Re: [Exim-users] [exim-announce] Exim security release ahead

[dawnshade]

теперь отдуплились
 
===
  exim-4.94.2-1.el7
===
  Update ID : FEDORA-EPEL-2021-dad1996f63
    Release : Fedora EPEL 7
       Type : security
     Status : testing
     Issued : 2021-05-05 01:53:08
    Updated : 2021-05-06 14:48:24Description : This is new version of exim.
   Severity : Critical
updateinfo info done
  
>Четверг, 6 мая 2021, 15:47 +03:00 от dawnshade :
> 
>В епел еще не отдуплились по этим багам:
> 
>===
>  exim-4.94-2.el7
>===
>  Update ID : FEDORA-EPEL-2021-a650134f4f
>    Release : Fedora EPEL 7
>       Type : security
>     Status : stable
>     Issued : 2021-04-09 14:48:46
>    Updated : 2021-05-06 01:04:43       Bugs : 1942581 - exim: CNAME handling 
>can break TLS certificate verification
>            : 1942583 - exim: CNAME handling can break TLS certificate 
>verification [epel-all]
>Description : Fixed cname handling in TLS certificate verification
>   Severity : Moderate
>updateinfo info done
> 
>>Четверг, 6 мая 2021, 15:40 +03:00 от Viktor Cheburkin < v...@vc.org.ua >:
>> 
>>Hi!
>> 
>>>6 мая 2021 г., в 15:34, Victor Ustugov < vic...@corvax.kiev.ua > написал(а): 
>>> 
>>>Victor Ustugov wrote on 06.05.2021 02:07:
>>>  
>>>>фиксы багов полугодичной давности так или иначе запили почти все (может
>>>>epel'евцы ещё проснуться). по крайней мере речь идёт о пакетах для
>>>>свежий версий распространённых ОС.
>>>есть тут кто-то, у кого exim 4.94 (или более ранний) установлен на
>>>CentOS 7 из EPEL и кому нужен пакет exim 4.94.2?
>>>
>>>
>>>странно то, что и для Fedora и для EPEL в последнее время пакеты
>>>собирает один и тот же человек - Jaroslav Škarvada < jskar...@redhat.com >
>>>
>>>но при этом, судя по changes в spec, для Fedora rawhide он собрал пакет
>>>exim-4.94.2-1 ещё Tue May  4 2021 (хотя реально пакет появился на
>>>https://dl.fedoraproject.org/pub/fedora/linux/development/rawhide/Everything/source/tree/Packages/e/
>>>во второй половине следующего дня).
>>>
>>>а для EPEL последнее, что он собрал ещё в апреле - это exim-4.94-2.
>> 
>>Если что, у меня есть пакеты для RHEL/CentOS 6/7/8. Собирал под свои нужды. 
>>Для Fedora подходит от RHEL8 (может и от 7). В репах не только exim, но и 
>>другое:
>>http://rpms.vc.org.ua/  
>>>--
>>>Best wishes
>>>Victor Ustugov     mailto:vic...@corvax.kiev.ua
>>>Skype ID: corvax_nb   JID:  vic...@corvax.kiev.ua
>>>public GnuPG/PGP key:  https://victor.corvax.kiev.ua/corvax.asc
>>>
>>>
>>>___
>>>Exim-users mailing list
>>>Exim-users@mailground.net
>>>http://mailground.net/mailman/listinfo/exim-users
>>>  
>> 
>>-- 
>>Viktor Cheburkin
>>VC319-RIPE, VC1-UANIC
>>___
>>Exim-users mailing list
>>Exim-users@mailground.net
>>http://mailground.net/mailman/listinfo/exim-users
>>  
> 
> 
>--
>- -
>  
 
 
--
- -
 ___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] [exim-announce] Exim security release ahead

[dawnshade]

В епел еще не отдуплились по этим багам:
 
===
  exim-4.94-2.el7
===
  Update ID : FEDORA-EPEL-2021-a650134f4f
    Release : Fedora EPEL 7
       Type : security
     Status : stable
     Issued : 2021-04-09 14:48:46
    Updated : 2021-05-06 01:04:43       Bugs : 1942581 - exim: CNAME handling 
can break TLS certificate verification
            : 1942583 - exim: CNAME handling can break TLS certificate 
verification [epel-all]
Description : Fixed cname handling in TLS certificate verification
   Severity : Moderate
updateinfo info done
  
>Четверг, 6 мая 2021, 15:40 +03:00 от Viktor Cheburkin :
> 
>Hi!
> 
>>6 мая 2021 г., в 15:34, Victor Ustugov < vic...@corvax.kiev.ua > написал(а):  
>>Victor Ustugov wrote on 06.05.2021 02:07:
>>  
>>>фиксы багов полугодичной давности так или иначе запили почти все (может
>>>epel'евцы ещё проснуться). по крайней мере речь идёт о пакетах для
>>>свежий версий распространённых ОС.
>>есть тут кто-то, у кого exim 4.94 (или более ранний) установлен на
>>CentOS 7 из EPEL и кому нужен пакет exim 4.94.2?
>>
>>
>>странно то, что и для Fedora и для EPEL в последнее время пакеты
>>собирает один и тот же человек - Jaroslav Škarvada < jskar...@redhat.com >
>>
>>но при этом, судя по changes в spec, для Fedora rawhide он собрал пакет
>>exim-4.94.2-1 ещё Tue May  4 2021 (хотя реально пакет появился на
>>https://dl.fedoraproject.org/pub/fedora/linux/development/rawhide/Everything/source/tree/Packages/e/
>>во второй половине следующего дня).
>>
>>а для EPEL последнее, что он собрал ещё в апреле - это exim-4.94-2.
> 
>Если что, у меня есть пакеты для RHEL/CentOS 6/7/8. Собирал под свои нужды. 
>Для Fedora подходит от RHEL8 (может и от 7). В репах не только exim, но и 
>другое:
>http://rpms.vc.org.ua/  
>>--
>>Best wishes
>>Victor Ustugov     mailto:vic...@corvax.kiev.ua
>>Skype ID: corvax_nb   JID:  vic...@corvax.kiev.ua
>>public GnuPG/PGP key:  https://victor.corvax.kiev.ua/corvax.asc
>>
>>
>>___
>>Exim-users mailing list
>>Exim-users@mailground.net
>>http://mailground.net/mailman/listinfo/exim-users
>>  
> 
>-- 
>Viktor Cheburkin
>VC319-RIPE, VC1-UANIC
>___
>Exim-users mailing list
>Exim-users@mailground.net
>http://mailground.net/mailman/listinfo/exim-users
>  
 
 
--
- -
 ___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] совсем виртуальные пользователи и редирект

[dawnshade]

в lda бонусом идут sieve фильтры.
dovecot_lda:
        driver = accept
        local_parts= ...
        domains =  +local_domains
        transport = dovecot_lda_transport
 
dovecot_lda_transport:
  driver = pipe
  command = /usr/libexec/dovecot/deliver -d $local_part@$domain  -f 
$sender_address
  message_prefix =
  message_suffix =
  log_output
  delivery_date_add
  envelope_to_add
  return_path_add
  user = exim
  group = mail
  #mode = 0660
  temp_errors = 64 : 69 : 70: 71 : 72 : 73 : 74 : 75 : 78
 
прав там никаких нинадо курочить (по крайней мере в центоси)
  
>Среда, 30 сентября 2020, 18:01 +03:00 от Victor Sudakov :
> 
>dawnshade wrote:
>>
>> А чего ЛМТП не заменить на dovecot-lda, последний вроде умеет проверку.
>А черт его знает, наверное просто не нашёл хорошего howto по
>exim+dovecot, собирал по немногу отовсюду да сам додумывал.
>
>Если есть толковый best practice, с благодарностью приму ссылку.
>
>Опять же, при LMTP о правах на файловой системе думать не надо. А
>dovecot-lda поди придется делать setuid или setgid. В общем пошёл по
>простому пути за неимением грамотного наставления.
>
>
>--
>Victor Sudakov, VAS4-RIPE, VAS47-RIPN
>2:5005/49@fidonet  http://vas.tomsk.ru/
>
>___
>Exim-users mailing list
>Exim-users@mailground.net
>http://mailground.net/mailman/listinfo/exim-users
>  
 
 
--
- -
 ___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] совсем виртуальные пользователи и редирект

[dawnshade]

А чего ЛМТП не заменить на dovecot-lda, последний вроде умеет проверку.

  
>Среда, 30 сентября 2020, 16:12 +03:00 от Victor Sudakov :
> 
>George L. Yermulnik wrote:
>>
>> On Wed, 30 Sep 2020 at 17:53:00 (+0700), Victor Sudakov wrote:
>>
>> > А вот такие 2 условия, добавленные в acl_check_rcpt (контекст тоже 
>> > привожу),
>> > нормально выглядят или можно улучшить? А как бы их в одно логическое 
>> > выражение
>> > объединить, не подскажете?
>>
>> > # Accept mail for forwarded domains
>> > accept condition = 
>> > ${lookup{$local_part@$domain}lsearch{/etc/dovecot/aliases}{yes}}
>>
>> > # Accept valid recipient adresses in dovecot domains
>> > accept condition = 
>> > ${lookup{$local_part@$domain}lsearch{/etc/dovecot/users}{yes}}
>>
>> По сути эти оба стейтмента покрываются тем, который ниже, т.к. он
>> пропустит только домены из списков +local_domains и +relay_to_domains,
>
>Ну у меня dovecot-овские домены в отдельном списке +dovecot_domains, но
>не суть.
>
>> но не закончит, а передаст нижеследующим стейтментам, если они есть.
>
>Нижеследующих там только "require verify = recipient", а потом accept. И
>они мне не помогут отказать в приеме почты для несуществующих
>пользователей в виртуальных доменах, потому что по LMTP невозможно
>на ходу проверить, какие пользователи есть в dovecot, а каких нет.
>
>Т.е. теоретически можно было бы сделать какой-то callout в dovecot, но
>он у меня по LMTP не заработал. Поэтому вот так проверяю заранее, по
>базе пользователей dovecot.
>
>Хотел бы только понять синтаксис, как эти два условия объединить в ИЛИ.
>
>> Там где-то в конце блока acl_check_rcpt должен быть accept для всего,
>> что дошло до него. В него (или перед ним) можно (нужно?) добавить
>> проверку получателя, чтобы exim проверил его деливерабельность и выдал
>> отлуп, если получатель undeliverable.
>
>Не может он проверить деливерабельность по LMTP, в том и беда.
>--
>Victor Sudakov, VAS4-RIPE, VAS47-RIPN
>2:5005/49@fidonet  http://vas.tomsk.ru/
>
>___
>Exim-users mailing list
>Exim-users@mailground.net
>http://mailground.net/mailman/listinfo/exim-users
>  
 
 
--
- -
 ___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] совсем виртуальные пользователи и редирект

[dawnshade]

Да какие-то куски легаси, работает без них и хорошо.
Про SRS пишут местами что оно мертвое —  
https://bugs.exim.org/show_bug.cgi?id=1649
  
>Среда, 30 сентября 2020, 12:59 +03:00 от Victor Sudakov :
> 
>dawnshade wrote:
>>
>> Привет.
>> Ну алиасы точно так же работают с таким роутером перед довкотом:
>>  
>> user_aliases:
>>   driver = redirect
>>   allow_fail
>>   allow_defer
>>   data = ${lookup{$local_part@$domain}lsearch{/etc/exim/aliases}}
>>   user = exim
>>   group = mail
>>   file_transport = address_file
>>   pipe_transport = address_pipe
>
>О, замечательно! А зачем тут user, group, pipe_transport и прочие
>параметры, они точно нужны?
>
>Я вот сейчас написал просто перед довкотом:
>
># Redirect virtual users
>virtual_redirect:
>  driver = redirect
>  data = ${lookup{$local_part@$domain}lsearch{/etc/dovecot/aliases}}
>
>
>и оно вроде работает, по крайней мере "exim -bt" ожидаемо их резолвит
>куда надо (реальную доставку не успел попробовать).
>
>>  
>> проблема в том, что очередь из-за этого забивается. тк едет весь 
>> dkim/spf/etc и удаленка не принимает письмо
>
>Ну это проблема с форвардами всегда такая была со времен появления SPF, тут
>только SRS спасет IMHO. Интересно, можно ли прикрутить SRS к redirect-у.
>
>--
>Victor Sudakov, VAS4-RIPE, VAS47-RIPN
>2:5005/49@fidonet  http://vas.tomsk.ru/
>
>___
>Exim-users mailing list
>Exim-users@mailground.net
>http://mailground.net/mailman/listinfo/exim-users
>  
 
 
--
- -
 ___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] совсем виртуальные пользователи и редирект

[dawnshade]

Привет.
Ну алиасы точно так же работают с таким роутером перед довкотом:
 
user_aliases:
  driver = redirect
  allow_fail
  allow_defer
  data = ${lookup{$local_part@$domain}lsearch{/etc/exim/aliases}}
  user = exim
  group = mail
  file_transport = address_file
  pipe_transport = address_pipe
 
проблема в том, что очередь из-за этого забивается. тк едет весь dkim/spf/etc и 
удаленка не принимает письмо 
>Среда, 30 сентября 2020, 10:29 +03:00 от Victor Sudakov :
> 
>Коллеги,
>
>Переношу одну legacy почтовую систему на exim+dovecot. И еще прошу помощи.
>
>Работает доставка в dovecot (см. ниже). Но ещё надо письма некоторым
>адресатам из +dovecot_domains отправлять не в dovecot, а форвардить на
>другие почтовые сервера согласно списку:
>
>pup...@mydomain.ru :  pup...@gmail.com
>vas...@mydomain.com :  pup...@gmail.com
>
>При этом mydomain.ru и mydomain.com входят в +dovecot_domains.
>
>Можно как-то перехватить роутинг до срабатывания router dovecot и
>отправить в другой router и transport, который отправит почту для
>pup...@mydomain.ru по MX на pup...@gmail.com?
>
>Добавлять +dovecot_domains в local_domains не хотелось бы, если без
>этого можно обойтись. Т.е. хотелось бы устроить нечто вроде нелокальных 
>/etc/aliases.
>
># фрагмент текущей конфигурации
>
>begin routers
>dovecot:
>  driver = accept
>  domains = +dovecot_domains
>  transport = dovecot_lmtp
>
>[...]
>
>begin transports
>dovecot_lmtp:
>  driver = lmtp
>  socket = /var/run/dovecot/lmtp
>
>
>
>--
>Victor Sudakov, VAS4-RIPE, VAS47-RIPN
>2:5005/49@fidonet  http://vas.tomsk.ru/
>
>___
>Exim-users mailing list
>Exim-users@mailground.net
>http://mailground.net/mailman/listinfo/exim-users
> 
 
 
--
- -
 ___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] dovecot users - lookup and reject an invalid sender

[dawnshade]

require verify        = sender

  
>Вторник, 29 сентября 2020, 12:54 +03:00 от Victor Sudakov :
> 
>Коллеги,
>
>Помогите пожалуйста с лукапом.
>
>userdb dovecot находится в файле /etc/dovecot/users (там сразу
>пользователи хранятся в виде user@domain). Чтобы не принимать почту на
>несуществующих пользователей, сделал такой ACL и поставил в
>acl_check_rcpt после "require message = relay not permitted domains ..."
>
># Accept valid (and reject invalid) recipient adresses in dovecot domains
>  accept domains = +dovecot_domains
>endpass
>message = Recipient unknown
>condition = ${lookup{$local_part@$domain}lsearch{/etc/dovecot/users}{yes}}
>
>Потестировал - вроде работает. А какой бы теперь еще lookup сделать (и
>главное в какое место какого ACL его вставить), чтобы если кто-то извне
>будет отправлять почту с несуществующего ящика, но с домена из
>+dovecot_domains, чтобы был reject сразу?
>
>--
>Victor Sudakov, VAS4-RIPE, VAS47-RIPN
>2:5005/49@fidonet  http://vas.tomsk.ru/
>
>___
>Exim-users mailing list
>Exim-users@mailground.net
>http://mailground.net/mailman/listinfo/exim-users
>  
 
 
--
- -
 ___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] Kaspersky Security 8.0 for Linux Mail Server

[dawnshade]

Там вот эти изменения из 4,93 поломали
 
JH/45 local_scan API: documented the current smtp_printf() call. This changed
  for version 4.90 - adding a "more data" boolean to the arguments.
  Bumped the ABI version number also, this having been missed previously;
  release versions 4.90 to 4.92.3 inclusive were effectively broken in
  respect of usage of smtp_printf() by either local_scan code or libraries
  accessed via the ${dlfunc } expansion item. Both will need coding
  adjustment for any calls to smtp_printf() to match the new function
  signature; a FALSE value for the new argument is always safe.
  
>Среда, 29 июля 2020, 14:00 +03:00 от Viktor Cheburkin :
> 
>Hi!
> 
>Подозреваю, что exim должен быть собран с
> 
>CFLAGS_DYNAMIC+=-Xlinker --export-dynamic
>EXTRALIBS_EXIM+=-Xlinker --export-dynamic
> 
>>29 июля 2020 г., в 12:49, Alexander Titaev < t...@irk.ru > написал(а):  
>>Здравствуйте, Exim.
>>
>>Кто нибудь имел дело с этим чудом?
>>Имею в конфиге вот такую секцию
>>
>>923 acl_check_content:
>>924 #klms-filter-begin
>>925 #   warn    set acl_m_kav4lms_answer = 
>>${dlfunc{/opt/kaspersky/klms/lib64/libklms-exim.so}{scan}{${spool_directory}/input}}
>>926 warn    set acl_m_kav4lms_answer = 
>>${dlfunc{/opt/kaspersky/klms/lib64/libklms-exim.so}{scan}{/var/spool/exim/input/}}
>>927 #    warn    set acl_m_kav4lms_answer = 
>>${dlfunc{/opt/kaspersky/klms/lib64/libklms-exim.so}{scan}{${spool_directory}/input/${substr
>> {5}{1}{$message_id
>>928 set acl_m_klms_result_code = ${if match 
>>{$acl_m_kav4lms_answer}{^([0-9]\{3\}) .*}{$1}{}}
>>929 set acl_m_klms_result_message = ${if match 
>>{$acl_m_kav4lms_answer}{^[0-9]\{3\} ([^\\(]+)( \\(.+\\))?\$}{$1}{}}
>>930 set acl_m_klms_found_threats =  ${if match 
>>{$acl_m_kav4lms_answer}{^[0-9]\{3\} [^\\(]+ \\(threats found: (.+)\\)\$}{$1}  
>>   {}}
>>931 defer   condition    = ${if match 
>>{$acl_m_klms_result_code}{^[245]}{no}{yes}}
>>932 log_message  = LMS check failed,  unexpected answer: 
>>$acl_m_kav4lms_answer
>>933 message  = Temporary local problem - please try later
>>934 defer   condition    = ${if eq 
>>{${substr_0_1:$acl_m_klms_result_code}}{4}{yes}{no}}
>>935 log_message  = LMS check defer: $acl_m_kav4lms_answer
>>936 message  = $acl_m_klms_result_code 
>>$acl_m_klms_result_message
>>937 deny    condition    = ${if eq 
>>{${substr_0_1:$acl_m_klms_result_code}}{5}{yes}{no}}
>>938 log_message  = LMS check reject: $acl_m_kav4lms_answer
>>939 message  = $acl_m_klms_result_code 
>>$acl_m_klms_result_message
>>940 warn    condition    = ${if eq 
>>{${substr_0_1:$acl_m_klms_result_code}}{2}{yes}{no}}
>>941 logwrite = LMS check accept: $acl_m_kav4lms_answer
>>942 #klms-filter-end
>>
>>запуск
>>exim -C ./exim.conf.klms  -bh 127.0.0.1 < tt.msg
>>заканчивается
>>  
>using ACL "acl_check_content"
>processing "warn" (./exim.conf.klms 926) 
>>exim: symbol lookup error: /opt/kaspersky/klms/lib64/libklms-exim.so: 
>>undefined symbol: string_copy
>>
>>если выкрутить логи каспера в debug то видно что идет общение с 
>>unix:/var/run/klms/klms_scanner_sock
>>
>>--
>>С уважением,
>>Alexander   mailto:t...@irk.ru
>>
>>
>>___
>>Exim-users mailing list
>>Exim-users@mailground.net
>>http://mailground.net/mailman/listinfo/exim-users
>>  
> 
>-- 
>Victor Cheburkin
>VC319-RIPE, VC1-UANIC
>___
>Exim-users mailing list
>Exim-users@mailground.net
>http://mailground.net/mailman/listinfo/exim-users
>  
 
 
--
- -
 ___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] Kaspersky Security 8.0 for Linux Mail Server

[dawnshade]

Попросите прайват фикс в саппорте, известная проблема. Либо могу позже приватно 
выслать. Ща не у компа

Среда, 29 июля 2020, 12:51 +03:00 от Alexander Titaev :
>Здравствуйте, Exim.
>
>Кто нибудь имел дело с этим чудом?
>Имею в конфиге вот такую секцию
>
> 923 acl_check_content:
> 924 #klms-filter-begin
> 925 #   warnset acl_m_kav4lms_answer = 
>${dlfunc{/opt/kaspersky/klms/lib64/libklms-exim.so}{scan}{${spool_directory}/input}}
> 926 warnset acl_m_kav4lms_answer = 
>${dlfunc{/opt/kaspersky/klms/lib64/libklms-exim.so}{scan}{/var/spool/exim/input/}}
> 927 #warnset acl_m_kav4lms_answer = 
>${dlfunc{/opt/kaspersky/klms/lib64/libklms-exim.so}{scan}{${spool_directory}/input/${substr
> {5}{1}{$message_id
> 928 set acl_m_klms_result_code = ${if match 
>{$acl_m_kav4lms_answer}{^([0-9]\{3\}) .*}{$1}{}}
> 929 set acl_m_klms_result_message = ${if match 
>{$acl_m_kav4lms_answer}{^[0-9]\{3\} ([^\\(]+)( \\(.+\\))?\$}{$1}{}}
> 930 set acl_m_klms_found_threats =  ${if match 
>{$acl_m_kav4lms_answer}{^[0-9]\{3\} [^\\(]+ \\(threats found: (.+)\\)\$}{$1}   
>  {}}
> 931 defer   condition= ${if match 
>{$acl_m_klms_result_code}{^[245]}{no}{yes}}
> 932 log_message  = LMS check failed,  unexpected answer: 
>$acl_m_kav4lms_answer
> 933 message  = Temporary local problem - please try later
> 934 defer   condition= ${if eq 
>{${substr_0_1:$acl_m_klms_result_code}}{4}{yes}{no}}
> 935 log_message  = LMS check defer: $acl_m_kav4lms_answer
> 936 message  = $acl_m_klms_result_code 
>$acl_m_klms_result_message
> 937 denycondition= ${if eq 
>{${substr_0_1:$acl_m_klms_result_code}}{5}{yes}{no}}
> 938 log_message  = LMS check reject: $acl_m_kav4lms_answer
> 939 message  = $acl_m_klms_result_code 
>$acl_m_klms_result_message
> 940 warncondition= ${if eq 
>{${substr_0_1:$acl_m_klms_result_code}}{2}{yes}{no}}
> 941 logwrite = LMS check accept: $acl_m_kav4lms_answer
> 942 #klms-filter-end
>
> запуск
> exim -C ./exim.conf.klms  -bh 127.0.0.1 < tt.msg
> заканчивается
>
> >>> using ACL "acl_check_content"
>>>> processing "warn" (./exim.conf.klms 926)
>exim: symbol lookup error: /opt/kaspersky/klms/lib64/libklms-exim.so: 
>undefined symbol: string_copy
>
>если выкрутить логи каспера в debug то видно что идет общение с 
>unix:/var/run/klms/klms_scanner_sock
>
>-- 
>С уважением,
> Alexander  mailto:t...@irk.ru
>
>
>___
>Exim-users mailing list
>Exim-users@mailground.net
>http://mailground.net/mailman/listinfo/exim-users
>


-- 
dawnshade
___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] max_received_linelength

[dawnshade]

Так настройте такую же длину как в ыксчендже. Или там какое-то более «умное» 
определение таких инвалидов?

  
>Среда, 22 июля 2020, 15:32 +03:00 от Mikhail Golub :
> 
>
>
>On 22.07.2020 14:45, Viktor Cheburkin wrote:
>> Hi!
>>>
>>> Добавил правило:
>>> warn condition = ${if >{$max_received_linelength}{998}}
>>>
>>> За час три алерта прилетело, что длина строки больше 998 символов.
>>>
>>> Вопрос. Какую разумно приемлемая длину строки можно указать?
>>
>> Никакую. Сами же пишете про 39к... Вообще таких писателей довольно
>> много, так что не советую, если нет задачи "всех пофильтровать"...
>Если бы Exchange "переваривал" такие письма, а не выдавал "554 5.6.0
>Invalid message content" то и вопроса бы не возникло.
>
>
>
>___
>Exim-users mailing list
>Exim-users@mailground.net
>http://mailground.net/mailman/listinfo/exim-users
>  
 
 
--
- -
 ___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] offtop spam policy

[dawnshade]

С групповыми сложнее, но в ISP специфике такого обычно нет.


>Четверг, 12 сентября 2019, 15:13 +03:00 от Alexander Titaev :
>
>Здравствуйте, dawnshade.
>
>Вы писали 12 сентября 2019 г., 20:03:00:
>
>> привет.
>> у меня сделано так - как только включается какой-то форвардиинг на внешку 
>> (его пользователи могут включить через ЦУ самописный ISP), включается 
>> реджект по схеме 1.
>> работает схема нечто среднее между 1 2 - по дефолту стоит реджект, 
>> пользователь сам может выбрать сохранять спам, но как только форвард, сразу 
>> реджект.
>
>а если это групповой алиас, включающий в себя внешний адрес?
>
>-- 
>С уважением,
> Alexander  mailto:t...@irk.ru
>


-- 
dawnshade
___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] offtop spam policy

[dawnshade]

привет.
у меня сделано так - как только включается какой-то форвардиинг на внешку (его 
пользователи могут включить через ЦУ самописный ISP), включается реджект по 
схеме 1.
работает схема нечто среднее между 1 2 - по дефолту стоит реджект, пользователь 
сам может выбрать сохранять спам, но как только форвард, сразу реджект.


>Четверг, 12 сентября 2019, 14:31 +03:00 от Alexander Titaev :
>
>Здравствуйте, Exim.
>
>Гайзы, сейчас в разных подшефных конторах используется две схемы работы со 
>спамом
>1) все что выше определенного порога отбивается
>2) принимается все. Письма, набравшие более определенного порога, складываются 
>посредством sieve в папку spam
>
>
>минус первой схемы - есть шанс ложного срабатывания и отбоя нужной почты
>
>
>минус  второй  схемы,  через  алиасы/форварды  спам  утекает на всякий 
>гугл/майлру, где его успешно режектят забивая
>локальную  очередь.  Выжирается  квота  (несмотря  на принудительную чистку 
>spam and trash). Необходимость использования
>imap, необходимость объяснения о важности подписки и регулярной проверки spam.
>
>как у вас с этим?
>
>
>-- 
>С уважением,
> Alexander  mailto:t...@irk.ru
>
>
>___
>Exim-users mailing list
>Exim-users@mailground.net
>http://mailground.net/mailman/listinfo/exim-users
>


-- 
dawnshade
___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] Почту не принимать, но принимать.

[dawnshade]

control = fakereject/ < message >
This control is permitted only for the MAIL, RCPT, and DATA ACLs, in other 
words, only when an SMTP message is being received. If Exim accepts the 
message, instead the final 250 response, a 550 rejection message is sent. 
However, Exim proceeds to deliver the message as normal. The control applies 
only to the current message, not to any subsequent ones that may be received in 
the same SMTP connection.
подойдет?


>Воскресенье, 23 июня 2019, 21:55 +03:00 от George L. Yermulnik 
>:
>
>Hello!
>
>On Sun, 23 Jun 2019 at 23:23:30 (+0700), Victor Sudakov wrote:
>
>> Коллеги,
>> Есть локальный пользователь pupkin, как бы сделать чтобы 
>
>> 1. Почта на pupkin@mydomain не принималась (:fail:), но при этом
>
>> 2. Почта на webmaster@mydomain поступала в ящик этому самому pupkin, то
>> есть я же не могу написать в aliases
>
>> pupkin :fail: Invalid mailbox
>> webmaster: pupkin
>
>> Проблема курицы и яйца какая-то.
>
>А фейлить pupkin@mydomain на этапе acl_smtp_rcpt не проходит? В смысле
>делать это через acl, а не через aliases. Или нужно фейлить почту и от
>локальных пользователей? Если второе, то с system_filter можно
>поиграться.
>
>-- 
>George L. Yermulnik
>[YZ-RIPE]
>
>___
>Exim-users mailing list
>Exim-users@mailground.net
>http://mailground.net/mailman/listinfo/exim-users
>


-- 
dawnshade
___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] База данных плохих контрольных сумм файлов

[dawnshade]

я просто еще раз процитирую то что уже писал

" Эта база и называется антивирус и бесплатно вам ее врядли кто-то  будет  
наполнять"


>Пятница, 16 марта 2018, 13:10 +03:00 от Mikhail Golub <g...@gmn.org.ua>:
>
>Вот поэтому и спросил ... Может есть варианты.
>А это одна их попавшихся ссылок при поиске.
>
>16.03.2018 12:06, dawnshade пишет:
>> собственно на этом можно закончить:
>> 
>> "If you are planning on implementing or automating the use of this 
>> service in any free or open software, application or host, PLEASE let us 
>> know in advance. We would like to adequately plan for capacity and make 
>> sure that we can handle the additional load you may generate."
>> 
>> это значит, что любому кто пришел с встраиванием к себе в систему они 
>> выкатят "платите N*K шекелей". а если не пришел и спалили - тубо бан. 
>> проходили уже.
>> вы серьезно думаете, что людям которые публикуют графики 
>> ( http://www.team-cymru.org/graphs.html ) с ботнет трафиком в пике 1 Мб 
>> можно что-то доверить, кроме локалхоста?
>> вы считаете что можно доверять людям, которые в 2018 году советуют 
>> статьи "securing bind" от 2012 года в качестве комбинации авторитарного 
>> и рекурсивного сервера all-in-one? - 
>>  http://www.cymru.com/Documents/secure-bind-template.html
>> 
>> я дальше даже не буду перчислять
>> 
>> 
>> Пятница, 16 марта 2018, 12:57 +03:00 от Mikhail Golub < g...@gmn.org.ua 
>> >:
>> 
>> Вполне серьезно.
>> Есть такой проект -  http://www.team-cymru.org/MHR.html
>> 
>> А ПК пользователей патченные конечно.
>> 
>> 
>> 16.03.2018 11:26, dawnshade пишет:
>>  > Вы сейчас серьезно, да?
>>  > Эта база и называется антивирус и бесплатно вам ее врядли кто-то
>> будет
>>  > наполнять - см пример clamav.
>>  > Помимо традиционных баз на диске антивирусы (ну большинство уже)
>> ходят в
>>  > онлайн базу, проверяя именно так как вы написали - свертки от
>> файлов,
>>  > если вы им явно этого не запретили. Помимо облачной базы у
>> нормальных
>>  > антивирусов есть проактивка и парсинг на предмет типичных
>> сплойтов, что
>>  > мы и видим на странице VT в методах срабатывания Generic/Heur/etc.
>>  > Ну и если не говорить о том что это сплоит 2017 года, который должен
>>  > быть пропатчен на клиентских машинах давно.
>> 
>> 
>> ___
>> Exim-users mailing list
>>  Exim-users@mailground.net <mailto:Exim-users@mailground.net>
>>  http://mailground.net/mailman/listinfo/exim-users
>> 
>> 
>> 
>> 
>> 
>> 
>> ___
>> Exim-users mailing list
>>  Exim-users@mailground.net
>>  http://mailground.net/mailman/listinfo/exim-users
>> 
>
>
>___
>Exim-users mailing list
>Exim-users@mailground.net
>http://mailground.net/mailman/listinfo/exim-users
>



___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] База данных плохих контрольных сумм файлов

[dawnshade]

Вы сейчас серьезно, да?
Эта база и называется антивирус и бесплатно вам ее врядли кто-то будет 
наполнять - см пример clamav.
Помимо традиционных баз на диске антивирусы (ну большинство уже) ходят в онлайн 
базу, проверяя именно так как вы написали - свертки от файлов, если вы им явно 
этого не запретили. Помимо облачной базы у нормальных антивирусов есть 
проактивка и парсинг на предмет типичных сплойтов, что мы и видим на странице 
VT в методах срабатывания Generic/Heur/etc.
Ну и если не говорить о том что это сплоит 2017 года, который должен быть 
пропатчен на клиентских машинах давно.


>Пятница, 16 марта 2018, 12:15 +03:00 от Mikhail Golub :
>
>Доброго времени суток.
>
>Не встречалась ли кому в свободном доступе онлайн база сигнатур, 
>например sha256, подозрительных файлов?
>
>Например, пришел по почте вордовский документ.
>SHA256 (Updated SOA.doc) = 
>15edeb492b2d69af181c4f07b4634bb4337126ab1ea72c83e26b7c94d5577f4c
>
>Я по sha256 проверяю и вижу:
>https://www.virustotal.com/ru/file/15edeb492b2d69af181c4f07b4634bb4337126ab1ea72c83e26b7c94d5577f4c/analysis/
>
>Файл для анализа кто-то загружал уже раньше, но с другим именем.
>А контрольная сумма та же.
>
>Было бы не плохо анализировать DOC и сравнивать с некой базой.
>
>P.S. Не говорите только, что антивирус в помощь :)
>На момент попадания файла ко мне вирус детектили мало антивирусов.
>А NOD32 вообще "профукал".
>
>
>___
>Exim-users mailing list
>Exim-users@mailground.net
>http://mailground.net/mailman/listinfo/exim-users
>



___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] CNAME Was: smart host и авторизация в качестве клиента

[dawnshade]

это не зона download.microsoft.com, а просто CNAME в зоне microsoftcom
здесь нет домена 3го уровня


>
>
>В письме от Птн, 17 Июн 2016, 20:29 Dmitry Bogun пишет:
>
>> Это черезвычайно плохая мысль делать что-либо CNAME'ом на корень зоны.
>
>Расскажите это администраторам крупнейших сервисов:
>
>host download.microsoft.com
>download.microsoft.com is an alias for download.microsoft.com.nsatc.net.
>download.microsoft.com.nsatc.net is an alias for
>2-01-4ca6-0001.cdx.cedexis.net.
>2-01-4ca6-0001.cdx.cedexis.net is an alias for main.dl.ms.akadns.net.
>main.dl.ms.akadns.net is an alias for download.microsoft.com.edgekey.net.
>download.microsoft.com.edgekey.net is an alias for e3673.dspg.akamaiedge.net.
>e3673.dspg.akamaiedge.net has address 104.122.240.61
>e3673.dspg.akamaiedge.net has IPv6 address 2a02:26f0:10e:19c::e59
>e3673.dspg.akamaiedge.net has IPv6 address 2a02:26f0:10e:19b::e59
>
>-- 
>WBR, Alexander Sheiko
>
>
>___
>Exim-users mailing list
>Exim-users@mailground.net
>http://mailground.net/mailman/listinfo/exim-users
>

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] smart host и авторизация в качестве клиента

[dawnshade]

RFC821 - явно запрещает CNAME "A canonicalized name either
identifies a host directly or is an MX name; it cannot be a
CNAME." 2821 - уже нет (как и 5321 пока драфт), только накладывая ограничение, 
что резолвиться должны в один хоп

"Only resolvable, fully-qualified, domain names (FQDNs) are permitted
when domain names are used in SMTP. In other words, names that can
be resolved to MX RRs or A RRs (as discussed in section 5) are
permitted, as are CNAME RRs whose targets can be resolved, in turn,
to MX or A RRs."
в любом случае есть ненулевая вероятность, кто-то забудет этот пункт при 
перенастройке или вообще не будет знать что cname должен развертываться сразу, 
проще не использовать.
ну и абсолютно не нулевое кол-во мылеров есть, которые считают 821 истиной в 
последней инстанции.

>Четверг, 16 июня 2016, 11:38 +03:00 от Max Kostikov :
>
>Добрый день!
>
>Я что-то тоже не припоминаю никаких номинальных ограничений.
>Да и на практике CNAME в MX работают без видимых проблем.
>
>George L. Yermulnik писал 2016-06-16 09:19:
>>> Единственный "запрет" на CNAME в отношении почты, который я помню - 
>>> для MX записей. И то там не запрет, а "особое" поведение в случае 
>>> CNAME.
>> 
>> Про запрет знаю, а вот про "особое поведение" - не слышал. Ткнёте
>> пальцем в соответствующее RFC?
>
>
>-- 
>Best regards,
>Max Kostikov
>
>BBM: 24CA5DF8 |  https://kostikov.co
>
>___
>Exim-users mailing list
>Exim-users@mailground.net
>http://mailground.net/mailman/listinfo/exim-users
>

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] Антивирус под FreeBSD

[dawnshade]

жжоте батенька. даешь кластер из winxp

>Четверг, 24 марта 2016, 11:38 +03:00 от "Alexander Sheiko" :
>
>
>В письме от Чтв, 24 Мар 2016, 09:47 Golub Mikhail пишет:
>
>> Отправляешь в лабораторию им на анализ - через три дня ответ "знаем, что
>> вирус, добавлен уже в базы".
>
>> Сейчас (по причинам, от меня не зависящим) приходится отказаться от DrWeb.
>> Бесплатная альтернатива - ClamAV. Но дырявая ... :(
>
>Есть старый красивый вариант решения подобной проблемы - транзитный
>виндовый релей (хоть на XP) с любым антивирусом, имеющим опцию перехвата
>трафика "исходящих писем" (современные - почти все). Нужно только решить
>вопрос отказоустойчивости, если он внезапно проглючит.
>
>-- 
>WBR, Alexander Sheiko
>
>
>___
>Exim-users mailing list
>Exim-users@mailground.net
>http://mailground.net/mailman/listinfo/exim-users
>

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] Антивирус под FreeBSD

[dawnshade]

http://www.kaspersky.ru/business-security/linux-mail-server   ?

слово лынукс можно из названия вычеркнуть, это маркетинговый буллшыт. работает 
и под фряхой.

>Четверг, 24 марта 2016, 10:47 +03:00 от Golub Mikhail :
>
>Доброго времени суток.
>
>Посоветуйте, пожалуйста, нормально работающий антивирус под FreeBSD и 
>который нормально подключается к Exim.
>
>Много лет использовался DrWeb. И вопросов к нему у меня небыло.
>Но в последнее время он совсем плохой стал ... пропускает вирусы.
>Отправляешь в лабораторию им на анализ - через три дня ответ "знаем, что 
>вирус, добавлен уже в базы".
>Абыдно, да :)
>А мой адрес postmaster@, похоже, вирусописатели подписали на вирусы :)
>В течении года, наверное, мне приходили свежие вирусы, которые на 
>virustotal или не детектились вообще, или определялись только парой 
>антивирусов.
>
>Сейчас (по причинам, от меня не зависящим) приходится отказаться от DrWeb.
>Бесплатная альтернатива - ClamAV. Но дырявая ... :(
>Работал последовательно перед DrWeb в течении месяца - все вирусы 
>пропустил. Кроме eicar :)
>
>
>-- 
>Голуб Михаил
>
>___
>Exim-users mailing list
>Exim-users@mailground.net
>http://mailground.net/mailman/listinfo/exim-users
>

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] 4.86_2: Suggested action: use keep_environment and add_environment

[dawnshade]

это секурити патч, вычищающий весь ENV
для уборки варнингов достаточно 


keep_environment = 
add_environment =

в main дописать. сломается у вас что-то при этом или нет, сказать сложно. в 
changelog есть примеры чо ту да писать, если пользуются внешние вызовы какие-то 
в конфиге

>Четверг,  3 марта 2016, 11:12 +03:00 от Golub Mikhail :
>
>Доброе утро.
>
>Обновил на тестовом хосте Exim до 4.86_2.
>В логе появились записи:
>2016-03-03 09:57:16 WARNING: purging the environment.
>  Suggested action: use keep_environment and add_environment.
>
>Google не находит ничего внятного.
>Кто-то обновлялся?
>
>
>-- 
>Голуб Михаил
>
>___
>Exim-users mailing list
>Exim-users@mailground.net
>http://mailground.net/mailman/listinfo/exim-users
>

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] signal 11

[dawnshade]

 вроде да

kern.coredump во что стоит?

Пятница, 21 августа 2015, 13:37 +03:00 от Golub Mikhail eximl...@gmn.org.ua:

Exim из порта FreeBSD.
Нужна опция DEBUG?


 -Original Message-
 From: Exim-users [mailto:exim-users-boun...@mailground.net] On Behalf
 Of Golub Mikhail
 Sent: Friday, August 21, 2015 1:32 PM
 To: Exim MTA на русском
 Subject: Re: [Exim-users] signal 11
 
 Не долго ждать пришлось …
 
 kern.corefile: /tmp/%N.core
 kern.sugid_coredump: 1
 
 Нету core в /tmp :(
 
 
 
 From: Exim-users [mailto:exim-users-boun...@mailground.net] On Behalf
 Of dawnshade
 Sent: Friday, August 21, 2015 11:52 AM
 To: Exim MTA на русском
 Subject: Re: [Exim-users] signal 11
 
 
 sysctl kern.corefile=/tmp/%N.core
 sysctl kern.sugid_coredump=1
 
 как упадет
 
 gdb -c /tmp/exim.core /usr/local/sbin/exim
 bt
 
 экзим скомпилять лучше нестрипанный, иначе хер чо покажет
 
 Пятница, 21 августа 2015, 11:39 +03:00 от Golub Mikhail
  eximl...@gmn.org.ua :
 Редко, но бывает такой глюк (после перехода вчера на 4.86 - первый
 раз).
 Вполне нормальное письмо во внешний мир.
 И ошибка:
 адрес_получателя: smtp transport process returned non-zero status
 0x000b: terminated by signal 11
 
 В логе:
 1ZShVu-0003Ip-0p Spool file 1ZSLSq-0005X2-AI-D not found
 
 exim -M 1ZShVu-0003Ip-0p - письмо ушло.
 
 
 
  -Original Message-
  From: Exim-users [mailto:exim-users-boun...@mailground.net] On Behalf
  Of Golub Mikhail
  Sent: Thursday, August 20, 2015 4:18 PM
  To:  exim-users@mailground.net
  Subject: Re: [Exim-users] signal 11
 
   -Original Message-
   From: Exim-users [mailto:exim-users-boun...@mailground.net] On
 Behalf
   Of  l...@lena.kiev.ua
   Sent: Thursday, August 20, 2015 4:12 PM
   To:  exim-users@mailground.net
   Subject: [Exim-users] signal 11
  
дампов и корок нет. выб поглядели ту кору, где оно падает, этож не
   сложно
  
   По умолчанию при крэше exim не сохраняется coredump.
   Недавно в англоязычной exim-users были жалобы на signal 11:
  
  https://lists.exim.org/lurker/message/20150816.204206.150bc9eb.en.html
  
  https://lists.exim.org/lurker/message/20150817.194612.40c782a6.en.html
 
  Спасибо, почитаем.
 
  
Переходил ли кто на 4.86?
  
   3 недели назад, signal 11 в mainlog нет, но трафик маленький. FreeBSD
 6
   i386.
  
   А сообщения об ошибках certificate verification в логе мне не мешают.
   Это только предупреждения, письма проходят нормально.
   В FreeBSD если exim использует openssl, то количество таких
  сообщений
   можно уменьшить, установив порт ca_root_nss (если openssl не из
   портов, а из
   base, то make config поставить галочку add symlink to
  /etc/ssl/cert.pem).
 
  Да, порт ca_root_nss установлен, но без этой опции. Добавил.
 
  
   ___
   Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users
 
  ___
  Exim-users mailing list
   Exim-users@mailground.net
   http://mailground.net/mailman/listinfo/exim-users
 
 ___
 Exim-users mailing list
  Exim-users@mailground.net
  http://mailground.net/mailman/listinfo/exim-users
 
 ___
 Exim-users mailing list
  Exim-users@mailground.net
  http://mailground.net/mailman/listinfo/exim-users

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users


___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] signal 11

[dawnshade]

походу тож самое что и 1671. а бинарь таки пострипался


Пятница, 21 августа 2015, 15:06 +03:00 от Golub Mikhail eximl...@gmn.org.ua:

Вот.

Core was generated by `exim'.
Program terminated with signal 11, Segmentation fault.
Reading symbols from /lib/libcrypt.so.5...(no debugging symbols found)...done.
Loaded symbols for /lib/libcrypt.so.5
Reading symbols from /lib/libm.so.5...(no debugging symbols found)...done.
Loaded symbols for /lib/libm.so.5
Reading symbols from /lib/libutil.so.9...(no debugging symbols found)...done.
Loaded symbols for /lib/libutil.so.9
Reading symbols from /usr/local/lib/libiconv.so.2...(no debugging symbols 
found)...done.
Loaded symbols for /usr/local/lib/libiconv.so.2
Reading symbols from /usr/local/lib/libspf2.so.2...(no debugging symbols 
found)...done.
Loaded symbols for /usr/local/lib/libspf2.so.2
Reading symbols from /lib/libthr.so.3...(no debugging symbols found)...done.
Loaded symbols for /lib/libthr.so.3
Reading symbols from /usr/local/lib/libsrs_alt.so.1...(no debugging symbols 
found)...done.
Loaded symbols for /usr/local/lib/libsrs_alt.so.1
Reading symbols from /usr/local/lib/mysql/libmysqlclient.so.18...(no debugging 
symbols found)...done.
Loaded symbols for /usr/local/lib/mysql/libmysqlclient.so.18
Reading symbols from /usr/local/lib/liblber-2.4.so.2...(no debugging symbols 
found)...done.
Loaded symbols for /usr/local/lib/liblber-2.4.so.2
Reading symbols from /usr/local/lib/libldap-2.4.so.2...(no debugging symbols 
found)...done.
Loaded symbols for /usr/local/lib/libldap-2.4.so.2
Reading symbols from /usr/local/lib/perl5/5.20/mach/CORE/libperl.so.5.20...(no 
debugging symbols found)...done.
Loaded symbols for /usr/local/lib/perl5/5.20/mach/CORE/libperl.so.5.20
Reading symbols from /usr/lib/libssl.so.6...(no debugging symbols 
found)...done.
Loaded symbols for /usr/lib/libssl.so.6
Reading symbols from /lib/libcrypto.so.6...(no debugging symbols found)...done.
Loaded symbols for /lib/libcrypto.so.6
Reading symbols from /usr/local/lib/libpcre.so.1...(no debugging symbols 
found)...done.
Loaded symbols for /usr/local/lib/libpcre.so.1
Reading symbols from /lib/libc.so.7...(no debugging symbols found)...done.
Loaded symbols for /lib/libc.so.7
Reading symbols from /lib/libz.so.6...(no debugging symbols found)...done.
Loaded symbols for /lib/libz.so.6
Reading symbols from /usr/lib/libstdc++.so.6...(no debugging symbols 
found)...done.
Loaded symbols for /usr/lib/libstdc++.so.6
Reading symbols from /lib/libgcc_s.so.1...(no debugging symbols found)...done.
Loaded symbols for /lib/libgcc_s.so.1
Reading symbols from /usr/lib/libsupc++.so.1...(no debugging symbols 
found)...done.
Loaded symbols for /usr/lib/libsupc++.so.1
Reading symbols from /usr/local/lib/perl5/5.20/mach/auto/IO/IO.so...(no 
debugging symbols found)...done.
Loaded symbols for /usr/local/lib/perl5/5.20/mach/auto/IO/IO.so
Reading symbols from 
/usr/local/lib/perl5/site_perl/mach/5.20/auto/Socket/Socket.so...(no debugging 
symbols found)...done.
Loaded symbols for 
/usr/local/lib/perl5/site_perl/mach/5.20/auto/Socket/Socket.so
Reading symbols from /libexec/ld-elf.so.1...(no debugging symbols 
found)...done.
Loaded symbols for /libexec/ld-elf.so.1
#0  0x000802ee29a7 in strlen () from /lib/libc.so.7
[New Thread 803c07400 (LWP 100337/exim)]
(gdb) bt
#0  0x000802ee29a7 in strlen () from /lib/libc.so.7
#1  0x0048180b in string_copy ()
#2  0x0042702d in deliver_make_addr ()
#3  0x004a9e7a in smtp_transport_closedown ()
#4  0x004a9f58 in smtp_transport_closedown ()
#5  0x00487904 in transport_check_waiting ()
#6  0x004abecb in smtp_auth ()
#7  0x004ad483 in smtp_transport_entry ()
#8  0x0042be29 in deliver_msglog ()
#9  0x004307c9 in deliver_message ()
#10 0x00437ac7 in main ()


Придется вернуться на 4.85 - три дня выходных впереди ...

-- 
Голуб Михаил


From: Exim-users [mailto:exim-users-boun...@mailground.net] On Behalf Of 
dawnshade
Sent: Friday, August 21, 2015 2:28 PM
To: Exim MTA на русском
Subject: Re: [Exim-users] signal 11

а перезапускал после установки значений?

Пятница, 21 августа 2015, 14:15 +03:00 от Golub Mikhail  eximl...@gmn.org.ua 
:
kern.coredump: 1


From: Exim-users [mailto:exim-users-boun...@mailground.net] On Behalf Of 
dawnshade
Sent: Friday, August 21, 2015 2:07 PM
To: Exim MTA на русском
Subject: Re: [Exim-users] signal 11

вроде да

kern.coredump во что стоит?
Пятница, 21 августа 2015, 13:37 +03:00 от Golub Mikhail  eximl...@gmn.org.ua 
:
Exim из порта FreeBSD.
Нужна опция DEBUG?


 -Original Message-
 From: Exim-users [mailto:exim-users-boun...@mailground.net] On Behalf
 Of Golub Mikhail
 Sent: Friday, August 21, 2015 1:32 PM
 To: Exim MTA на русском
 Subject: Re: [Exim-users] signal 11
 
 Не долго ждать пришлось …
 
 kern.corefile: /tmp/%N.core
 kern.sugid_coredump: 1
 
 Нету core в /tmp :(
 
 
 
 From: Exim-users [mailto:exim-users-boun...@mailground.net] On Behalf
 Of dawnshade
 Sent

Re: [Exim-users] Exim 4.86, SSL verify error

[dawnshade]

 шо, опять? вам же в прошлый раз все верно написали. надо использовать 
tls_try_verify_hosts


remote_smtp:
driver = smtp
tls_try_verify_hosts = :


в результате строчка лога приобретает вид

2015-08-20 15:25:14 1ZSOu7-000FXN-Cc = suit...@xpressus.emsmtp.com 
H=uspmta197144.emsmtp.com [217.175.197.144]  P=esmtps 
X=TLSv1.2:ECDHE-RSA-AES256-GCM-SHA384:256  CV=no S=197900 
id=0.0.c5.6b8.1d0db41915f96a...@uspmta197144.emsmtp.com
Четверг, 20 августа 2015, 15:22 +03:00 от Golub Mikhail eximl...@gmn.org.ua:

Доброго времени суток.

Переходил ли кто  на 4.86?
Я перешел и вернулся на 4.85 из-за ошибок SSL в логе.
И крешился иногда при отправке почты (в рассылке было).

Второй вопрос.
Как отключить вывод в лог всех ошибок SSL verify error?
Не нашел :(

-- 
Голуб Михаил

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users


___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] 530 Must issue STARTTLS

[dawnshade]

84 JH/24 Verification callouts now attempt to use TLS by default.
 
вполне имеют право требовать, локалхост же

Пятница,  7 августа 2015, 12:39 +03:00 от Golub Mikhail eximl...@gmn.org.ua:

Добрый день.

Это, что, новое веяние - требовать TLS?

На сервере используется проверка адреса отправителя.
И она выполняется без шифрования.

И вот сегодня наткнулся на ошибку:
sender verify fail for  response to RCPT TO: 
**@external.oberthur.com  from smtp4.oberthurcs.com [46.218.221.41] was: 
530 Must issue STARTTLS


-- 
Голуб Михаил


___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users


___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] Глобальный алиас

[dawnshade]

 через rewrite?



Пятница,  3 апреля 2015, 11:00 +05:00 от Sergey Shumakher 
sergey.shumak...@gmail.com:
Добрый день!
Подскажите, пожалуйста, через какой механизм Exim лучше создать глобальный 
алиас для домена. Типа  a...@domain.ru . Как сделать редактированием списка 
пользователей понятно. Нужно чтоб все пользователи туда автоматически попадали.
___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users


___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] exe in zip

[dawnshade]

 ну вирье действительно свежее - датировано сегодня детект от всех вендоров


Пятница, 06 марта 2015, 13:12 +02:00 от Golub Mikhail eximl...@gmn.org.ua:
 -Original Message-
 From: Exim-users [mailto:exim-users-boun...@mailground.net] On Behalf
 Of George L. Yermulnik
 Sent: Friday, March 06, 2015 1:06 PM
 To:  exim-users@mailground.net
 Subject: Re: [Exim-users] exe in zip
 2. Установите тот же clamav и проверяйте вообще все вложения на наличие
вирусов.

Установлен DrWeb.
Но и он не всегда видит новые вирусы.

P.S. Меня кто-то подписал, наверное, на новые вирусы :)
Каждый день приходили новые экземпляры.
Приходили именно на postmaster, пользователям не приходили.
По началу я отправлял на анализ в DrWeb и Eset. Потом надоело :)

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users


___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] exe in zip

[dawnshade]

 по-моему это боян, даже 2 бага на это написано:


http://bugs.exim.org/show_bug.cgi?id=466
http://bugs.exim.org/show_bug.cgi?id=1065

и да, кламав не поможет -  
https://www.virustotal.com/ru/file/dc0fd6dd17c94ae50aaaf064b194d659b99d46a85a76b723d7b442972e7d0ed1/analysis/1425640345/
а совет таки верный - поставьте антивирус уже


Пятница, 06 марта 2015, 13:06 +02:00 от George L. Yermulnik y...@yz.kiev.ua:
Hello!

On Fri, 06 Mar 2015 at 12:33:40 (+0200), Golub Mikhail wrote:

 Есть такое правило. И работает оно ...
 deny message = This message contains dangerous file(s) in ZIP attachment.
  condition = ${if match{$mime_filename}{\N(?i)\.zip$\N}}
  decode = default
  condition = ${if match{${run{/usr/local/bin/unzip -l
 $mime_decoded_filename}}} {\N(?i)\.(com|pif|scr|lnk|exe)\n\N} }
  log_message = REJECTED: dangerous file in ZIP attachment

 Но прошло на днях одно письмо ...
 Не просто письмо, а с вложенным архивом, а в архиве исполняемый файл EXE.
 И это был вирус. Его не открыли, не запустили, но пересылали - значит
 приняли за важный документ (бухгалтерия) ...

 Content-Type: application/x-zip-compressed;

1. Добавьте `or' в первый condition и проверяйте хидер Content-Type на
наличие zip, compressed и тому подобного.
2. Установите тот же clamav и проверяйте вообще все вложения на наличие
вирусов.

-- 
George L. Yermulnik
[YZ-RIPE]

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users


___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] OS X's Mail.app + exim + tls

[dawnshade]

 А не связано ли это со слоупоками только поставившими патчи или слоупоками 
только выпустившими патчи?
Мне казалось что все уже SSLv3 отрубили везде - хттп, смтп и иже сними. 
Собственно и здесь мне кажется выключение спасет отца демократии
http://en.wikipedia.org/wiki/POODLE


Среда, 04 февраля 2015, 14:44 +02:00 от Vyacheslav Biruk ma...@chado.in.ua:
Здравствуйте,

с прошлой недели начал жаловатся клиент, что у него перестала
отправлятся почта через 465.

В логах
09:57:27 75809 Calling SSL_accept
09:57:27 75809 SSL info: before/accept initialization
09:57:27 75809 SSL info: before/accept initialization
09:57:27 75809 Received TLS SNI YY.YY.YY.YY (unused for certificate 
selection)
09:57:27 75809 SSL info: SSLv3 read client hello A
09:57:27 75809 SSL info: SSLv3 write server hello A
09:57:27 75809 SSL info: SSLv3 write certificate A
09:57:27 75809 SSL info: SSLv3 write key exchange A
09:57:27 75809 SSL info: SSLv3 write server done A
09:57:27 75809 SSL info: SSLv3 flush data
09:57:28 75809 SSL info: SSLv3 read client certificate A
09:57:28 75809 LOG: MAIN
09:57:28 75809   TLS error on connection from [XX.XX.XX.XX] 
I=[YY.YY.YY.YY]:466 (SSL_accept): error::lib(0):func(0):reason(0)
09:57:28 75809 LOG: MAIN
09:57:28 75809   TLS client disconnected cleanly (rejected our certificate?)

Проблема повторяется при отправке с другого мака

С компов не маков почта уходит на ура.
более того - если заставить отправлять через 25 порт + STARTTLS - 
почта уходит и с мака.
Сертификат самоподписанный, еще не проекспарился.
на стороне сервера Freebsd 9.3p9 + exim-4.85_1

так же с мака почта уходит через другой smtp сервер с ексимом порт 465 и
честным сертификатом.

пробовал рабочий сертификат (wildcard) на проблемном сервере - не
помогло - ошибка сохранилась.

собственно вопрос, никто с таким не сталкивался? 
как боротся и куда смотреть.

PS. У меня мака под рукой нет, но клиент говорит что фаервол отключен и
антивируса нету.


___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users


___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] OS X's Mail.app + exim + tls

[dawnshade]

 как проэксплуатировать я вот прямо счас сказать не могу, мне достаточно некоей 
не стремящейся к 0 вероятности, что желающий сможет превратить SSLv3 сессию в 
тыкву вида plaintext. мне это не надо.
если вы считаете что в вашем окружении это невозможно - наздоровье, спорить у 
меня нет ни желания ни времени. тем более искать рабочие сплойты для этого дела.


Среда, 04 февраля 2015, 17:04 +02:00 от l...@lena.kiev.ua:
 Мне казалось что все уже SSLv3 отрубили везде - хттп, смтп и иже сними.

А нафига в SMTP?

  http://en.wikipedia.org/wiki/POODLE

Ну и как это проэксплуатировать в SMTP?

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] bounce

[dawnshade]

less /usr/local/share/doc/exim/spec.txt /BATV


Fri, 28 Nov 2014 09:33:40 +0300 от Oleg Litvinov o...@gomelpromstroy.by:
Добрый день!

кто как борется с не своими bounce сообщениями?

-- 
Oleg

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users


___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] Multihomed server: static route for outgoing SMTP connection from Exim

[dawnshade]

+-+-+--+--+
|interface|Use: smtp|Type: string list*|Default: unset|
+-+-+--+--+
This option specifies which interface to bind to when making an outgoing SMTP
call. The value is an IP address, not an interface name such as eth0. Do not
confuse this with the interface address that was used when a message was
received, which is in $received_ip_address, formerly known as
$interface_address. The name was changed to minimize confusion with the
outgoing interface address. There is no variable that contains an outgoing
interface address because, unless it is set by this option, its value is
unknown.
During the expansion of the interface option the variables $host and
$host_address refer to the host to which a connection is about to be made
during the expansion of the string. Forced expansion failure, or an empty
string result causes the option to be ignored. Otherwise, after expansion, the
string must be a list of IP addresses, colon-separated by default, but the
separator can be changed in the usual way. For example:
interface = ; 192.168.123.123 ; 3ffe::836f::fe86:a061
The first interface of the correct type (IPv4 or IPv6) is used for the outgoing
connection. If none of them are the correct type, the option is ignored. If 
interface is not set, or is ignored, the system's IP functions choose which
interface to use if the host has more than one.


Среда, 12 марта 2014, 13:44 +02:00 от Alexandr Usov blessen...@gmail.com:
Приветствую!

На моем сервере FreeBSD - 2 внешних IP (два ISP).
Там же работает Exim.

Основной IP попал в блеклисты (подобрали или своровали пароль одного из юзеров 
и слали три дня выходных спам через наш сервер).

Есть ли способ, не меняя гейт по-умолчанию, задать Exim-у выходить через 
второй внешний интерфейс?

Правилами pf (используемый на сервере в качестве firewall) пока не получается.

pass in quick route-to { $isp1 $isp1_gw } inet proto tcp from 192.168.10.15 to 
any port { 25, 465, 578 } keep state

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users



-- 
- -
___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] Manage Received header

[dawnshade]

 откуда вы пишете узнать есть масса более других способов, начиная от 
социальной инженерии и заканчивая вставкой гифок 1х1 в тело письма, случай с 
резкой received явно не тот, где нужно применять паранойю.
мне например абсолютно наплевать что отправитель узнает адрес моей внутренней 
сетки 10,0,0,0/16

Среда, 30 октября 2013, 13:25 +02:00 от Sergey Kobzar sergey.kob...@mail.ru:
On 10/30/13 13:18,  l...@lena.kiev.ua wrote:
 Есть внутренняя сеть с серверами. Есть SMTP relay наружу. Задача - не
 светить что твориться во внутренней сети через Received header.

 А мне вот интересно: если письмо инициировано пользователем,
 находящимся снаружи этой внутренней сети (через webmail или
 authenticated SMTP), в заголовке есть IP-адрес отправителя?

 Если через webmail - стоит адрес сервера с веб мордой. Если
 аутентификация - получаем адрес пользователя.

 Если в заголовке письма нет реального (белого, не внутреннего)
 IP-адреса отправителя, то в черные списки будет влетать
 не отправитель, а relay.

Проблема не только в DNSBL и иже с ними.
Если есть идеи - рад выслушать. А отговаривать меня убирать Received 
типа не RFCшно, ССЗБ и в таком духе - не надо ;).

 Но меня вданный момент интересуют только исходящие письма, созданные
 внутри сети.

 Людьми, физически находящимися на территории фирмы?

Частный случай - сервера. Общий случай - да любая контора со своей 
private network как с public так и private IPs которая не хочет светить 
свою инфраструктуру. + зачем кому-то знать откуда я пишу - из дому, с 
офиса или из Гондураса.

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users



-- 
- -
___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] Manage Received header

[dawnshade]

Среда, 30 октября 2013, 13:50 +02:00 от Sergey Kobzar sergey.kob...@mail.ru:
On 10/30/13 13:40, dawnshade wrote:
 откуда вы пишете узнать есть масса более других способов, начиная от
 социальной инженерии и заканчивая вставкой гифок 1х1 в тело письма,

Сомневаюсь, что социальная инженерия действует на сервера, отправляющие 
письма.
На сервера - нет.
Вы жеж понимаете, что одним ресиведом это не ограничение, для полноценного 
обеспечения регламента необходим комплекс мер примерно на 100к нерусских рублей 
и массу неудобств в повседневном пользовании.
А вырезание ресиведа, без оного комплекса, похоже со стороны на попытку 
запирания реки детским совочком. ___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] SMTP relay for high load

[dawnshade]

2k денег это так, пописать сходить в таких масштабах.
у нас на сервис только за электричество в датацентрах платили больше, ибо SLA и 
тд и тп. 
кстати, бюджет нифига не озвучен, надо его учитывать тоже.
ну и автор вроде писал, что думает балансер+несколько релеев.


Вторник, 29 октября 2013, 8:00 +02:00 от Vasiliy P. Melnik ba...@vpm.net.ua:
 кстати, вот хорошая идея - рейд на SSD посоветовали, но менять их придется 
 часто.

а я вот все еще считаю, что надо либо параллелить нагрузку, либо
использовать оперативку.

И опять же , если пропадет питание - то во-первых, должен быть упс, а
во вторых - я себе представляю веселуху, если отпадет такой сервис. У
меня есть сервис, который должен работать - потратили 2К денег и
купили упс и к нему 4 батареи. По мои подсчетам жить будет часов 10-12


-- 
- -
___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] SMTP relay for high load

[dawnshade]

 фиг знает, надо смотреть. просто чтобы далеко не ходить, можно начать с 
нгыныкса же. есть у яндекса еще какая-то фигня похожая, но я чото потерял 
ссылку на нее


Понедельник, 28 октября 2013, 14:27 +02:00 от Sergey Kobzar 
sergey.kob...@mail.ru:
On 10/28/13 14:13, dawnshade wrote:
 ы?
  http://wiki.nginx.org/MailCoreModule

А он умеет спул на диске держать и нормально его разгребать?

 Понедельник, 28 октября 2013, 14:04 +02:00 от Sergey Kobzar
  sergey.kob...@mail.ru :

 Приветствую

 Вероятно вопрос не совсем по Exim

 Нужен MTA для high load. Задача:
 Принять письмо, сохранить в спул, выплюнуть на другой MTA.

 Поток писем - порядка 1М/час. Средний размер письма - 700к.

 antivirus/antispam не нужны.

 Какие варианты кроме Exim?

 Т.е. нужно что-то легкое и быстрое типа Nginx.

 Спасибо.

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users



-- 
- -
___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] SMTP relay for high load

[dawnshade]

 он (mx1) резолвится как минимум в 2,5 адреса
и, неисключено, что там стоит на входе тупая tcp load balanсing железка, 
раскидывающая равномерно нагрузку на N нормальных релеев.
такая схема с произвольным кол-вом фронтендов хорошо скейлится, упираясь только 
в файлуху, куда все бэкенды складывают почту.
можно делать и не железкой, а pf или чего там ближе. проблема как раз в данном 
моменте больше в подборе файлухи ну и тестах, я хз где можно нарыть 200 мбит 
почтового трафика вот просто так нашару не прибегая к железкам типа avalanche 
(не реклама)

Понедельник, 28 октября 2013, 22:18 +02:00 от Vasiliy P. Melnik 
ba...@vpm.net.ua:
у мирохоста явно так сделано - у них один адрес сервера
mx1.mirohost.net, что явно вряд ли. Если есть возможность - то можно
попробовать спросить, правда я оттуда никого не знаю.



З.Ы. хотя могу и ошибаться с мирохостом.

28 октября 2013 г., 19:21 пользователь Sergey Kobzar
 sergey.kob...@mail.ru  написал:
 On 10/28/13 19:12, Sergey Kobzar wrote:

 On 10/28/13 19:04, Vasiliy P. Melnik wrote:

 мне одному кажется, что такой поток нужно раскидать на несколько мта?
 В тупую, через фаервол использую какие-нибудь очереди в фаерволе -
 просто посчитать количество коннекшинов на каждую машину и отдать с
 минимальной загрузкой?


 Раскидать - да.Без этого по ходу никак. Но количество фронтендов
 ограничено.

   Да и спул в таком случае лучше построить в оперативке - нынче она
 совсем не много стоит. Да и масштабируемость решения будет - если не
 будет справляться, просто добавляем еще один тазик.


 RAM  не подходит. Нужно гарантированно сохранять письма.

 З.Ы. 1М/час = 100/3600= 277 писем в секунду, помножить на 700
 килобит получается 194 мегабита трафика, пики-спады - пол гигабита.

 Так и хочется спросить - а Вы уверены в своих расчетах?


 Да. На данный момент система проектируется и тестируется. Создать
 систему, а через год понять, что она встала колом  из-за 10% прибавки -
 не вариант.


 Ситуация следующая:

 В текущий момент нагрузка - 40-60% от описанной. Используется внешний
 сервис, который предоставляет услуги SMTP relay для входящей почты.

 Что нужно сделать:
   - отказаться от внешнего сервиса
   - обеспечить отказоустойчивость сервиса при полном падении бэкенда. Т.е.
 вся входящая почта должна складироваться на фронтэндах 1-2 дня.

 Еще раз повторюсь: озвученные цифры - это скорее пики. Усредненные цифры
 ниже. Так или иначе нужен запас по прочности. Да, как показали последние
 статистические данные - средний размер письма около 100к.

 I'm sorry за неточности - у меня прямого доступа ко всем данным нет.

 ___
 Exim-users mailing list
  Exim-users@mailground.net
  http://mailground.net/mailman/listinfo/exim-users

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users



-- 
- -
___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] SMTP relay for high load

[dawnshade]

 mail.ru - перепиленный экзим
яндекс - чтото свое
gmail - точно свое
амазон - хз.

у нас када был сервис аналогичный yandex.pdd тоже был свой мейлейр, уебищный 
донельзя и поддерживать, доставляя костыли и фикся баги это ппц скоко времени 
отнимало.
собственно поэтому и закопали, что жрало много ресурсов

Я конкретные названия  на данный момент говорить не имею права.
да я и не претендую :) я к тому что это все еще тестировать надо, причем не абы 
как на шару запустив smtpsource,  а с учетом нагрузки, подсчетом дисковой 
активности, stability и тд

Для скорости и надёжности можно использовать две машинки
две машинки очень быстро склеят ласты под 200 мбит/с, 200 это токо фтп сервер 
вам отдаст, тупой как пробка
+винты пойдут в край вечной охоты очень быстро изза перманентных мелких записей.

я бы взял софтовый балансер (железячные отдельная пейстня, за малую цену оно 
все поголовно говно, за большую отдельный спец по нему нужен) и раскидал на Н 
релеев, но тут думать надо с железом и архитектурой сильно


Понедельник, 28 октября 2013, 22:33 +02:00 от Sergey Kobzar 
sergey.kob...@mail.ru:
On 10/28/13 22:18, Vasiliy P. Melnik wrote:
 у мирохоста явно так сделано - у них один адрес сервера
 mx1.mirohost.net, что явно вряд ли. Если есть возможность - то можно
 попробовать спросить, правда я оттуда никого не знаю.



 З.Ы. хотя могу и ошибаться с мирохостом.

Один адрес светить наружу - это не проблема. На него можно накрутить 
что-то типа nginx / haproxy, но ничего при этом в спуле не держать, а 
раскидывать коннекты на внутренние бэкенд сервера. т.е. чистое 
проксирование.

Посмотрел список smtp серверов - exim, sendmail, postfix, qmail, ssmtp. 
Негусто. Интересно, что используют монстры типа яндекса, mail.ru, gmail, 
Amazon. Или они берут количеством?

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users



-- 
- -
___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] SMTP relay for high load

[dawnshade]

Понедельник, 28 октября 2013, 23:07 +02:00 от Sergey Kobzar 
sergey.kob...@mail.ru:

Тут другой вопрос - на чем можно аккаунтинг организовать (говорить, что 
это не правильно и фигне - не надо). Exim c RADIUS работает только на 
аутентификацию. Парсить логи realtime - не фонтан идея...

?
аккаунтинг - здесь что подразумевается? объем почты? в штуках - в мегабайтах 
или как?
кстати, вот хорошая идея - рейд на SSD посоветовали, но менять их придется 
часто. ___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] Как бы мигрировать на другой сервер?

[dawnshade]

 зачем извращения с ngnix, когда данный функционал есть у dovecot2 уже давно. 
но там есть нюанс что много ограничений.
я когда переезжал дважды на одном сервере использовал тупо rsync, самый простой 
и дешевый способ по ресурсам. без ковыряния imap-proxy, imapsync и прочих SAN


Понедельник, 24 июня 2013, 11:06 +03:00 от Sergey Smitienko 
hun...@comsys.com.ua:
У nginx есть imap proxy, и, если я правильно помню, скрипт внешней
авторизации,
который возвращает nginx'у IP сервера, на котором лежит почтовый ящик.
Если все
правильно настроить, можно переехать вообще без простоя.

 Здравствуйте.

 Есть старый сервер freebsd 7.4-stable. И новый 9.1-stable.
 Между серверами 100 мбит. Больше нет возможности.
 Нужно перетащить ящики со старого на новый.
 Почты около 150 ГБ.
 Перетащить нужно с минимальным простоем сервиса.
 Пока вижу вариант копирования всего на новый без остановки, потом
 остановка и rsync, а потом запуск на новом.

 Но, думаю, что есть и более грамотные способы.
 Посоветуйте как можно лучше выполнить эти действия.



___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users



-- 
- -
___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] BATV

[dawnshade]

Это единственный пидорский ресурс, который занимается этим. Нормальные люди им 
не пользуются.
Callout в отличие от тотального приема спама, грейлистинга, контентной проверки 
и прочей содомии потребляет минимальное кол-во ресурсов, как у приемщика, так и 
у валидируемого.
Вы еще скажите что проверка в dbsbl занимает дохрена ресурсов у ДНС сервера и 
тех кто чекает там (в днсбль) надо банить, ага.

Суббота, 29 декабря 2012, 19:37 +04:00 от Denis Kharkov de...@astravel.ru:
Тут написано за что заблокируют
http://www.backscatterer.org/?target=sendercallouts


___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] BATV

[dawnshade]

Суббота, 29 декабря 2012, 22:27 +04:00 от Lystopad Aleksandr l...@laa.zp.ua:
Hello, dawnshade!

On Sat, Dec 29, 2012 at 08:04:20PM +0400
h...@mail.ru wrote about Re: [Exim-users] BATV:
 
 Это единственный пидорский ресурс, который занимается этим. Нормальные люди 
 им не пользуются.

Будьте осторожны с поспешными выводами...
Вот ни разу таково не было, эксплуатировал и сервера на помойках типа П3-4 и с 
узкими каналами и прочим.
Возможно сервер убивался раньше на днс лукапах и подобном, калаут достаточно 
тяжелая проверка по сравнению с остальными, которые можно настроить, посему 
ставить ее надо в конец.
Опять же, для клиентов есть  smtp_accept_reserve. Для неклиентов 
smtp_accept_max_per_host, ratelimt, spamd для кривых хостов заносимых туда по 
правилам и подобное, было бы желание и время настроить.
Ну и напомню очевидное, что я не раз уже объяснил начальству и пользователям - 
почта не IM, доставка письма может занимать до 5и суток в соответствии со 
стандартом 

AOL достаточно странный ресурс со странной политикой, напоминает почту россии, 
которая работает в прошлом веке и никак не может сделать что-нить полезное. 
Разное за ними было замечено. Никто не мешает вести лишний белый список 
экслюдов для колаута, заполняя руками, у меня там был одно время мастерхост 
тотже, который упорно слал с кривых доменов хостинга, как спама стало много 
оттуда то эксклюд убрал. Тащем-та это и есть работа постмастера.___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] [SPAM] Re: фигня какаято

[dawnshade]

/vanga mode on
Вы потом будете очень долго и мучительно вытаскивать свою сетку из мейлрушного 
РБЛя при этом параллельно рассказывая 100500 клиентам что вот-вот оно щаз 
починится.


Вторник, 18 декабря 2012, 19:15  от Georgiewskiy Yuriy bottle...@icf.org.ru:
On 2012-12-18 12:59 +0200,  l...@lena.kiev.ua wrote Exim MTA на русском:

 From: Georgiewskiy Yuriy  bottle...@icf.org.ru 

 ну хттп, и что я
 должен сделать? на основании непонятно чего перекрыть им http чтоли?

 Так что, вам наплевать, что ваш пользователь спамит через webmail?

 А когда ваши пользователи спамят на форумах, в гостевых книгах,
 вам тоже наплевать?

 Жертвам спама какая разница, виндозный спамбот это
 или пользователь вручную спамит?

ну если честно то да, он авторизрвался на этом вебмейле/форуме? 
если да то дальше считаю это уже их проблемой а не проблемой 
уровня сети, пусть они соотвественно как сервис-провайдер и 
блокируют его на своем вебмейле или форуме там, а моя задача
предоставить доступ, а не судить/рецензировать/решать что 
считать спамом, что не считать.

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] Порядок заголовков

[dawnshade]

 Насколько помню не имеет, что-то подобное только было для MTA, он должен 
вставлять ресиведы свои сверху.
Вам оно зачем, если не секрет?


Понедельник, 17 декабря 2012, 14:12  от Юрий Гончаров n...@neo.kiev.ua:
Добрый день.
В RFC что-то никак не найду информации по поводу сабджекта.
Подскажите, имеет ли значение порядок заголовков в письме? Если да, то каких? 
Где об этом почитать?
Спасибо заранее


___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] why?

[dawnshade]

Есть мнение что и то и другое вместе взятое. СПФ дохлая технология для 
фильтрации спама.
Ровно как и dkim.


Tue, 18 Sep 2012 15:19:05 +0900 от Alexander Titaev t...@irk.ru:
   










2)  а  вот это честные дауны или наши спамеры дотянулись до зарубежных

национальных регистраторов?


proxy# grep +all /var/log/exim/mainlog

2012-09-18 14:55:28 SPF for hokshop.nl and [88.205.174.88] - pass, , v=spf1 +all

2012-09-18 14:55:39 SPF for m4d-da.com and [113.163.10.93] - pass, , v=spf1 +all

2012-09-18 14:55:47 SPF for jochies.nl and [62.42.82.96] - pass, , v=spf1 +all

2012-09-18 15:00:38 SPF for is.com.fr and [175.100.65.168] - pass, , v=spf1 +all

2012-09-18 15:01:04 SPF for mail.perfo.fr and [118.71.219.252] - pass, , v=spf1 
+all

2012-09-18 15:02:07 SPF for hydro-x.co.uk and [212.156.94.26] - pass, , v=spf1 
+all

2012-09-18 15:02:30 SPF for hspr.org and [78.38.31.240] - pass, , v=spf1 +all

2012-09-18 15:02:36 SPF for kaphotel.nl and [122.52.155.213] - pass, , v=spf1 
+all

2012-09-18 15:03:29 SPF for infusednews.com and [183.81.97.172] - pass, , 
v=spf1 +all

2012-09-18 15:04:12 SPF for lakeshoremountainproperties.com and [58.149.131.90] 
- pass, , v=spf1 +all

2012-09-18 15:07:03 SPF for kcb.nl and [116.71.2.14] - pass, , v=spf1 
+all\ngoogle-site-verification=beLN56tNIwI9YdrubGwhYOJJ-79noelW8P0CAcXIK4I

2012-09-18 15:12:16 SPF for intercam.nl and [41.139.239.90] - pass, , v=spf1 
+all

2012-09-18 15:12:51 SPF for logicvision.net and [116.93.45.210] - pass, , 
v=spf1 +all


хотя скорее всего это даун хостер/регистратор, сделавший темплэйт с v=spf1 +all



-- 

С уважением,

 Alexander  mailto:t...@irk.ru



___

Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users








___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] Сделать исключение для одного отправителя

[dawnshade]

Wed, 06 Jun 2012 11:19:28 +0400 от Алексей Доморадовalex_...@mail.ru:
  В любом случае я не вижу разницы между работой резолвинга в hosts и в 
  condition. Поясните, pls.
 ну например при проблемах с ДНС и в случае использования 
 hosts/$sender_host_name офис не сможет использовать exim как релей. В случае 
 condition и sender_host_address все будет работать.

стесняюсь спросить, при проблемах днс какая разница где осядет почта - в спуле 
или outgoing MUA?
___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] mail.ru

[dawnshade]

Может оно таки действительно дело в SIZE=35М? С таймингами дебаг есть?


Tue, 29 May 2012 18:42:27 +0900 от Alexander Titaev t...@irk.ru:
  Гайзы, а кто-нибудь на постмастеров mail.ru имеет выход? А то они уже 
  упарили
 
  Connecting to mxs.mail.ru [94.100.176.20]:25 ... connected
SMTP 220 Mail.Ru ESMTP
SMTP EHLO mail.irk.ru
SMTP 250-mx115.mail.ru ready to serve
   250-SIZE 31457280
   250 8BITMIME
SMTP MAIL FROM:nv@novolit.irk.ru SIZE=35592637
SMTP 421 SMTP command timeout. Closing connection
SMTP QUIT
 
  вместо того что бы сразу честный 550 выдать. В итоге со временем exim 
  переклинивает на предмет
  robot_kv...@mail.ru R=dnslookup T=remote_smtp defer (-53): connection 
  limit reached for all hosts
  Я на postmas...@mail.ru писал, но туда ушло, а в ответ тишина.
 
 ___
 Exim-users mailing list
 Exim-users@mailground.net
 http://mailground.net/mailman/listinfo/exim-users
 
 
___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] два вопроса по SMTP-авторизации

[dawnshade]

Thu, 19 Apr 2012 16:25:36 +0300 от Mykola Dzham i...@levsha.org.ua:
  dawnshade wrote:
  
  
  
  Thu, 19 Apr 2012 16:16:42 +0300 от Mykola Dzham i...@levsha.org.ua:
 
 В качестве противодействия утаскиванию паролей хорошо помогает 
 SSL/TLS,
 и разрешать авторизацию только через SSL/TLS соединения примерно так:
 
 auth_advertise_hosts = ${if eq{$tls_cipher}{}{}{*}}
 

и оно хорошо работает со всякими андроидами-ыфонами?
   
   Работает без проблем. Проверено лично на штатном email клиент iPhone,
   штатном email киленте iphone, клиенте от HTC, k9 mail. В общем на всём,
   что пробовал, работало.
   
  
  Прям вот с указанной строчкой?
 
 Да. В некоторых клиентах при настройке нужно выбрать tls или ssl,
 некоторые сами находят.
 В последнее время всегда выбираю ssl (при этом клиент автоматически
 меняет порт на 465) - чтобы не было проблем с фильтрами провайдеров
 


Ясно, всем спасибо за консультацию.
___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] два вопроса по SMTP-авторизации

[dawnshade]

Thu, 19 Apr 2012 19:45:29 +0800 от Andrey V. Malyshev a...@krasn.ru:
 Здравствуйте, коллеги!
 
 Нескоько дней назад враги-спамеры поюзали мой сервер своей рассылкой, 
 воспользовавшись возможностью релеить после успешной SMTP-аутентификации. 
 Исполнялась рассылка с ботнета, использовано было всего три аккаунта, причем 
 пароли не примитивные, и признаков подбора в логах нет. Кроме предположения, 
 что пароль утащен вирусом/трояном, ничего пока не придумал.
 Вопрос: сталкивался ли кто с такой спам-технологией, есть ли какие-то 
 принципиальные идеи по борьбе с таким, и не пропустил ли я какой-нибудь 
 уязвимости в аутентификаторах exim'а? Exim version 4.77.


Это стандартное поведение спамбота - спереть пароль и разослать спам. 
Используйте рейтлимиты.

 И второй вопрос, в продолжение первого: как можно вставить задержку (delay) 
 после неудачной попытки аутентификации? Тарпиттинг, кажется, называется. В 
 спеке найти не смог.
 

$authentication_failed

This variable is set to 1 in an Exim server if a client issues an AUTH
command that does not succeed. Otherwise it is set to 0. This makes it
possible to distinguish between did not try to authenticate (
$sender_host_authenticated is empty and $authentication_failed is set to
0) and tried to authenticate but failed ($sender_host_authenticated is
empty and $authentication_failed is set to 1). Failure includes any
negative response to an AUTH command, including (for example) an attempt to
use an undefined mechanism.

+
delay = 100500s

только этот вариант однозначно не советую, вы забьете тупо пул входящих 
соединений при трафике отличном от локалхостового.

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] два вопроса по SMTP-авторизации

[dawnshade]

Thu, 19 Apr 2012 15:18:23 +0300 от Vladimir Mevsha vladi...@mevsha.com:
 19 апреля 2012 г. 14:45 пользователь Andrey V. Malyshev a...@krasn.ru 
 написал:
  Здравствуйте, коллеги!
 
  Нескоько дней назад враги-спамеры поюзали мой сервер своей рассылкой,
  воспользовавшись возможностью релеить после успешной SMTP-аутентификации.
  Исполнялась рассылка с ботнета, использовано было всего три аккаунта, причем
  пароли не примитивные, и признаков подбора в логах нет. Кроме предположения,
  что пароль утащен вирусом/трояном, ничего пока не придумал.
  Вопрос: сталкивался ли кто с такой спам-технологией, есть ли какие-то
  принципиальные идеи по борьбе с таким, и не пропустил ли я какой-нибудь
  уязвимости в аутентификаторах exim'а? Exim version 4.77.
 
 В качестве противодействия утаскиванию паролей хорошо помогает SSL/TLS,
 и разрешать авторизацию только через SSL/TLS соединения примерно так:
 
 auth_advertise_hosts = ${if eq{$tls_cipher}{}{}{*}}
 

и оно хорошо работает со всякими андроидами-ыфонами?

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] два вопроса по SMTP-авторизации

[dawnshade]

Thu, 19 Apr 2012 15:49:33 +0300 от Victor Cheburkin v...@vc.org.ua:
 Hi!
 
 
 
 19 апр. 2012, в 15:29, dawnshade написал(а):
 
 
 
  Нескоько дней назад враги-спамеры поюзали мой сервер своей рассылкой,
 
  воспользовавшись возможностью релеить после успешной SMTP-аутентификации.
 
  Исполнялась рассылка с ботнета, использовано было всего три аккаунта, 
  причем
 
  пароли не примитивные, и признаков подбора в логах нет. Кроме 
  предположения,
 
  что пароль утащен вирусом/трояном, ничего пока не придумал.
 
  Вопрос: сталкивался ли кто с такой спам-технологией, есть ли какие-то
 
  принципиальные идеи по борьбе с таким, и не пропустил ли я какой-нибудь
 
  уязвимости в аутентификаторах exim'а? Exim version 4.77.
 
  
 
  В качестве противодействия утаскиванию паролей хорошо помогает SSL/TLS,
 
  и разрешать авторизацию только через SSL/TLS соединения примерно так:
 
  
 
  auth_advertise_hosts = ${if eq{$tls_cipher}{}{}{*}}
 
  
 
  и оно хорошо работает со всякими андроидами-ыфонами?
 
 
 
 Сам по себе андроид слать почту не умеет. У меня есть 2 проги, которые 
 нормально шлют почту через SSL на 465й порт, а на сервере в authenticators 
 стоит примерно такая строчка:
 
 server_advertise_condition = ${if def:tls_cipher }
 
 На сколько я знаю, всякие iphone  ipad тоже нормально работают в таком 
 режиме, как и symbian.
 

Я не изучал предмет, я собсно так спросить.
Только помню что когда-то давно всякие нокия3310 ниасиливали нормальные 
сертификаты .
Имелся конечно не сам по себе, а штатный клиент.
___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] DKIM и KAS

[dawnshade]

экзим и система 64 бит?


Fri, 30 Mar 2012 12:12:31 +0400 от An An darkh...@mail.ru:
 Ну, с pre-queue тоже не все так просто:
 
  dlopen /usr/local/lib/kaspersky/kav4lms/libkavexim.so failed: 
 /usr/local/lib/kaspersky/kav4lms/libkavexim.so: unsupported file layout
 
 То есть опять в руки напильник брать с паяльником. В любом случае, спасибо за 
 совет, буду ковырять.
 
  выкиньте вы эту дрянь, post-q фильтр г-но по определению.
  есть замечательный dlfunc, как штатный так и не менее известного здесь 
  автора.
  
  ну и напоследок - dkim еще более мертворожденная вещь, чем SPF, 
  практического применения мало, тем более что интегрирован он в exim 
  настолько через жо с применением копепасты сорцов малоизвестного науке 
  полярного пушного SSL, код которого не обновлялся в ветке экзима несмотря 
  на присланный патч в багзиллу б-г знает сколько лет.
  
  
  Thu, 29 Mar 2012 13:16:39 +0400 от An An darkh...@mail.ru:
   Антивирус подключен как post-queue:
   
   #kav4lms-filter-begin-2
   kav4lms_filter:
   --driver = manualroute
   --condition = ${if or { {eq {$interface_port}{10026}} {eq 
   {$received_protocol}{spam-scanned}} }{0}{1}}
   --transport = kav4lms_filter
   --route_list = * localhost
   --self = send
   #kav4lms-filter-end-2
   
   Отключил антивирус, перестало сообщение дважды проходить через Exim, и 
   body hash mismatch изчезло. Правда я сэмулировать эту ошибку никак не 
   могу, даже если посылаю с личного ящика письмо с вложением.
   
   
   Wed, 28 Mar 2012 18:46:37 +0400 от dawnshade h...@mail.ru:
diff `hd mail1` `hd mail2`

дает какие-либо различия? (либо hexdump, в разных системах оно 
по-разному зовется). кто-то из контент сканеров, либо сам экзим может 
фиксить переводы строк.
а антивирус кто и как подключен?
я бы в любом случае пошел путем отключения поочереди всех контент 
сканеров



Wed, 28 Mar 2012 16:25:23 +0400 от An An darkh...@mail.ru:
 Да, прошу прощения. Ссыhttp://e.mail.ru/cgi-bin/msglist#лки: 
 http://pac.ru/mail1.html и http://pac.ru/mail2.html
 
 Выяснилось, что ошибка [verification failed - body hash mismatch 
 (body probably modified in transit)] возникает безотносительно к 
 ACL. Я полностью закомментировал DKIM ACL, и, насколько я понял, 
 ситуация такова, что Exim видит DKIM сигнатуры в письме и на 
 некоторые письма ругается.
 
 Заголовки двух писем(с ошибкой и без) в почтовом клиенте выглядят 
 абсолютно одинаково, ничего лишнего или недостающего.
 
 
  ДНС на том домене мертв
  
  
  mail# dig 
  so-please-do-not-ask-me-why-some-people-want-to-be-braindamaged.ru
  
  ;  DiG 9.6.-ESV-R3  
  so-please-do-not-ask-me-why-some-people-want-to-be-braindamaged.ru
  ;; global options: +cmd
  ;; Got answer:
  ;; -HEADER- opcode: QUERY, status: SERVFAIL, id: 39947
  ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0
  
  
  
  Wed, 28 Mar 2012 13:25:18 +0400 от An An darkh...@mail.ru:
   Так и не удалось мне решить проблему с [verification failed - 
   body hash mismatch (body probably modified in transit)].
   Судя по всему, письмо передается на проверку антивирусу, а 
   возвращаясь обратно, второй раз проходит DKIM проверку. Больше 
   нигде в конфиге не может письмо инжектиться. Признаться, я уже и 
   сам запутался. Выкладываю два лога для одного и того же письма.
   
   Письмо прошло один раз проверку: 
   http://so-please-do-not-ask-me-why-some-people-want-to-be-braindamaged.ru/mail1.html
   И еще раз, последний: 
   http://so-please-do-not-ask-me-why-some-people-want-to-be-braindamaged.ru/mail2.html
   
   
   
   
   
   

проверка dkim впринципе раньше local_scan, либо вы как-то 
инжектите письмо второй раз обратно в мейлер.

24 февраля 2012, 12:30 от An An darkh...@mail.ru:
 begin local_scan
 
 kas_connect_to = 
 unix:/usr/local/ap-mailfilter3/run/ap-process-server.socket
 kas_connect_timeout = 100
 kas_data_timeout = 100
 kas_log_level = 50
 kas_on_error = reject
 
  Я тогда неоч понимаю, как второй раз в том же мейлере у вас 
  письмо попадает на проверку dkim если local_scan?
 
  P.S. и отвечайте, пожалуйста, в рассылку тоже.
 
  24 февраля 2012, 10:57 от An An darkh...@mail.ru:
   Вроде ничего не добавляет. KAS настроен через local_scan. 
   И симулировать проблему тяжело.
   Отключить KAS попробую(сервер под высокой нагрузкой), 
   отпишусь после этого.
  
KAS что-то добавляет в subject?
И таки после его отключения все ОК?
И как он (кас) у вас подключен.
   
Я просто на днях настраивал аналогичное, все хорошо 
работает

Re: [Exim-users] DKIM и KAS

[dawnshade]

diff `hd mail1` `hd mail2`

дает какие-либо различия? (либо hexdump, в разных системах оно по-разному 
зовется). кто-то из контент сканеров, либо сам экзим может фиксить переводы 
строк.
а антивирус кто и как подключен?
я бы в любом случае пошел путем отключения поочереди всех контент сканеров



Wed, 28 Mar 2012 16:25:23 +0400 от An An darkh...@mail.ru:
 Да, прошу прощения. Ссылки: http://pac.ru/mail1.html и 
 http://pac.ru/mail2.html
 
 Выяснилось, что ошибка [verification failed - body hash mismatch (body 
 probably modified in transit)] возникает безотносительно к ACL. Я полностью 
 закомментировал DKIM ACL, и, насколько я понял, ситуация такова, что Exim 
 видит DKIM сигнатуры в письме и на некоторые письма ругается.
 
 Заголовки двух писем(с ошибкой и без) в почтовом клиенте выглядят абсолютно 
 одинаково, ничего лишнего или недостающего.
 
 
  ДНС на том домене мертв
  
  
  mail# dig so-please-do-not-ask-me-why-some-people-want-to-be-braindamaged.ru
  
  ;  DiG 9.6.-ESV-R3  
  so-please-do-not-ask-me-why-some-people-want-to-be-braindamaged.ru
  ;; global options: +cmd
  ;; Got answer:
  ;; -HEADER- opcode: QUERY, status: SERVFAIL, id: 39947
  ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0
  
  
  
  Wed, 28 Mar 2012 13:25:18 +0400 от An An darkh...@mail.ru:
   Так и не удалось мне решить проблему с [verification failed - body hash 
   mismatch (body probably modified in transit)].
   Судя по всему, письмо передается на проверку антивирусу, а возвращаясь 
   обратно, второй раз проходит DKIM проверку. Больше нигде в конфиге не 
   может письмо инжектиться. Признаться, я уже и сам запутался. Выкладываю 
   два лога для одного и того же письма.
   
   Письмо прошло один раз проверку: 
   http://so-please-do-not-ask-me-why-some-people-want-to-be-braindamaged.ru/mail1.html
   И еще раз, последний: 
   http://so-please-do-not-ask-me-why-some-people-want-to-be-braindamaged.ru/mail2.html
   
   
   
   
   
   

проверка dkim впринципе раньше local_scan, либо вы как-то инжектите 
письмо второй раз обратно в мейлер.

24 февраля 2012, 12:30 от An An darkh...@mail.ru:
 begin local_scan
 
 kas_connect_to = 
 unix:/usr/local/ap-mailfilter3/run/ap-process-server.socket
 kas_connect_timeout = 100
 kas_data_timeout = 100
 kas_log_level = 50
 kas_on_error = reject
 
  Я тогда неоч понимаю, как второй раз в том же мейлере у вас письмо 
  попадает на проверку dkim если local_scan?
 
  P.S. и отвечайте, пожалуйста, в рассылку тоже.
 
  24 февраля 2012, 10:57 от An An darkh...@mail.ru:
   Вроде ничего не добавляет. KAS настроен через local_scan. И 
   симулировать проблему тяжело.
   Отключить KAS попробую(сервер под высокой нагрузкой), отпишусь 
   после этого.
  
KAS что-то добавляет в subject?
И таки после его отключения все ОК?
И как он (кас) у вас подключен.
   
Я просто на днях настраивал аналогичное, все хорошо работает.
   
22 февраля 2012, 11:58 от An An darkh...@mail.ru:
 Возникла проблема при работе DKIM с Kaspersky Antispam. В 
 конфиге такой вот ACL:

 warn
 --sender_domains = mail.ru:list.ru:bk.ru
 --dkim_signers = mail.ru:list.ru:bk.ru
 --dkim_status = none:invalid:fail
 --logwrite = Message from MailRU with invalid or 
 missing signature(LOG) from $sender_address

 Когда приходит письмо:

 mail1# cat /var/log/exim/exim-main-20120222.log | grep 
 '1S069l-000ObC-Si'
 2012-02-22 10:58:29 [94562] 1S069l-000ObC-Si DKIM: d=mail.ru 
 s=mail c=relaxed/relaxed a=rsa-sha256 [verification succeeded]
 2012-02-22 10:58:29 [94562] 1S069l-000ObC-Si DKIM test passed 
 (address=b...@mail.ru domain=mail.ru), good signature.

 Письмо передается для проверки KAS и сразу фаталити.

 mail1# cat /var/log/exim/exim-main-20120222.log | grep 
 '1S069m-000ObJ-Eb'
 2012-02-22 10:58:30 [94569] 1S069m-000ObJ-Eb DKIM: d=mail.ru 
 s=mail c=relaxed/relaxed a=rsa-sha256 [verification failed - 
 body hash mismatch (body probably modified in transit)]
 2012-02-22 10:58:30 [94569] 1S069m-000ObJ-Eb DKIM test 
 failed: bodyhash_mismatch

 Причем такое наблюдается не для всех писем. Например, когда я 
 посылаю письмо:

 mail1# cat /var/log/exim/exim-main-20120222.log | grep 
 'darkhost' | grep DKIM
 2012-02-22 11:29:20 [5761] 1S06dc-0001Uv-Pt DKIM test passed 
 (address=darkh...@mail.ru domain=mail.ru), good signature.
 2012-02-22 11:29:21 [5767] 1S06dd-0001V1-3R DKIM test passed 
 (address=darkh...@mail.ru domain=mail.ru), good signature.
   
 ___
 Exim-users mailing list
 Exim-users@mailground.net
   

Re: [Exim-users] Новый способ борьбы со спамом

[dawnshade]

Fri, 16 Mar 2012 18:08:24 +0400 от Гусев Сергей Константинович 
sgu...@ncnet.ru:
 
 
 -Original Message-
 From: exim-users-boun...@mailground.net 
 [mailto:exim-users-boun...@mailground.net] On Behalf Of l...@lena.kiev.ua
 Sent: Friday, March 16, 2012 5:03 PM
 To: Exim MTA на русском
 Subject: Re: [Exim-users] Новый способ борьбы со спамом
 
  Наткнулся на новый способ борьбы со спамом.
 
  2012-03-16 14:56:21 [23795] 1S8UpY-0006Bh-39 ** t...@mosteleset.ru 
  F=sgu...@ncnet.ru P=sgu...@ncnet.ru R=dnslookup T=remote_smtp: SMTP 
  error from remote mail server after initial connection: host 
  MX02.NICMAIL.ru [194.85.88.229]: 554 No SMTP service here
 
  Цитата
  Все верно, сервер MX02.NICMAIL.ru является фейковым, служит для отбивки 
  роботов
  рассылающих спам и не производящих повторную доставку на другой сервер из
  списка МХ записей. Соответственно Вам нужно настроить Ваш почтовый сервер 
  так
  что бы он пытался доставить сообщение по следующему адресу из списка МХ.
 
 Откуда эта цитата?
 
 Это ответ техподдержки NIC.ru - владельца почтового хостинга,
 которому платят деньги за такую услугу


Извините, но это ответ абсолютно безграмотных людей просто так получающих 
деньги.
Все ранее высказавшиеся абсолютно верны что повторная доставка не должна 
производиться.
___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] retry timeout exceeded

[dawnshade]

06 декабря 2011, 17:59 от Golub Mikhail eximl...@gmn.org.ua:
 
  -Original Message-
  From: exim-users-boun...@mailground.net [mailto:exim-users-
  boun...@mailground.net] On Behalf Of dawnshade
  Sent: Tuesday, December 06, 2011 3:46 PM
  To: Exim MTA на русском
  Subject: Re: [Exim-users] retry timeout exceeded
 
  у тебя retry rule написан только для @+virtual_domains, для внешних
  доменов он равен нулю, т.е. попытки отправки не повторяются, о чем и
  пошет дока
 
  If the retry section is removed from the configuration, or is empty (that
 is,
  if no retry rules are defined), Exim will not retry deliveries. This turns
  temporary errors into permanent errors.
 
 Указаны для обслуживаемы доменов и общие.
 Возможно не правильно. Надо пересмотреть.
 
 begin retry
 *@+virtual_domains   timeout   F,2h,5m; F,4d,30m
 *  *   F,2h,15m; G,16h,2h,1.5; F,7d,8h
 


Да, с моей точки зрения тоже правильно все написано, разве что табы сожрались.
Мб экзим как-то по-другому считает.
___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] bounce_return_size_limit

[dawnshade]

ну на самом деле не всегда достаточно, хотя зависит от ситуации.
иногда нужно поглядеть тушку frozen баунса, чтобы понять в чем причина и кто 
звездит не принимая письмо.


29 ноября 2011, 12:03 от Golub Mikhail eximl...@gmn.org.ua:
 Решил другим путем.
 Установил параметр bounce_return_body в false.
 Заголовков исходного письма в bounce достаточно.
 Спасибо.
 
  Не очень понятен смысл экономить килобайты, правда :)
 Дело не в экономии байтов.
 Было желание понять, почему так.
 
 
 С уважением,
 Голуб Михаил
 
  -Original Message-
  From: exim-users-boun...@mailground.net [mailto:exim-users-
  boun...@mailground.net] On Behalf Of dawnshade
  Sent: Tuesday, November 29, 2011 9:47 AM
  To: Exim MTA на русском
  Subject: Re: [Exim-users] bounce_return_size_limit
 
  Оно?
 
 
  When the body of any message that is to be included in a bounce message is
  greater than the limit, it is truncated, and a comment pointing this out
 is
  added at the top. The actual cutoff may be greater than the value given,
  owing
  to the use of buffering for transferring the message in chunks (typically
 8K in
  size).
 
  8K*2=16
 
  Не очень понятен смысл экономить килобайты, правда :)
 
 
  29 ноября 2011, 11:41 от Golub Mikhail eximl...@gmn.org.ua:
   Всем привет.
  
   Вопрос о bounce_return_size_limit.
   Кто вникал, прошу объяснить.
  
   В конфиге указано:
   bounce_return_size_limit = 8K
   bounce_return_message = true
  
   Провожу тест. Отправляю письмо на несуществующий адрес, чтобы
  получить
   bounce. Получаю, смотрю лог.
   Мое письмо на несуществующий адрес - S=805126
   Bounce - S=18130 T=Mail delivery failed: returning message to sender
  
   В bounce сообщении:
   -- The body of the message is 804318 characters long; only the first
   -- 16384 or so are included here.
  
   Вопрос: откуда берётся число  16384 байт (16 Кбайт, вдвое больше, чем
   указано в конфиге в параметре bounce_return_size_limit).
  
   В spec.txt:
   $bounce_return_size_limit
   This contains the value set in the bounce_return_size_limit option,
   rounded
   up to a multiple of 1000. It is useful when a customized error
 message
   text
   file is in use (see chapter 46).
  
   ...
  
   This is a permanent error. The following address(es) failed:
   
   The following text was generated during the delivery attempt(s):
   
   -- This is a copy of the message, including all the headers.
 --
   
   -- The body of the message is $message_size characters long;
 only the first
   -- $bounce_return_size_limit or so are included here.
   
  
   
   С уважением,
   Голуб Михаил
  
   ___
   Exim-users mailing list
   Exim-users@mailground.net
   http://mailground.net/mailman/listinfo/exim-users
  
  
  ___
  Exim-users mailing list
  Exim-users@mailground.net
  http://mailground.net/mailman/listinfo/exim-users
 
 ___
 Exim-users mailing list
 Exim-users@mailground.net
 http://mailground.net/mailman/listinfo/exim-users
 
 
___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] bounce_return_size_limit

[dawnshade]

Оно?


When the body of any message that is to be included in a bounce message is
greater than the limit, it is truncated, and a comment pointing this out is
added at the top. The actual cutoff may be greater than the value given, owing
to the use of buffering for transferring the message in chunks (typically 8K in
size).

8K*2=16

Не очень понятен смысл экономить килобайты, правда :)


29 ноября 2011, 11:41 от Golub Mikhail eximl...@gmn.org.ua:
 Всем привет.
 
 Вопрос о bounce_return_size_limit.
 Кто вникал, прошу объяснить.
 
 В конфиге указано:
 bounce_return_size_limit = 8K
 bounce_return_message = true
 
 Провожу тест. Отправляю письмо на несуществующий адрес, чтобы получить
 bounce. Получаю, смотрю лог.
 Мое письмо на несуществующий адрес - S=805126
 Bounce - S=18130 T=Mail delivery failed: returning message to sender
 
 В bounce сообщении:
 -- The body of the message is 804318 characters long; only the first
 -- 16384 or so are included here.
 
 Вопрос: откуда берётся число  16384 байт (16 Кбайт, вдвое больше, чем
 указано в конфиге в параметре bounce_return_size_limit).
 
 В spec.txt:
 $bounce_return_size_limit
 This contains the value set in the bounce_return_size_limit option,
 rounded
 up to a multiple of 1000. It is useful when a customized error message
 text
 file is in use (see chapter 46).
 
 ...
 
 This is a permanent error. The following address(es) failed:
 
 The following text was generated during the delivery attempt(s):
 
 -- This is a copy of the message, including all the headers.
   --
 
 -- The body of the message is $message_size characters long;
   only the first
 -- $bounce_return_size_limit or so are included here.
 
 
 
 С уважением,
 Голуб Михаил
 
 ___
 Exim-users mailing list
 Exim-users@mailground.net
 http://mailground.net/mailman/listinfo/exim-users
 
 
___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] как сохранить приатаченый файл

[dawnshade]

pipe /usr/bin/ripmime -i - -d /var/mail/attaches

в system filter. Проблема в том что сохранятся будут все части письма, в т.ч. 
plaintext



21 июня 2011, 12:35 от Vasiliy P. Melnik ba...@vpm.net.ua:
 hi all
 Кто-нибудь значет как сохранить приатаченый файл:
 1) средствами экзима
 2) другими каким-либо средствами.
 
 
 -- 
 ---
 Vasiliy P. MelnikVPM-UANIC
 
 ___
 Exim-users mailing list
 Exim-users@mailground.net
 http://mailground.net/mailman/listinfo/exim-users
___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users