net
> http://mailground.net/mailman/listinfo/exim-users
> 


-- 
Best wishes Victor Ustugov  mailto:vic...@corvax.kiev.ua
public GnuPG/PGP key:   https://victor.corvax.kiev.ua/corvax.asc
ICQ UIN: 371808614  JID: corvax_at...@jabber.corvax.kiev.ua
nic-handle: CRV-UANIC

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] CNAME Was: smart host и авторизация в качестве клиента

Alexander Sheiko wrote:
> 
> В письме от Птн, 17 Июн 2016, 23:15 Victor Ustugov пишет:
> 
>> отличились всего 4 хоста:
>>
>> mail-pd0-f193.google.com [209.85.192.193]
>> mail-pd0-f194.google.com [209.85.192.194]
>> mail-pd0-f195.google.com [209.85.192.195]
>> mail-pd0-f196.google.com [209.85.192.196]
>>
>> и каждый из них использовал ровно по три разных helo, не являющихся FQDN.
>>
>> например mail-pd0-f193.google.com [209.85.192.193] использовал pdbfp1,
>> pdev10 и pdjy10.
>>
>> остальные сервера использовали такие же рандомные helo.
>>
>> в чём тут логика - я так и не понял.
> 
> Видится как просто незаконченная настройка нескольких хостов.

с рандомным helo?

> Только, на
> что это повлияло на практике? Вы фильтруете почту от Гугла по хело?

а что, гуглы достойны быть выше других?

> Делать на основании этого случая какие-то далеко идущие выводы вряд-ли стоит.

почему же?

несколько недель назад gmail.com упорно доставлял в фолдер Спам письма
от нескольких доменов, у которых не была прописана SPF запись.

после создания простейшей SPF записи "v=spf1 a mx ~all" доставка
нормализовалась.

и это при том, что в общем и целом SPF не является чем-то обязательным.

а вот аргумент SMTP команд HELO и EHLO вообще-то должен быть FQDN.

тем самым всё это показывает, что корпорациям начхать на всех. сами они
могут позволить себе не соблюдать RFC, но с других требуют даже то, чего
RFC в обязательном порядке не требуют.

я бы ещё понял, если бы они применили проверку best-guess SPF record.
тогда вопросов бы и не было.

-- 
Best wishes Victor Ustugov  mailto:vic...@corvax.kiev.ua
public GnuPG/PGP key:   https://victor.corvax.kiev.ua/corvax.asc
ICQ UIN: 371808614  JID: corvax_at...@jabber.corvax.kiev.ua
nic-handle: CRV-UANIC

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] CNAME Was: smart host и авторизация в качестве клиента

Alexander Sheiko wrote:
> 
> В письме от Птн, 17 Июн 2016, 23:45 Victor Ustugov пишет:
> 
>>> Видится как просто незаконченная настройка нескольких хостов.
>>
>> с рандомным helo?
> 
> Ну да. С основной массой их серверов такого же нет.

а что, четыре неосновных сервера они отдали на аутсорсинг студентам?

>> а что, гуглы достойны быть выше других?
> 
> Если мы фильтруем по хело, значит пытаемся таким образом вычислить релеи,
> где администратор, или не может указать правильные для прохождения почты
> настройки хело, или просто не понимает в этом.

а на вашу почтовую систему поступают письма только с рилеев, на которых
есть администраторы? если бы почта отправлялась только с почтовых
серверов, даже администрируемых неквалифицированными администраторами,
подавляющее число фильтров были бы не нужны.

фильтром по HELO я не пытаюсь ловить почту от почтовых систем. она туда
попадает крайне редко. те хосты google просто ярко отличились.

> Здесь же очевидно, что
> сервис легальный гугловский, по DNS. В этом смысле их релей не отличается
> от других их релеев с правильным хело в сессии.
> 
> Ну - накинули сколько то баллов. Кривое хело достаточно для попадания в спам?

за срабатывание большей части других фильтров баллы как раз и накидываются.
а helo не в виде FQDN вполне достаточно для доставки в карантин.

я ж не ловил именно письма от google. т. е. не делал фильтры,
ориентированные на них. они просто смогли попасться на фильтр,
срабатывания которого на их письмах я вообще никогда бы не ожидал.

и кто бы мог подумать, что для таких правильных специалистов, которые
тихо учат жизни ощутимую часть мира, нужно будет делать исключение из
простейшего фильтра по helo?

>> несколько недель назад gmail.com упорно доставлял в фолдер Спам письма
>> от нескольких доменов, у которых не была прописана SPF запись.
> 
> На тему попадания писем к ним в спам от совершенно нормальных релеев я
> постоянно сам возмущался. Это - их общая тенденция. А случай выше мне
> видится исключением "по разгильдяйству".

т. е. все должны закрывать глаза на разгильдяйство большого брата, а они
фильтруют что им там захотелось, даже если никакого разгильдяйства
нет... точку зрения я понял, спасибо.

-- 
Best wishes Victor Ustugov  mailto:vic...@corvax.kiev.ua
public GnuPG/PGP key:   https://victor.corvax.kiev.ua/corvax.asc
ICQ UIN: 371808614  JID: corvax_at...@jabber.corvax.kiev.ua
nic-handle: CRV-UANIC

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] CNAME Was: smart host и авторизация в качестве клиента