Re: [Exim-users] Exim forany

[Mikhail Golub]

Спасибо, посмотрю.

Я на столько не успел заморочиться :(
Что в голову пришло - сделал. Спам, который шел в то время, был отсеян.


On 27.01.2022 16:36, Victor Ustugov wrote:

Victor Ustugov wrote on 27.01.2022 14:21:

Mikhail Golub wrote on 27.01.2022 14:11:



{\N"|\s+|-|\/\N}


{\N["\s-/]+\N}


Вернее так:
{\N["\s/-]+\N}


а там точно минус нужен?
он может быть частью названия домена из +virtual_domains


Так адрес же отсекается через extract по разделителю "<".


кстати, не факт, что это тоже удачная идея

например, для вот такого случая:

From: "Mail-Admin " 

в том же Thunderbird и в списке писем и при просмотре письма в колонке и
соответственно поле "От" будет указано:

Mail-Admin 


если пытаться сооружать длинную конструкцию, которая будет из $h_From:
убирать не просто первую встретившуюся открывающуюся угловую скобку и
всё за ней, а то, то находится между последней открывающейся угловой
скобкой и последней закрывающейся, а также все пробельные символы до и
после, то при интерпретации всей конструкции (включая forany) в exim -be
тот может выдать вот такое сообщение об ошибке:

exim: length limit exceeded (286 > 256) for: recipient

всё зависит от общей длины конструкции, которая зависит от длины
заголовка From. но даже не очень длинные заголовки проверить не получилось.

как вариант - можно вынести логику получения текста перед адресов
отправителя из заголовка From в отдельный acl.


acl_addr_text:
  accept message= ${if match{$acl_arg1}\
{\N^\s*(.*)\s*<[^<>]+@[^<>]>\s*$\N}\
{$1}\
{${if match{$acl_arg1}{\N^\s*(.*)\s\S+?\s*$\N}{$1}{


тогда само условие будет выглядеть как-то так:

condition = ${if forany {<; \
${sg{${acl{acl_addr_text}{$h_From:}}}{\N[@"'\s/<>]+\N}{;}}\
}{match_domain{$item}{+virtual_domains}}}

такое условие отловит и текст в виде полноценных почтовых адресов перед
адресом отправителя и минусы в названиях доменов.



extract отсекает из заголовка From адрес отправителя.
а я имею ввиду, что минус может быть частью названия домена из
именованного списка +virtual_domains, т. е. частью названия одного из
доменов получателей.

тогда при использовании минуса в качестве одного из возможных
разделителей текста из From такой домен будет разделён на две части.

т. е. если в +virtual_domains присутствует домен my-domain.ua, а
заголовок From выглядит как

"Mail-Admin my-domain.ua" 

, то при использовании минуса в качестве разделителя текста из From на
части получится


# exim -be '${sg{${extract{1}{<}{"Mail-Admin my-domain.ua"
}}}{\N["\s/-]+\N}{;}}'
;Mail;Admin;my;domain.ua;


и на наличие в +virtual_domains домен my-domain.ua проверен не будет.
будут проверены отдельно my и domain.ua








___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] Exim forany

[Mikhail Golub]

On 27.01.2022 14:09, Victor Ustugov wrote:

l...@lena.kiev.ua wrote on 27.01.2022 14:06:

{\N"|\s+|-|\/\N}


{\N["\s-/]+\N}


Вернее так:
{\N["\s/-]+\N}


а там точно минус нужен?
он может быть частью названия домена из +virtual_domains


Так адрес же отсекается через extract по разделителю "<".


___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] Exim forany

[Mikhail Golub]

да, оно. Спасибо.
Убирает двойные значения...

On 27.01.2022 13:20, l...@lena.kiev.ua wrote:

{\N"|\s+|-|\/\N}


{\N["\s-/]+\N}


___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users




___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] Exim forany

[Mikhail Golub]

On 27.01.2022 13:16, Victor Ustugov wrote:

Mikhail Golub wrote on 27.01.2022 12:31:

Доброго времени суток.


доброго


Такое выражение:
exim -be -d+all '${if forany { :Mail:Admin:test:: } {inlisti
{$item}{test}}}'

Т.е. список начинается с пустого значения и заканчивается двумя пустыми
значениями.


по идее, в конце там не два пустых значения. задвоение двоеточия
позволяет указать, что двоеточие является частью элемента списка.


6.20 List construction
--
...
If a colon is actually needed in an item in a list, it must be
entered as two colons.


Так тоже не исправляет ситуацию:
exim -be '${if forany {<; ;Mail;Admin;test;; } {inlisti {$item}{test}}}'

Именно в конце списка такое поведение. Делимитер роли не играет (что 
";", что запятая).






И вот в конце два пустых значения подряд не обрабатывает.
12:25:11 11880  forany: $item = ""
12:25:11 11880  forany: $item = "Mail"
12:25:11 11880  forany: $item = "Admin"
12:25:11 11880  forany: $item = "test:"

Суть всего этого - отсекание спама с моими доменами в поле "От:" в
конверте, не в адресе.


это не конверт. по крайней мере не то, что в SMTP называется envelope.

Да, это "From:", не envelope-from:


и как спам-то отсекается в данном случае? это способ поиска слова "test"
в заголовке From перед адресом?

Да, поиск своего домена в поле "От:" перед адресом.
Это фишинговые письма ...

Правилом ниже вот такие From: отсекаются.
From: Documents-mydomain.ua  

А вот так уже нет.
From: "Mail-Admin mydomain.ua" 

Потому как в конце кавычки и пробел, что дает "два пустых значения" в 
списке.

Можно, конечно, перед обработкой удалять кавычки ...
Но может как-то изхитриться с forany можно?




Например:
"Mail-Admin mydomain.ua" 

Варианты могут быть с разделением через пробел, дефис, косую черту ...
Это решил через sg и extract.

А вот с forany засада получается :(

Вот полное условие:
condition = ${if forany {<;
${sg{${extract{1}{<}{$h_From:}}}{\N"|\s+|-|\/\N}{;}} } {match_domain
{$item}{+virtual_domains}}}

P.S. Exim version 4.95 #1 (FreeBSD 12.3)






___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

[Exim-users] Exim forany

[Mikhail Golub]

Доброго времени суток.

Такое выражение:
exim -be -d+all '${if forany { :Mail:Admin:test:: } {inlisti 
{$item}{test}}}'


Т.е. список начинается с пустого значения и заканчивается двумя пустыми 
значениями.


И вот в конце два пустых значения подряд не обрабатывает.
12:25:11 11880  forany: $item = ""
12:25:11 11880  forany: $item = "Mail"
12:25:11 11880  forany: $item = "Admin"
12:25:11 11880  forany: $item = "test:"

Суть всего этого - отсекание спама с моими доменами в поле "От:" в 
конверте, не в адресе.


Например:
"Mail-Admin mydomain.ua" 

Варианты могут быть с разделением через пробел, дефис, косую черту ...
Это решил через sg и extract.

А вот с forany засада получается :(

Вот полное условие:
condition = ${if forany {<; 
${sg{${extract{1}{<}{$h_From:}}}{\N"|\s+|-|\/\N}{;}} } {match_domain 
{$item}{+virtual_domains}}}


P.S. Exim version 4.95 #1 (FreeBSD 12.3)


___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] Exim 4.95: рост kern.openfiles

[Mikhail Golub]

On 19.01.2022 14:42, Victor Ustugov wrote:

Mikhail Golub wrote on 19.01.2022 14:06:



exim был запущен примерно в 3 часа ночи в субботу?


uptime сервера 7 суток. Значит не в субботу.


exim мог быть рестартован

можно показать вывод вот этой команды?

ps axwu | awk '{if($2=="'$(cat /var/run/exim.pid)'") print $9}'


Утром сегодня перезапускал. Не будет ожидаемого результата.

Но вот вывод обеих комманд.

# ps axwu | awk '{if($2=="'$(cat /var/run/exim.pid)'") print $9}'
08:42

# lsof -c exim | grep /usr/local/share/certs | awk '{print $NF}' | sort |
uniq -c
   12 /usr/local/share/certs
   12 /usr/local/share/certs/ca-root-nss.crt


ну вот примерно два в час.
там немного нелинейная зависимость, по крайней мере на моих серверах.

а можно попросить проверить количество открытых exim'ом файлов
/usr/local/share/certs/ca-root-nss.crt через несколько часов и показать
это количество?


На этом же сервере спустя 10 часов.

# ps axwu | awk '{if($2=="'$(cat /var/run/exim.pid)'") print $9}'
08:42

# lsof -c exim | grep /usr/local/share/certs | awk '{print $NF}' | sort 
| uniq -c

   4 /usr/local/share/certs
   4 /usr/local/share/certs/ca-root-nss.crt



___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] Exim 4.95: рост kern.openfiles

[Mikhail Golub]

On 19.01.2022 13:05, Victor Ustugov wrote:

Mikhail Golub wrote on 19.01.2022 12:38:


exim был запущен примерно в 3 часа ночи в субботу?


uptime сервера 7 суток. Значит не в субботу.


exim мог быть рестартован

можно показать вывод вот этой команды?

ps axwu | awk '{if($2=="'$(cat /var/run/exim.pid)'") print $9}'


Утром сегодня перезапускал. Не будет ожидаемого результата.

Но вот вывод обеих комманд.

# ps axwu | awk '{if($2=="'$(cat /var/run/exim.pid)'") print $9}'
08:42

# lsof -c exim | grep /usr/local/share/certs | awk '{print $NF}' | sort |
uniq -c
  12 /usr/local/share/certs
  12 /usr/local/share/certs/ca-root-nss.crt


FreeBSD 12.3-RELEASE-p1




я оставил 4.95_1 на двух серверах. на одном с патчем, на другом - нет.
на обоих количество открытий /usr/local/openssl/cert.pem увеличивается
на 2 в час.

можно, конечно, раз в неделю при ротации логов вместо kill -HUP
выполнять restart. но всё равно, странно всё это выглядит.



На другом, тестовом:
     4 /usr/local/share/certs
     4 /usr/local/share/certs/ca-root-nss.crt


тут тоже exim 4.95_1?


да, с тем патчем.


и при этом количество открытий файла
/usr/local/share/certs/ca-root-nss.crt не увеличивается?





___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] Exim 4.95: рост kern.openfiles

[Mikhail Golub]

On 18.01.2022 18:06, Victor Ustugov wrote:

Mikhail Golub wrote on 18.01.2022 14:09:


а можно показать вывод вот этой команды после наложения патча из
https://lists.exim.org/lurker/message/20220111.113646.d215e8b6.en.html ?

lsof -c exim | grep /usr/local/share/certs | awk '{print $NF}' | sort |
uniq -c


  180 /usr/local/share/certs
  180 /usr/local/share/certs/ca-root-nss.crt


exim был запущен примерно в 3 часа ночи в субботу?


uptime сервера 7 суток. Значит не в субботу.


На другом, тестовом:
    4 /usr/local/share/certs
    4 /usr/local/share/certs/ca-root-nss.crt


тут тоже exim 4.95_1?


да, с тем патчем.







___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] Exim 4.95: рост kern.openfiles

[Mikhail Golub]

On 17.01.2022 18:01, Victor Ustugov wrote:

а можно показать вывод вот этой команды после наложения патча из
https://lists.exim.org/lurker/message/20220111.113646.d215e8b6.en.html ?

lsof -c exim | grep /usr/local/share/certs | awk '{print $NF}' | sort |
uniq -c


 180 /usr/local/share/certs
 180 /usr/local/share/certs/ca-root-nss.crt

На другом, тестовом:
   4 /usr/local/share/certs
   4 /usr/local/share/certs/ca-root-nss.crt



___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] Exim 4.95: рост kern.openfiles

[Mikhail Golub]

Написал в exim-users англоязычную.
https://lists.exim.org/lurker/thread/20220111.094325.893e2763.en.html


On 11.01.2022 12:08, l...@lena.kiev.ua wrote:

lsof -c exim


У меня тестовый "сервачок", на котором за сутки пролетает два письма :)
И Exim утром перезапускался.

# lsof -c exim
COMMAND   PID USER   FD TYPE   DEVICE SIZE/OFF 
NODE NAME
exim12441 mailnull  cwd VDIR 307188765,36747261165 
131088 /var/spool/exim

exim12441 mailnull  rtd VDIR 307188765,3674726116   25 34 /
exim12441 mailnull0u  KQUEUE   0xf8003dd84100 
  count=0, state=0x1
exim12441 mailnull1uVCHR 0,14  0t0 
14 /dev/null
exim12441 mailnull2uVCHR 0,14  0t0 
14 /dev/null
exim12441 mailnull3uunix   0xf8001c7f26d0  0t0 
  /var/spool/exim/exim_daemon_notify
exim12441 mailnull4uIPv4   0xf8007a39  0t0 
TCP localhost:smtp (LISTEN)
exim12441 mailnull5uIPv4   0xf80019cd73d8  0t0 
TCP localhost:submission (LISTEN)
exim12441 mailnull6uIPv4   0xf8006a4963d8  0t0 
TCP 10.7.0.212:smtp (LISTEN)
exim12441 mailnull7uIPv4   0xf8006a962b88  0t0 
TCP 10.7.0.212:submission (LISTEN)
exim12441 mailnull8uIPv4   0xf80010a327b0  0t0 
TCP 192.168.44.254:smtp (LISTEN)
exim12441 mailnull9uIPv4   0xf8006a9627b0  0t0 
TCP 192.168.44.254:submission (LISTEN)
exim12441 mailnull   10rVDIR 307188765,36747261167 
131973 /usr/local/etc/exim/cert
exim12441 mailnull   11rVREG 307188765,3674726116 2269 
131974 /usr/local/etc/exim/cert/***.cer
exim12441 mailnull   12rVDIR 307188765,36747261167 
131973 /usr/local/etc/exim/cert
exim12441 mailnull   13rVREG 307188765,3674726116 1679 
131975 /usr/local/etc/exim/cert/***.key
exim12441 mailnull   14rVDIR 307188765,36747261166 
697 /etc/ssl
exim12441 mailnull   15rVDIR 307188765,36747261163 
155281 /usr/local/share/certs
exim12441 mailnull   16rVREG 307188765,3674726116   710164 
155282 /usr/local/share/certs/ca-root-nss.crt
exim12441 mailnull   17rVDIR 307188765,36747261166 
697 /etc/ssl
exim12441 mailnull   18rVDIR 307188765,36747261163 
155281 /usr/local/share/certs
exim12441 mailnull   19rVREG 307188765,3674726116   710164 
155282 /usr/local/share/certs/ca-root-nss.crt
exim12441 mailnull   20rVDIR 307188765,36747261166 
697 /etc/ssl
exim12441 mailnull   21rVDIR 307188765,36747261163 
155281 /usr/local/share/certs
exim12441 mailnull   22rVREG 307188765,3674726116   710164 
155282 /usr/local/share/certs/ca-root-nss.crt
exim12441 mailnull   23rVDIR 307188765,36747261166 
697 /etc/ssl
exim12441 mailnull   24rVDIR 307188765,36747261163 
155281 /usr/local/share/certs
exim12441 mailnull   25rVDIR 307188765,36747261163 
155281 /usr/local/share/certs
exim12441 mailnull   26rVDIR 307188765,36747261163 
155281 /usr/local/share/certs
exim12441 mailnull   27rVDIR 307188765,36747261163 
155281 /usr/local/share/certs
exim12441 mailnull   28rVDIR 307188765,36747261163 
155281 /usr/local/share/certs
exim12441 mailnull   29rVDIR 307188765,36747261163 
155281 /usr/local/share/certs
exim12441 mailnull   30rVDIR 307188765,36747261163 
155281 /usr/local/share/certs
exim12441 mailnull   31rVDIR 307188765,36747261163 
155281 /usr/local/share/certs
exim12441 mailnull   32rVDIR 307188765,36747261163 
155281 /usr/local/share/certs
exim12441 mailnull   33rVDIR 307188765,36747261163 
155281 /usr/local/share/certs
exim12441 mailnull   34rVDIR 307188765,36747261163 
155281 /usr/local/share/certs
exim12441 mailnull   35rVDIR 307188765,36747261163 
155281 /usr/local/share/certs
exim12441 mailnull   36rVDIR 307188765,36747261163 
155281 /usr/local/share/certs
exim12441 mailnull   37rVDIR 307188765,36747261163 
155281 /usr/local/share/certs
exim12441 mailnull   38rVDIR 307188765,36747261163 
155281 /usr/local/share/certs
exim12441 mailnull   39rVDIR 307188765,36747261163 
155281 /usr/local/share/certs
exim12441 mailnull   40rVDIR 307188765,36747261163 
155281 /usr/local/share/certs
exim12441 mailnull   41rVDIR 307188765,36747261163 
155281 /usr/local/share/certs
exim12441 mailnull   42rVDIR 307188765,36747261163 
155281 /usr/local/share/certs
exim12441 mailnull   43rVDIR 307188765,36747261163 
155281 /usr/local/share/certs
exim12441 mailnull   44rVDIR 307188765,36747261163 
155281 /usr/local/share/certs
exim12441 mailnull   45rVDIR 307188765,36747261163 
155281 

[Exim-users] Exim 4.95: рост kern.openfiles

[Mikhail Golub]

Доброго времени суток.

После перехода на версию 4.95 Exim на FreeBSD 12.3 заметил такой баг ...
Растет число открытых файлов, и через несколько дней просто стопорится 
доставка почты.


в paniclog:
2022-01-10 18:34:45 [1412] daemon: fdopen() for smtp_out failed: Too 
many open files


Это в messages:
Jan 10 18:34:29 mx exim[22336]: unable to open LA file: 
/usr/local/lib/sasl2/libcrammd5.la
Jan 10 18:34:29 mx exim[22336]: unable to open LA file: 
/usr/local/lib/sasl2/libscram.la
Jan 10 18:34:29 mx exim[22336]: unable to open LA file: 
/usr/local/lib/sasl2/libotp.la
Jan 10 18:34:29 mx exim[22336]: unable to open LA file: 
/usr/local/lib/sasl2/libsasldb.la
Jan 10 18:34:29 mx exim[22336]: unable to open LA file: 
/usr/local/lib/sasl2/libdigestmd5.la



Exim -bV
Exim version 4.95 #1 (FreeBSD 12.3) built 11-Jan-2022 08:36:14
Copyright (c) University of Cambridge, 1995 - 2018
(c) The Exim Maintainers and contributors in ACKNOWLEDGMENTS file, 2007 
- 2020

Probably Berkeley DB version 1.8x (native mode)
Support for: iconv() use_setclassresources Expand_dlfunc OpenSSL 
TLS_resume Content_Scanning DKIM DMARC PIPE_CONNECT 
Experimental_Queue_Ramp SPF SRS TCP_Fast_Open Experimental_ARC
Lookups (built-in): lsearch wildlsearch nwildlsearch iplsearch cdb dbm 
dbmjz dbmnz dnsdb dsearch ldap ldapdn ldapm mysql passwd

Authenticators:
Routers: accept dnslookup ipliteral manualroute queryprogram redirect
Transports: appendfile autoreply pipe smtp
Malware: f-protd f-prot6d drweb fsecure sophie clamd avast sock cmdline
Fixed never_users: 0
Configure owner: 0:0
Size of off_t: 8
Configuration file is /usr/local/etc/exim/configure


Открыто моногкратно вот этот каталог (вывод lsof из портов):
COMMAND PID USER   FD TYPEDEVICE 
SIZE/OFFNODE NAME

...
exim  14854 mailnull 1182rVDIR  0,85 
   512 2327639 /usr/local/share/certs
exim  14854 mailnull 1183rVDIR  0,85 
   512 2327639 /usr/local/share/certs
exim  14854 mailnull 1184rVDIR  0,85 
   512 2327639 /usr/local/share/certs
exim  14854 mailnull 1185rVDIR  0,85 
   512 2327639 /usr/local/share/certs
exim  14854 mailnull 1186rVDIR  0,85 
   512 2327639 /usr/local/share/certs
exim  14854 mailnull 1187rVDIR  0,85 
   512 2327639 /usr/local/share/certs
exim  14854 mailnull 1188rVDIR  0,85 
   512 2327639 /usr/local/share/certs
exim  14854 mailnull 1189rVDIR  0,85 
   512 2327639 /usr/local/share/certs
exim  14854 mailnull 1190rVDIR  0,85 
   512 2327639 /usr/local/share/certs
exim  14854 mailnull 1191rVDIR  0,85 
   512 2327639 /usr/local/share/certs



С пред. версией 4.94.2 такой проблемы небыло.

Может кто сталкивался с подобным поведением?
Рестарт exim закрывает все файлы. Но потом kern.openfiles снова 
посетепенно растет.



___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

[Exim-users] DMARC

[Mikhail Golub]

Всем привет.

Помогите разобраться в таком вопросе.

Есть некий внешний отправитель (домен_отправителя.com), который шлет 
письмо на адрес рассылки в O365 (облачный_домен.ua), в которую включен 
другой внешний получатель, почту которого получает Exim.
У отправителя все в порядке с SPF, DKIM, DMARC, если верить заголовкам 
письма при приеме его в облачном Exchange.


Схема где-то такая:
sender -> o365 -> exim

Дальше облачный Exchange делает перезапись envelope from, т.е. с SPF 
проблем нет.

Добавляет свою DKIM запись облачного домена.

На на конечной точке (Exim) проверка DMARC не проходит, так как одна из 
двух DKIM записей повреждена.


Authentication-Results: ***;
iprev=pass (mail-eopbgr150115.outbound.protection.outlook.com) 
smtp.remote-ip=40.107.15.115;

spf=pass smtp.mailfrom=облачный_домен.ua;
dkim=pass header.d=***.onmicrosoft.com 
header.s=selector2-***-onmicrosoft-com header.a=rsa-sha256;
dkim=fail (signature did not verify; headers probably modified 
in transit)
 header.d=домен_отправителя.com header.s=selector1 
header.a=rsa-sha256;

dmarc=fail header.from=домен_отправителя.com

Получается, что первая DKIM подись от домен_отправителя.com повреждена.
Из-за этого не проходит и проверка DMARC.

Как правильнее поступить в данной ситуации?


___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] кривое helo

[Mikhail Golub]

Виктор, давайте не цеплятся к фразам буквально :)

On 17.06.2021 13:00, Victor Ustugov wrote:

Вот за сегодня без точки вообще, например.
H=(zg-0609c-44) [192.241.218.24]
H=(WIN-CLJ1B0GQ6JP) [104.167.223.4]
H=(User) [212.192.241.234]


и где тут helo с точкой в начале, как в регекспе, после которого было
написано о том, что таких helo давно не было?


Я привел пример, но не написал что "с точкой в начале".
А следующая же строчка "С точкой в начале да, небыло".





Зато спама достаточно пытаются отправлять.

2021-06-17 00:02:15 [10227] H=(185.158.115.191) [176.195.149.65]
rejected EHLO or HELO 185.158.115.191: REJECTED: Invalid HELO
"185.158.115.191"


это не литерал


А я и не писал, что это литерал.
Просто приветствие в виде IP.
И, опять же, привел несколько примеров отказа в приеме на основе моих 
правил.





2021-06-17 00:02:27 [10248] H=([103.155.81.4]) [103.155.81.4] rejected
EHLO or HELO [103.155.81.4]: REJECTED: Invalid HELO "[103.155.81.4]"
2021-06-17 00:15:22 [10842] H=([154.57.200.200]) [154.57.200.200]
rejected EHLO or HELO [154.57.200.200]: REJECTED: Invalid HELO
"[154.57.200.200]"
2021-06-17 00:31:27 [11587] H=([127.0.0.1]) [190.119.249.155] rejected
EHLO or HELO [127.0.0.1]: REJECTED: Invalid HELO "[127.0.0.1]"

За сегодня по HELO было не принято только 49 писем.
Но это тоже результат.






___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] кривое helo

[Mikhail Golub]

On 17.06.2021 12:37, Victor Ustugov wrote:

Mikhail Golub wrote on 17.06.2021 12:14:

Я дропаю.

drop condition = ${if or {\
     {!match{$sender_helo_name}{\\\.}}\
     {match{$sender_helo_name}{\N^\.\N}}\


таких helo вроде уже много лет не видно было.


Вот за сегодня без точки вообще, например.
H=(zg-0609c-44) [192.241.218.24]
H=(WIN-CLJ1B0GQ6JP) [104.167.223.4]
H=(User) [212.192.241.234]

С точкой в начале да, небыло. Но правило пусть будет, не мешает.

Все домашние ПК с вирусами представляются подобной ерундой.






     {isip{$sender_helo_name}}\

{match{$sender_helo_name}{\N^\[\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}\]\N}}\


а литералы-то за что?


В свое время проверял - легитимных писем с таких хостов небыло.
Зато спама достаточно пытаются отправлять.

2021-06-17 00:02:15 [10227] H=(185.158.115.191) [176.195.149.65] 
rejected EHLO or HELO 185.158.115.191: REJECTED: Invalid HELO 
"185.158.115.191"
2021-06-17 00:02:27 [10248] H=([103.155.81.4]) [103.155.81.4] rejected 
EHLO or HELO [103.155.81.4]: REJECTED: Invalid HELO "[103.155.81.4]"
2021-06-17 00:15:22 [10842] H=([154.57.200.200]) [154.57.200.200] 
rejected EHLO or HELO [154.57.200.200]: REJECTED: Invalid HELO 
"[154.57.200.200]"
2021-06-17 00:31:27 [11587] H=([127.0.0.1]) [190.119.249.155] rejected 
EHLO or HELO [127.0.0.1]: REJECTED: Invalid HELO "[127.0.0.1]"


За сегодня по HELO было не принято только 49 писем.
Но это тоже результат.




___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] кривое helo

[Mikhail Golub]

Я дропаю.

drop condition = ${if or {\
{!match{$sender_helo_name}{\\\.}}\
{match{$sender_helo_name}{\N^\.\N}}\
{isip{$sender_helo_name}}\

{match{$sender_helo_name}{\N^\[\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}\]\N}}\
 }}


drop condition  = ${if match_domain{$sender_helo_name}\

{$primary_hostname:+virtual_domains:+shared_mail_domains:*.domain:*.localdomain:static.vnpt.vn:\N^vps\d+\.com:^lfuzemail\.co$\N} 
}


Шаровые почтовые сервисы именем домена не представляются.
Моими доменами тоже нечего предствляться.
Или localhost.localdomain ...

Ну и белые списки никто не отменял.
Или гос. контор, которые из-за отсутвия нормальных админов просто не 
могут (или не хотят) решить проблему.



On 15.06.2021 12:03, Alexander Titaev wrote:

Здравствуйте, .

Гайзы, как на такое реагируете?

nore...@support.reg.ru H=support.reg.ru (otrs-dc1) [31.31.205.141] P=esmtps 
X=TLSv1.2:ECDHE-RSA-AES256-GCM-SHA384:256 CV=no S=23078 DKIM=reg.ru 
id=1623720807.841600.669698349.28300375.1...@otrs.reg.ru

или вот

H=(serv-site1.localdomain) [185.183.174.114] F=
inetnum:185.183.174.0 - 185.183.175.255
netname:RSNET
descr:  Federal Guard Service of the Russian Federation




___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] Спам от сервисов почтовых рассылок

[Mikhail Golub]

Спасибо всем за ответы.

Да, согласен, что это спам и с ним надо бороться.
Но, пожалуй, соглашусь и с Владимиром, что в случае с MailChimp и т.п. 
проще отписать пользователя, чем выяснять причины насколько легитимно и 
как адрес попал к ним в базы для рассылок.

Тем более, что у меня получателей гораздо меньше, чем на ukr.net :)
И жалобы пользователей редкие на такой спам, чтобы устраивать "разбор 
полетов".


On 07.04.2021 13:42, Vsevolod Stakhov wrote:

On 07/04/2021 08:01, Vladimir Sharun wrote:

Привет,

А с ними надо бороться ? Единичные какие-то рассылки - легче отписаться
и забыться, потому что на поверку оказывается, что при регистрации на
сервисе Х мы дали согласие на передачу своих данных их партнёрам. Так
например меня неск недель назад начал почему-то бомбить письмами
Nutanix, который контакты получил (неважно как) у организаторов
конференций по облакам. Это законно.


Это прекрасно попадает под определение "спам" - те письма, на получение
которых пользователи *явно* не подписывались. И таких спамеров можно и
нужно наказывать, плохо, что не все постмастеры так считают.


___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users




___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] Спам от сервисов почтовых рассылок

[Mikhail Golub]

Пользователи заголовки писем не смотрят :(
Они помечают письмо как спам, а дальше я смотрю что с ним делать.
И если явный спам более-менее нормально отсекается, то вот такой 
"легитимный" - увы :(


И доставать с каждого письма эти ссылки хлопотное занятие.
И у одних сервисов они есть, у других нет.
У некоторых просто ссылка mailto:va...@mail.ru?Subject=Unsubscribe

Похоже, что "универсального" решения нет.
Кроме как доставать эти ссылки из писем (можно скриптом), и отписывать 
пользователей от рассылок, на которые они не подписывались.


On 07.04.2021 9:50, l...@lena.kiev.ua wrote:

Отправка в SPAMCOP результата не дает.


А вот это?

X-Report-Abuse: Please report abuse for this campaign here:
https://mailchimp.com/contact/abuse/?u=***


___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users




___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

[Exim-users] Exim 4.94 - daemon_notifier_socket bind: Address already in use

[Mikhail Golub]

Доброго времени суток.

Есть такая неприятность с Exim 4.94 на FreeBSD.

Летом задавал вопрос в англоязычную рассылку.
https://www.mail-archive.com/exim-users@exim.org/msg54600.html

Но вроде как Jeremy подвел все к багу 2616 
https://www.mail-archive.com/exim-users@exim.org/msg54821.html


Это не мой случай.
Никаких мульти инстансов.

В rc.conf:
sendmail_enable="NO"
exim_enable="YES"
exim_flags="-bd -q5m"

"If the Exim command line uses a -oX option and does not use -oP then a 
notifier socket is not created." - этих опций тоже нет.



На работу это не влияет, но напрягает появление paniclog после reload.
Наверняка подобная проблема еще у кого-то есть. Прошу поделиться решением.


___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] Exim: проверка вложенных архивов

[Mikhail Golub]

Да, всетаки "{$value}{$value}" спасло.
Спасибо.

On 31.10.2020 9:18, l...@lena.kiev.ua wrote:

Проверять надо так:

exim -be '${run{/usr/local/bin/7z l -ba /path/test.zip}{$value}{$value}}'

exim -be '${run{/usr/local/bin/7z l -ba test.zip}{$value}{$value}}'

ERROR: No more files
test.zip


При такой проверке нужно указывать путь к файлу,
т.к. текущая директория при выполнении команды из Exim другая
(кажется /var/spool/exim).

Да, я указывал.
Просто в рассылку сократил путь, указав только файл.


У меня такая ошибка была при проверке, если не указать путь.
А если указать, и вставить {$value}{$value}
то работает.


Рабочий код не замысловатый.
set acl_m_winbin_atach = ${if match{${run{/usr/local/bin/7z l -ba
$mime_decoded_filename}}} {\N(?i)\.(WINBIN)($|\n)\N} {$1}}


$mime_decoded_filename содержит и путь тоже.

Да.
Работает проверка уже несколько лет.
А на этом архиве не сработала :(
И пока не могу понять почему.


Потому что код возврата 7z неулевой. Нужно вставить {$value}{$value}


___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users




___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] Exim: проверка вложенных архивов

[Mikhail Golub]

On 31.10.2020 7:33, l...@lena.kiev.ua wrote:

Проверять надо так:

exim -be '${run{/usr/local/bin/7z l -ba /path/test.zip}{$value}{$value}}'

exim -be '${run{/usr/local/bin/7z l -ba test.zip}{$value}{$value}}'

ERROR: No more files
test.zip


При такой проверке нужно указывать путь к файлу,
т.к. текущая директория при выполнении команды из Exim другая
(кажется /var/spool/exim).

Да, я указывал.
Просто в рассылку сократил путь, указав только файл.



Рабочий код не замысловатый.
set acl_m_winbin_atach = ${if match{${run{/usr/local/bin/7z l -ba
$mime_decoded_filename}}} {\N(?i)\.(WINBIN)($|\n)\N} {$1}}


$mime_decoded_filename содержит и путь тоже.

Да.
Работает проверка уже несколько лет.
А на этом архиве не сработала :(
И пока не могу понять почему.



___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users




___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] Exim: проверка вложенных архивов

[Mikhail Golub]

On 30.10.2020 23:47, l...@lena.kiev.ua wrote:

А вот так - нет результата:
exim -be '${run{/usr/local/bin/7z l -ba test.zip}}'

Этот проблемный архив на самом деле lzh, переименованный в zip.
Но 7z его открывает без проблем, как видим.


Но выдает ненулевой код возврата. Поэтому Exim использует 
которой нет.

Спасибо.



Но почему-то через Exim не так выполняется команда, как задумано.


Проверять надо так:

exim -be '${run{/usr/local/bin/7z l -ba /path/test.zip}{$value}{$value}}'

exim -be '${run{/usr/local/bin/7z l -ba test.zip}{$value}{$value}}'

ERROR: No more files
test.zip

System ERROR:
Unknown error: -2147024872

И так же и на нормальный архив.



Ну и в рабочий код добавить это: {$value}{$value}


Рабочий код не замысловатый.
set acl_m_winbin_atach = ${if match{${run{/usr/local/bin/7z l -ba 
$mime_decoded_filename}}} {\N(?i)\.(WINBIN)($|\n)\N} {$1}}





___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users




___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

[Exim-users] Exim: проверка вложенных архивов

[Mikhail Golub]

Доброго времени суток.

В Exim реализована проверка опасных вложений во вложенных архивах.
Да много где так уже сделано.

Но на днях пришло письмо.
Во вложении zip. А в архиве файл *.js

Начал разбираться, почему же прошло ...

Если выполнить в консоли, то все ок.
В архиве файл "рахунок до оплати №280 за октябрь 2020р..js"
/usr/local/bin/7z l -ba test.zip
2020-10-27 21:51:52 . 5661 1442  à åã­®ª ¤® ®¯« â¨ 
ü280 §  ®ªâï¡àì 2020à..js


А вот так - нет результата:
exim -be '${run{/usr/local/bin/7z l -ba test.zip}}'

Этот проблемный архив на самом деле lzh, переименованный в zip.
Но 7z его открывает без проблем, как видим.
Но почему-то через Exim не так выполняется команда, как задумано.

Сам архив здесь https://fex.net/s/krdefna (доступен до 6.11.2020)
В архиве вирус, поэтому осторожно.

С дебагом.
exim -d+all -be '${run{/usr/local/bin/7z l -ba test.zip}}'

***
07:11:47  1770  ╭considering: ${run{/usr/local/bin/7z l -ba test.zip}}
07:11:47  1770   ╭considering: /usr/local/bin/7z l -ba test.zip}}
07:11:47  1770   ├──expanding: /usr/local/bin/7z l -ba test.zip
07:11:47  1770   ╰─result: /usr/local/bin/7z l -ba test.zip
07:11:47  1770 direct command:
07:11:47  1770   argv[0] = '/usr/local/bin/7z'
07:11:47  1770   argv[1] = 'l'
07:11:47  1770   argv[2] = '-ba'
07:11:47  1770   argv[3] = 'test.zip'
07:11:47  1770 fresh-exec forking for expand-run
07:11:47  1770 fresh-exec forked for expand-run: 1771
07:11:47  1771 postfork: expand-run
07:11:47  1770  ├──expanding: ${run{/usr/local/bin/7z l -ba test.zip}}
07:11:47  1770  ╰─result:

07:11:47  1770 search_tidyup called
07:11:47  1770  Exim pid=1770 (fresh-exec) terminating 
with rc=0 



Exim version 4.94 #2 (FreeBSD 12.1)

7-Zip [64] 16.02 : Copyright (c) 1999-2016 Igor Pavlov : 2016-05-21
p7zip Version 16.02 (locale=ru_RU.UTF-8,Utf16=on,HugeFiles=on,64 bits,2 
CPUs x64)



___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

[Exim-users] Дефис в начале локальной части адреса

[Mikhail Golub]

Доброго времени суток.

Есть 4.94.

И есть в нем такое правило:
deny message = Not RFC-822 characters in recipient address
 condition   = ${if 
match{$local_part}{\N(^[\|\.\$\*\-\?']|\.\.|.*[\\`<>*$!\x80-\xff])\N}}


И оно работает уже лет 10.
И тут отправляют письмо на адрес, в начале локальной части адреса 
получателя которого дефис.

Exim не пропустил.

Я посмотрю, конечно, RFC822, но дейтвительно ли можно использовать в 
начале дефис?


И если возможно использовать, то как выполнить проверку доставки через 
"exim -bt"?


Например:
# exim -bt -1...@gmail.com
exim abandoned: unknown, malformed, or incomplete option -1...@gmail.com


___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] unknown condition "spf" inside "or{...}" condition

[Mikhail Golub]

# exim -bV
Exim version 4.94 #2 (FreeBSD 12.1) built 10-Sep-2020 07:50:44

Support for: crypteq iconv() use_setclassresources Perl Expand_dlfunc 
OpenSSL Content_Scanning DKIM PIPE_CONNECT PRDR SPF TCP_Fast_Open 
Experimental_SRS



On 15.09.2020 15:41, Viktor Cheburkin wrote:

Hi!

15 сент. 2020 г., в 15:34, Mikhail Golub <mailto:g...@gmn.org.ua>> написал(а):


Доброго времени суток.

Как заставить работать условие?

condition = ${if or { \
{spf=none:softfail} \
{eq{$host_lookup_failed}{1}} \
}}

exim -be 'condition = ${if or { {spf=none:softfail} 
{eq{$host_lookup_failed}{1}} }}'

Failed: unknown condition "spf" inside "or{...}" condition


Судя по этому, exim собран без spf, нужно собрать с libspf.


___
Exim-users mailing list
Exim-users@mailground.net <mailto:Exim-users@mailground.net>
http://mailground.net/mailman/listinfo/exim-users



--
Viktor Cheburkin
VC319-RIPE, VC1-UANIC


___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users




___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

[Exim-users] unknown condition "spf" inside "or{...}" condition

[Mikhail Golub]

Доброго времени суток.

Как заставить работать условие?

condition = ${if or { \
 {spf=none:softfail} \
 {eq{$host_lookup_failed}{1}} \
}}

exim -be 'condition = ${if or { {spf=none:softfail} 
{eq{$host_lookup_failed}{1}} }}'

Failed: unknown condition "spf" inside "or{...}" condition


___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] lookup dnsdb SPF

[Mikhail Golub]

On 21.08.2020 12:24, l...@lena.kiev.ua wrote:

Смотрю dig-ом:


dig на той же машине, где Exim?

да


___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

[Exim-users] lookup dnsdb SPF

[Mikhail Golub]

Доброго времени суток.

Exim version 4.94 #1 (FreeBSD 12.1)

Выполняю простой запрос:
exim -be '${lookup dnsdb{defer_never,txt=em-sj-77.mktomail.com}}'

Получаю:
v=spf1 ip4:211.9.38.237 ip4:202.234.163.65 ip4:202.234.163.66 
ip4:202.234.163.67 ip4:202.234.163.68 ip4:202.234.163.69 
ip4:202.234.163.70 ip4:202.234.163.71 ip4:202.234.163.72

amazonses:MzD+oQLHht6FRxWU0FHJf/e6dieeUbnehA7A2D90iS0=


Смотрю dig-ом:
em-sj-77.mktomail.com.  83170   IN  TXT "v=spf1 ip4:211.9.38.237 
ip4:202.234.163.65 ip4:202.234.163.66 ip4:202.234.163.67 
ip4:202.234.163.68 ip4:202.234.163.69 ip4:202.234.163.70 
ip4:202.234.163.71 ip4:202.234.163.72 " "ip4:202.234.163.73 
ip4:199.15.215.77 include:mktomail.com include:amazon.com 
include:amazonses.com ~all"
em-sj-77.mktomail.com.  83170   IN  TXT 
"amazonses:MzD+oQLHht6FRxWU0FHJf/e6dieeUbnehA7A2D90iS0="



Баг?


___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] max_received_linelength

[Mikhail Golub]

On 22.07.2020 14:45, Viktor Cheburkin wrote:

Hi!


Добавил правило:
warn condition = ${if >{$max_received_linelength}{998}}

За час три алерта прилетело, что длина строки больше 998 символов.

Вопрос. Какую разумно приемлемая длину строки можно указать?


Никакую. Сами же пишете про 39к... Вообще таких писателей довольно 
много, так что не советую, если нет задачи "всех пофильтровать"...


Если бы Exchange "переваривал" такие письма, а не выдавал "554 5.6.0 
Invalid message content" то и вопроса бы не возникло.




___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

[Exim-users] max_received_linelength

[Mikhail Golub]

Доброго времени суток.

Столкнулся вчера, что пришло письмо с темой ... длиной более 39000 символов.
Что самое печальное - письмо не спам. Такие "сайтописатели" на php :(

Знаю о RFC 2822, section 2.1.1.
"There are two limits that this standard places on the number of 
characters in a line. Each line of characters MUST be no more than 998 
characters, and SHOULD be no more than 78 characters, excluding the CRLF."


Но вопрос в том, что Exim это письмо пропустил.
А вот MS Exchange не захотел его обрабатывать.

Если не принимать письма с длиной строки больше 998 символов - будет 
много ложных срабатываний.


Добавил правило:
warn condition = ${if >{$max_received_linelength}{998}}

За час три алерта прилетело, что длина строки больше 998 символов.

Вопрос. Какую разумно приемлемая длину строки можно указать?
И второй вопрос. Можно ли в лог писать, какая именно строка попала под 
правило ">{$max_received_linelength}{998}" ?


Спасибо.


___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] Exim 4.94 - \001 for linear search

[Mikhail Golub]

Взял простейший роутер из документации.
https://www.exim.org/exim-html-current/doc/html/spec_html/ch-the_redirect_router.html

forwarding_router:
  domains = +virtual_domains
  require_files = EXIMDIR/domains/$domain_data
  driver = redirect
  srs = forward
  data = ${lookup{$local_part_data}lsearch*{EXIMDIR/domains/$domain_data}}
  allow_fail

И при выполнении:
./exim -C /usr/local/etc/exim/configure-494 -d-all+route -bt тестовый_адес
получаю:
message: failed to expand 
"${lookup{$local_part_data}lsearch*{/usr/local/etc/exim/domains/$domain_data}}": 
failed to open /usr/local/etc/exim/domains/M for linear search: No such 
file or directory


Если $domain_data заменить на $domain, то:
LOG: MAIN PANIC
  Tainted filename for search: '/usr/local/etc/exim/domains/домен'


09.06.2020 10:19, Vladimir Sharun пишет:

Привет,

Я когда наступил на баг с SPF, сравнивал debug output между версиями. 
Там с большой вероятностью и будет ответ: что-то экспандится не в то, 
что думаешь.





/9 червня 2020, 10:10:05, від "Mikhail Golub" <mailto:g...@gmn.org.ua>>:/


Доброго времени суток.

Опять эти Tained ...
Роутер, работающий на 4.93, не работает на 4.94 :(

forwarding_router:
domains = +virtual_domains
require_files = /usr/local/etc/exim/domains/$domain
driver = redirect
srs = forward
data = ${if

match{${lookup{$local_part}lsearch*{/usr/local/etc/exim/domains/$domain}}}{%1\\@(.+)}{$local_part@$1}{${lookup{$local_part}lsearch*{/usr/local/etc/exim/domains/$domain
allow_fail

R=forwarding_router defer (-1) DT=0s: failed to expand "${if

match{${lookup{$local_part_data}lsearch*{/usr/local/etc/exim/domains/$domain_data}}}{%1\\@(.+)}{$local_part_data@$1}{${lookup{$local_part_data}lsearch*{/usr/local/etc/exim/domains/$domain_data":
failed to open /usr/local/etc/exim/domains/\001 for linear search: No
such file or directory


___
Exim-users mailing list
Exim-users@mailground.net  <mailto:Exim-users@mailground.net>
http://mailground.net/mailman/listinfo/exim-users


___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users




___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

[Exim-users] Exim 4.94 - \001 for linear search

[Mikhail Golub]

Доброго времени суток.

Опять эти Tained ...
Роутер, работающий на 4.93, не работает на 4.94 :(

forwarding_router:
  domains = +virtual_domains
  require_files = /usr/local/etc/exim/domains/$domain
  driver = redirect
  srs = forward
  data = ${if 
match{${lookup{$local_part}lsearch*{/usr/local/etc/exim/domains/$domain}}}{%1\\@(.+)}{$local_part@$1}{${lookup{$local_part}lsearch*{/usr/local/etc/exim/domains/$domain

  allow_fail

R=forwarding_router defer (-1) DT=0s: failed to expand "${if 
match{${lookup{$local_part_data}lsearch*{/usr/local/etc/exim/domains/$domain_data}}}{%1\\@(.+)}{$local_part_data@$1}{${lookup{$local_part_data}lsearch*{/usr/local/etc/exim/domains/$domain_data": 
failed to open /usr/local/etc/exim/domains/\001 for linear search: No 
such file or directory



___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

[Exim-users] Спам через списки рассылок

[Mikhail Golub]

Доброго дня всем.

В последнее время пользователи начали жаловаться на спам, отправленный 
через различные сервисы почтовых рассылок.


В Exim я их так отфильтровал:
condition = ${if or { {inlist{$h_Precedence:}{bulk:list:junk}} 
{def:h_List-Unsubscribe:} }}


И кто только не шлет письма ...
work.ua, smtp-out.amazonses.com, mcdlv.net, sendpulse.me

На некоторые рассылки пользователи подписывались. На некоторые - нет.
Типа на выставке оставили визитку с адресом office@ - и все, спамеры 
считают что можно сюда слать рекламу.


Может у кого-то есть опыт в борьбе с таким спамом?
Как отделить "черное" от "белого"?
SpamAssassin не справляется со списками рассылок :(

SPF, DKIM, DMARC, reverse DNS - все в порядке. Это вполне легитимные MTA.


___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] Exim 4.93 поломался SPF ?

[Mikhail Golub]

20.02.2020 11:40, Vladimir Sharun пишет:

deny !spf = pass


Работает.
./exim -f /usr/local/etc/exim/configure-tmp -bh 212.42.77.198

Разница между "боевым" конфигом и tmp в добавлении в начале check_rcpt:
deny !spf = pass
 message = test


>>> check add_header = :at_start:${authresults {$primary_hostname}}
>>>  = :at_start:Authentication-Results: ...
>>> iprev=pass (frv198.fwdcdn.com) smtp.remote-ip=212.42.77.198;
>>> spf=pass smtp.mailfrom=ukr.net


___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] Exim 4.93 поломался SPF ?

[Mikhail Golub]

20.02.2020 10:30, l...@lena.kiev.ua пишет:

filter_pipe transport failed: attempt to expand tainted string
'$message_id'


А что в строке конфига про system filter?


if first_delivery
then
   unseen pipe "/usr/local/bin/perl /usr/local/etc/exim/my_arc.pl
$message_id $sender_address $recipients $h_subject:"
endif


Не знаю насчет $message_id, но $sender_address и $h_subject точно tainted.
Это не "починят" никогда. Надо жаловаться в англоязычной exim-users,
просить там совета что делать. Пусть думают те, кто придумали эти taint check.


Печально. Надо снова переделывать механизм архивирования почты.


2020-02-20 09:14:31 [32231] 1j4g2Z-0008Nr-Mj Taint mismatch, Ustrncpy:
ip_unixsocket 518


А что в строках конфига насчет соединений с Unix сокетами?


/tmp/mysql.sock
/var/run/spamd.socket


Нет, эти строки полностью.


hide mysql_servers = (/tmp/mysql.sock)/db/user/pass

По второму.
spamd_address = $acl_m_spamd

warn set acl_m_spamd = /var/run/spamd.socket
warn condition = ${if <{$message_size}{1000K}{1}{0}}
 spam = spamd:true/defer_ok





___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users




___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] Exim 4.93 поломался SPF ?

[Mikhail Golub]

20.02.2020 10:07, l...@lena.kiev.ua пишет:

Пришлось отключить system filter.
filter_pipe transport failed: attempt to expand tainted string '$message_id'


А что в строке конфига про system filter?


if first_delivery
then
  unseen pipe "/usr/local/bin/perl /usr/local/etc/exim/my_arc.pl 
$message_id $sender_address $recipients $h_subject:"

endif



И в paniclog пишет пока не понятное (именно так - с лишним переводом
строки). Лог ниже.
Все это на FreeBSD 12.1, exim из портов.

В итоге снова откат на 4.92.3

2020-02-20 09:14:31 [32231] 1j4g2Z-0008Nr-Mj Taint mismatch, Ustrncpy:
ip_unixsocket 518


А что в строках конфига насчет соединений с Unix сокетами?


/tmp/mysql.sock
/var/run/spamd.socket


___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] Exim 4.93 поломался SPF ?

[Mikhail Golub]

Всем привет.

Проверил сегодня. Работает SPF.
Но ...
Пришлось отключить system filter.
filter_pipe transport failed: attempt to expand tainted string '$message_id'

И в paniclog пишет пока не понятное (именно так - с лишним переводом 
строки). Лог ниже.

Все это на FreeBSD 12.1, exim из портов.

В итоге снова откат на 4.92.3

2020-02-20 09:14:31 [32231] 1j4g2Z-0008Nr-Mj Taint mismatch, Ustrncpy: 
ip_unixsocket 518


2020-02-20 09:14:32 [32232] 1j4g2a-0008Ns-Bw Taint mismatch, Ustrncpy: 
ip_unixsocket 518


2020-02-20 09:14:37 [32236] 1j4g2f-0008Nw-IY Taint mismatch, Ustrncpy: 
ip_unixsocket 518


2020-02-20 09:14:40 [32230] 1j4g2f-0008Nq-JK Taint mismatch, Ustrncpy: 
ip_unixsocket 518


2020-02-20 09:14:42 [32237] 1j4g2j-0008Nx-Qn Taint mismatch, Ustrncpy: 
ip_unixsocket 518


2020-02-20 09:15:41 [32295] 1j4g3h-0008Ot-1X Taint mismatch, Ustrncpy: 
ip_unixsocket 518


2020-02-20 09:15:54 [32325] 1j4g3t-0008PN-VF Taint mismatch, Ustrncpy: 
ip_unixsocket 518


2020-02-20 09:15:56 [32326] 1j4g3v-0008PO-VH Taint mismatch, Ustrncpy: 
ip_unixsocket 518


2020-02-20 09:15:58 [32327] 1j4g3x-0008PP-V9 Taint mismatch, Ustrncpy: 
ip_unixsocket 518


2020-02-20 09:16:00 [32328] 1j4g3z-0008PQ-Uy Taint mismatch, Ustrncpy: 
ip_unixsocket 518


2020-02-20 09:16:02 [32329] 1j4g41-0008PR-VC Taint mismatch, Ustrncpy: 
ip_unixsocket 518


2020-02-20 09:16:04 [32334] 1j4g43-0008PW-Ur Taint mismatch, Ustrncpy: 
ip_unixsocket 518


2020-02-20 09:16:06 [32341] 1j4g46-0008Pd-E6 Taint mismatch, Ustrncpy: 
ip_unixsocket 518


2020-02-20 09:16:06 [32344] 1j4g46-0008Pg-G1 Taint mismatch, Ustrncpy: 
ip_unixsocket 518


2020-02-20 09:16:06 [32345] 1j4g46-0008Ph-Ho Taint mismatch, Ustrncpy: 
ip_unixsocket 518


2020-02-20 09:16:15 [32349] 1j4g4E-0008Pl-2r Taint mismatch, Ustrncpy: 
ip_unixsocket 518



19.02.2020 14:47, Mikhail Golub пишет:

Поставил и снес.
Вопросов больше, чем ответов.
А пока нет времени разбираться :(

19.02.2020 11:59, Vladimir Sharun пишет:

Всем привет,

Столкнулся с интересной темой на 4.93 (на самом деле сотни доменов, 
этот просто взялся как один из для дебага - на 4.92.3 с тем же DNS на 
том же хосте всё ок):


check !spf = pass
spf_process
spf_dns.c:54         Debug: DNS[cache] lookup: viyar.com.ua SPF (99)
spf_dns.c:66         Debug: DNS[cache] found record
spf_dns.c:69         Debug:     DOMAIN: viyar.com.ua  TYPE: SPF (99)
spf_dns.c:76         Debug:     TTL: 86400  RR found: 0  herrno: 1 
  source: exim

spf_server.c:356     Debug: get_record(viyar.com.ua): HOST_NOT_FOUND
spf_dns.c:54         Debug: DNS[cache] lookup: viyar.com.ua TXT (16)
spf_dns.c:66         Debug: DNS[cache] found record
spf_dns.c:69         Debug:     DOMAIN: viyar.com.ua  TYPE: TXT (16)
spf_dns.c:76         Debug:     TTL: 3433  RR found: 1  herrno: 0 
  source: exim

spf_dns.c:94         Debug:     - TXT: v=spf1 +mx -all
spf_server.c:400     Debug: get_record(viyar.com.ua): NETDB_SUCCESS
spf_server.c:441     Debug: found SPF record: v=spf1 +mx -all
spf_compile.c:1210   Debug: Compiling record v=spf1 +mx -all
spf_compile.c:1314   Debug: Name starts at  mx -all
spf_compile.c:1408   Debug: Adding mechanism type 2
spf_compile.c:847    Debug: SPF_c_mech_add: type=2, value= -all
spf_compile.c:1314   Debug: Name starts at  all
spf_compile.c:1408   Debug: Adding mechanism type 8
spf_compile.c:847    Debug: SPF_c_mech_add: type=8, value=
spf_dns.c:54         Debug: DNS[cache] lookup: viyar.com.ua MX (15)
spf_dns.c:66         Debug: DNS[cache] found record
▼ вот этот конкретно кусок с багом
*spf_dns.c:69         Debug:     DOMAIN: viyar.com.ua  TYPE: MX (15)*
*spf_dns.c:76         Debug:     TTL: 86400 RR found: 0  herrno: 1 
  source: exim*
*spf_interpret.c:824  Debug: found 0 MX records for viyar.com.ua 
  (herrno: 1)*

*▲ *а на самом деле:
$ host viyar.com.ua
viyar.com.ua has address 213.160.143.20
viyar.com.ua mail is handled by 20 mx2.viyar.ua.
viyar.com.ua mail is handled by 10 mx1.viyar.ua.

И как результат:
SPF result is fail (3)

Если кто-то уже поставил себе 4.93 - проверьте пож у себя работу SPF. 
После 4.92.3 exim -d -bh показывает совсем другой дебаг текст на SPF 
(в старом его просто нет).




___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users




___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users




___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] Exim 4.93 поломался SPF ?

[Mikhail Golub]

Поставил и снес.
Вопросов больше, чем ответов.
А пока нет времени разбираться :(

19.02.2020 11:59, Vladimir Sharun пишет:

Всем привет,

Столкнулся с интересной темой на 4.93 (на самом деле сотни доменов, этот 
просто взялся как один из для дебага - на 4.92.3 с тем же DNS на том же 
хосте всё ок):


check !spf = pass
spf_process
spf_dns.c:54         Debug: DNS[cache] lookup: viyar.com.ua SPF (99)
spf_dns.c:66         Debug: DNS[cache] found record
spf_dns.c:69         Debug:     DOMAIN: viyar.com.ua  TYPE: SPF (99)
spf_dns.c:76         Debug:     TTL: 86400  RR found: 0  herrno: 1 
  source: exim

spf_server.c:356     Debug: get_record(viyar.com.ua): HOST_NOT_FOUND
spf_dns.c:54         Debug: DNS[cache] lookup: viyar.com.ua TXT (16)
spf_dns.c:66         Debug: DNS[cache] found record
spf_dns.c:69         Debug:     DOMAIN: viyar.com.ua  TYPE: TXT (16)
spf_dns.c:76         Debug:     TTL: 3433  RR found: 1  herrno: 0 
  source: exim

spf_dns.c:94         Debug:     - TXT: v=spf1 +mx -all
spf_server.c:400     Debug: get_record(viyar.com.ua): NETDB_SUCCESS
spf_server.c:441     Debug: found SPF record: v=spf1 +mx -all
spf_compile.c:1210   Debug: Compiling record v=spf1 +mx -all
spf_compile.c:1314   Debug: Name starts at  mx -all
spf_compile.c:1408   Debug: Adding mechanism type 2
spf_compile.c:847    Debug: SPF_c_mech_add: type=2, value= -all
spf_compile.c:1314   Debug: Name starts at  all
spf_compile.c:1408   Debug: Adding mechanism type 8
spf_compile.c:847    Debug: SPF_c_mech_add: type=8, value=
spf_dns.c:54         Debug: DNS[cache] lookup: viyar.com.ua MX (15)
spf_dns.c:66         Debug: DNS[cache] found record
▼ вот этот конкретно кусок с багом
*spf_dns.c:69         Debug:     DOMAIN: viyar.com.ua  TYPE: MX (15)*
*spf_dns.c:76         Debug:     TTL: 86400 RR found: 0  herrno: 1 
  source: exim*
*spf_interpret.c:824  Debug: found 0 MX records for viyar.com.ua 
  (herrno: 1)*

*▲ *а на самом деле:
$ host viyar.com.ua
viyar.com.ua has address 213.160.143.20
viyar.com.ua mail is handled by 20 mx2.viyar.ua.
viyar.com.ua mail is handled by 10 mx1.viyar.ua.

И как результат:
SPF result is fail (3)

Если кто-то уже поставил себе 4.93 - проверьте пож у себя работу SPF. 
После 4.92.3 exim -d -bh показывает совсем другой дебаг текст на SPF (в 
старом его просто нет).




___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users




___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] smtp transport process returned non-zero status 0x000b: terminated by signal 11

[Mikhail Golub]

Да, это именно https://en.wikipedia.org/wiki/Authenticated_Received_Chain

Написал утром в англоязычную рассылку. Спасибо.

27.11.2019 9:38, Vladimir Sharun пишет:

Привет,

ARC в arc_sign - это не adaprive replacement cache (ZFS ARC), о котором 
похоже подумалось, а

https://en.wikipedia.org/wiki/Authenticated_Received_Chain

Часть DKIM, который часть source tree в exim distribution.

Такш выходим на девелоперов, передаём месседж, конфигурацию подписи и 
ключ (можно какой-то левый, если им воспроизводится тоже).


/26 листопада 2019, 21:21:01, від "Mikhail Golub" <mailto:g...@gmn.org.ua>>:/


Получил core. Спасибо.
Не хватало:
sysctl kern.sugid_coredump=1

/usr/libexec/gdb -c /tmp/exim.core /usr/local/sbin/exim
GNU gdb 6.1.1 [FreeBSD]
... здесь все норм (done)
Loaded symbols for /usr/local/lib/libpcre.so.1
Reading symbols from /lib/libc.so.7...BFD: /lib/libc.so.7: invalid
relocation type 37
BFD: BFD 2.17.50 [FreeBSD] 2007-07-03 assertion fail

/usr/src/gnu/usr.bin/binutils/libbfd/../../../../contrib/binutils/bfd/elf64-x86-64.c:276
... (done)
Loaded symbols for /libexec/ld-elf.so.1
#0  0x002f4e9e in arc_sign ()
[New Thread 8005f5000 (LWP 100229/)]
(gdb) bt
#0  0x002f4e9e in arc_sign ()
#1  0x00299f7f in dkim_transport_write_message ()
#2  0x00308d1a in smtp_transport_entry ()
#3  0x003076c3 in smtp_transport_entry ()
#4  0x0027509e in deliver_init ()
#5  0x0027073b in deliver_message ()
#6  0x0027fc91 in main ()


FreeBSD 12.1-RELEASE-p1 GENERIC  amd64
Пару недель назад было бинарное обновление с 12.0 на 12.1

Мне кажется, проблема в ARC ...

exim -bV
Exim version 4.92.3 #0 (FreeBSD 12.1) built 26-Nov-2019 21:04:35
Copyright (c) University of Cambridge, 1995 - 2018
(c) The Exim Maintainers and contributors in ACKNOWLEDGMENTS file, 2007
- 2018
Probably Berkeley DB version 1.8x (native mode)
Support for: iconv() use_setclassresources Perl Expand_dlfunc OpenSSL
Content_Scanning DKIM OCSP SPF Experimental_SRS Experimental_ARC
Experimental_DMARC
Lookups (built-in): lsearch wildlsearch nwildlsearch iplsearch cdb dbm
dbmjz dbmnz dnsdb dsearch ldap ldapdn ldapm mysql passwd
Authenticators:
Routers: accept dnslookup ipliteral manualroute queryprogram redirect
Transports: appendfile/mbx autoreply pipe smtp





26.11.2019 20:18, Vladimir Sharun пишет:
> Привет,
> 
> Я не помню деталей, пришлось поэкспериментировать, чтобы заставить его 
> писать корки. Точно-точно можно.
> 
> http://mailground.net/pipermail/exim-users/2015-August/001610.html
> 
    > /26 листопада 2019, 20:13:30, від "Mikhail Golub" mailto:g...@gmn.org.ua>  
> <mailto:g...@gmn.org.ua>>:/
> 
> kern.corefile: /tmp/%N.core

> kern.coredump: 1
> 
> Nov 26 20:08:22 mx kernel: pid 29724 (exim), jid 0, uid 26: exited on

> signal 11
> 
> core не создается. Явно чего-то не хватает.
> 
> 
> 26.11.2019 19:17, Vladimir Sharun пишет:

> > Привет,
> > 
> > Корку надо снимать и смотреть в каком месте крэш. После чего репортить 
> > уже девелоперам.
> > 
> > /26 листопада 2019, 17:16:22, від "Mikhail Golub" mailto:g...@gmn.org.ua>   <mailto:g...@gmn.org.ua>

> > <mailto:g...@gmn.org.ua>>:/
> > 
> > Добрый вечер.
> > 
> > Был уже подобный вопрос в 2015-м году.

> > 
http://mailground.net/pipermail/exim-users/2015-August/001581.html
> > 
> > Но с того времени и Exim уже другой версии ...
> > 
> > В общем, письмо во внешний мир не уходит. Одно определенное письмо.
> > 
> > 2019-11-26 16:55:14 [564] 1iZWqp-000DMc-RS == *** R=dnslookup

> > T=remote_smtp defer (-1): smtp transport process returned 
non-zero
> > status 0x000b: terminated by signal 11
> > 
> > Запустил:
> > 
> > exim -d+all -M 1iZWqp-000DMc-RS > /var/log/exim/exim-debug.log 2>&1
> > 
> > 
> > ...

> > 16:39:52 97522 ARC: AMS 'ARC-Message-Signature: i=2; 
a=rsa-sha256;
> > c=relaxed; d=***; s=arc;
> > 16:39:52 97522
bh=ZguYZhSJL2VmRFjY105R1G3QzSmQx3xL32dDJI+N0l0=;
> > 16:39:52 97522
> > 
h=MIME-Version:Content-Type:Resent-From:DKIM-Signature:Message-ID:Date:
> > 16:39:52 97522  Subject:To:From;
> >

Re: [Exim-users] smtp transport process returned non-zero status 0x000b: terminated by signal 11

[Mikhail Golub]

Получил core. Спасибо.
Не хватало:
sysctl kern.sugid_coredump=1

/usr/libexec/gdb -c /tmp/exim.core /usr/local/sbin/exim
GNU gdb 6.1.1 [FreeBSD]
... здесь все норм (done)
Loaded symbols for /usr/local/lib/libpcre.so.1
Reading symbols from /lib/libc.so.7...BFD: /lib/libc.so.7: invalid 
relocation type 37
BFD: BFD 2.17.50 [FreeBSD] 2007-07-03 assertion fail 
/usr/src/gnu/usr.bin/binutils/libbfd/../../../../contrib/binutils/bfd/elf64-x86-64.c:276

... (done)
Loaded symbols for /libexec/ld-elf.so.1
#0  0x002f4e9e in arc_sign ()
[New Thread 8005f5000 (LWP 100229/)]
(gdb) bt
#0  0x002f4e9e in arc_sign ()
#1  0x00299f7f in dkim_transport_write_message ()
#2  0x00308d1a in smtp_transport_entry ()
#3  0x003076c3 in smtp_transport_entry ()
#4  0x0027509e in deliver_init ()
#5  0x0027073b in deliver_message ()
#6  0x0027fc91 in main ()


FreeBSD 12.1-RELEASE-p1 GENERIC  amd64
Пару недель назад было бинарное обновление с 12.0 на 12.1

Мне кажется, проблема в ARC ...

exim -bV
Exim version 4.92.3 #0 (FreeBSD 12.1) built 26-Nov-2019 21:04:35
Copyright (c) University of Cambridge, 1995 - 2018
(c) The Exim Maintainers and contributors in ACKNOWLEDGMENTS file, 2007 
- 2018

Probably Berkeley DB version 1.8x (native mode)
Support for: iconv() use_setclassresources Perl Expand_dlfunc OpenSSL 
Content_Scanning DKIM OCSP SPF Experimental_SRS Experimental_ARC 
Experimental_DMARC
Lookups (built-in): lsearch wildlsearch nwildlsearch iplsearch cdb dbm 
dbmjz dbmnz dnsdb dsearch ldap ldapdn ldapm mysql passwd

Authenticators:
Routers: accept dnslookup ipliteral manualroute queryprogram redirect
Transports: appendfile/mbx autoreply pipe smtp





26.11.2019 20:18, Vladimir Sharun пишет:

Привет,

Я не помню деталей, пришлось поэкспериментировать, чтобы заставить его 
писать корки. Точно-точно можно.


http://mailground.net/pipermail/exim-users/2015-August/001610.html

/26 листопада 2019, 20:13:30, від "Mikhail Golub" <mailto:g...@gmn.org.ua>>:/


kern.corefile: /tmp/%N.core
kern.coredump: 1

Nov 26 20:08:22 mx kernel: pid 29724 (exim), jid 0, uid 26: exited on
signal 11

core не создается. Явно чего-то не хватает.


26.11.2019 19:17, Vladimir Sharun пишет:
> Привет,
> 
> Корку надо снимать и смотреть в каком месте крэш. После чего репортить 
> уже девелоперам.
> 
> /26 листопада 2019, 17:16:22, від "Mikhail Golub" mailto:g...@gmn.org.ua>  
> <mailto:g...@gmn.org.ua>>:/
> 
> Добрый вечер.
> 
> Был уже подобный вопрос в 2015-м году.

> http://mailground.net/pipermail/exim-users/2015-August/001581.html
> 
> Но с того времени и Exim уже другой версии ...
> 
> В общем, письмо во внешний мир не уходит. Одно определенное письмо.
> 
> 2019-11-26 16:55:14 [564] 1iZWqp-000DMc-RS == *** R=dnslookup

> T=remote_smtp defer (-1): smtp transport process returned non-zero
> status 0x000b: terminated by signal 11
> 
> Запустил:
> 
> exim -d+all -M 1iZWqp-000DMc-RS > /var/log/exim/exim-debug.log 2>&1
> 
> 
> ...

> 16:39:52 97522 ARC: AMS 'ARC-Message-Signature: i=2; a=rsa-sha256;
> c=relaxed; d=***; s=arc;
> 16:39:52 97522 bh=ZguYZhSJL2VmRFjY105R1G3QzSmQx3xL32dDJI+N0l0=;
> 16:39:52 97522
> 
h=MIME-Version:Content-Type:Resent-From:DKIM-Signature:Message-ID:Date:
> 16:39:52 97522   Subject:To:From;
> 16:39:52 97522
> 
b=rC3H7s9bp800vOTKN3O+gfrO52S9K8IZr6++ns9niz1v+FOWzezCfCvXhg6dpX38r4S3sz6qAU
> 16:39:52 97522 
> 
uk/FUAoXGAznRmND/D3wBcG4zHFXgCB4/+XcRVeIXpumfj+mn7W8Bdsc6Bq8062srWJdw5nQj5
> 16:39:52 97522 
> 
9Vx/KXiV6PaMgBnzig2qvl/U6IqWzH81v9RoKa8GYobtZ8ovDn+SzWP5Ctk1K6+kn6NLFxePIQ
> 16:39:52 97522 
> 
Rh+x7A56Up+NOusTzeBMLoQSQnahXJzcOK9aQ/w0ar2we5DENqcG/SR1KMhU+YcEj/dROuFSKN
> 16:39:52 97522   
Bj+k5XvNvNB0icaPN1X1PapnUGRTbhEndODm1oCo47iS7w==;'
> 16:39:52 97519 reading pipe for subprocess 97522 (not ended yet)
> 16:39:52 97519 expect 7 bytes (pipeheader) from tpt process 97522
> 16:39:52 97519 LOG: MAIN PANIC
> 16:39:52 97519   Delivery status for ***: got 0 of 7 bytes 
(pipeheader)
> from transport process 97522 for transport smtp
> 
> 
> В настройках транспорта:

> remote_smtp:
> driver = smtp
> dkim_domain  = DKIM_DOMAIN
> dkim_selector= dkim
> dkim_private_key = DKIM_PRIVATE_KEY
> dkim_sign_headers = DKIM_SIGN_HEADERS
> tls_try_verify_hosts = :
>   

Re: [Exim-users] smtp transport process returned non-zero status 0x000b: terminated by signal 11

[Mikhail Golub]

kern.corefile: /tmp/%N.core
kern.coredump: 1

Nov 26 20:08:22 mx kernel: pid 29724 (exim), jid 0, uid 26: exited on 
signal 11


core не создается. Явно чего-то не хватает.


26.11.2019 19:17, Vladimir Sharun пишет:

Привет,

Корку надо снимать и смотреть в каком месте крэш. После чего репортить 
уже девелоперам.


/26 листопада 2019, 17:16:22, від "Mikhail Golub" <mailto:g...@gmn.org.ua>>:/


Добрый вечер.

Был уже подобный вопрос в 2015-м году.
http://mailground.net/pipermail/exim-users/2015-August/001581.html

Но с того времени и Exim уже другой версии ...

В общем, письмо во внешний мир не уходит. Одно определенное письмо.

2019-11-26 16:55:14 [564] 1iZWqp-000DMc-RS == *** R=dnslookup
T=remote_smtp defer (-1): smtp transport process returned non-zero
status 0x000b: terminated by signal 11

Запустил:

exim -d+all -M 1iZWqp-000DMc-RS > /var/log/exim/exim-debug.log 2>&1


...
16:39:52 97522 ARC: AMS 'ARC-Message-Signature: i=2; a=rsa-sha256;
c=relaxed; d=***; s=arc;
16:39:52 97522  bh=ZguYZhSJL2VmRFjY105R1G3QzSmQx3xL32dDJI+N0l0=;
16:39:52 97522
h=MIME-Version:Content-Type:Resent-From:DKIM-Signature:Message-ID:Date:
16:39:52 97522Subject:To:From;
16:39:52 97522
b=rC3H7s9bp800vOTKN3O+gfrO52S9K8IZr6++ns9niz1v+FOWzezCfCvXhg6dpX38r4S3sz6qAU
16:39:52 97522  
uk/FUAoXGAznRmND/D3wBcG4zHFXgCB4/+XcRVeIXpumfj+mn7W8Bdsc6Bq8062srWJdw5nQj5
16:39:52 97522  
9Vx/KXiV6PaMgBnzig2qvl/U6IqWzH81v9RoKa8GYobtZ8ovDn+SzWP5Ctk1K6+kn6NLFxePIQ
16:39:52 97522  
Rh+x7A56Up+NOusTzeBMLoQSQnahXJzcOK9aQ/w0ar2we5DENqcG/SR1KMhU+YcEj/dROuFSKN
16:39:52 97522Bj+k5XvNvNB0icaPN1X1PapnUGRTbhEndODm1oCo47iS7w==;'
16:39:52 97519 reading pipe for subprocess 97522 (not ended yet)
16:39:52 97519 expect 7 bytes (pipeheader) from tpt process 97522
16:39:52 97519 LOG: MAIN PANIC
16:39:52 97519   Delivery status for ***: got 0 of 7 bytes (pipeheader)
from transport process 97522 for transport smtp


В настройках транспорта:
remote_smtp:
driver = smtp
dkim_domain  = DKIM_DOMAIN
dkim_selector= dkim
dkim_private_key = DKIM_PRIVATE_KEY
dkim_sign_headers = DKIM_SIGN_HEADERS
tls_try_verify_hosts = :
arc_sign = $primary_hostname : arc : /usr/local/etc/exim/arc/my.key

Писать в англоязычную рассылку?
Или может кто в русскоязычной подскажет debug какой именно части
желательно получить?



___
Exim-users mailing list
Exim-users@mailground.net  <mailto:Exim-users@mailground.net>
http://mailground.net/mailman/listinfo/exim-users


___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users





___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

[Exim-users] smtp transport process returned non-zero status 0x000b: terminated by signal 11

[Mikhail Golub]

Добрый вечер.

Был уже подобный вопрос в 2015-м году.
http://mailground.net/pipermail/exim-users/2015-August/001581.html

Но с того времени и Exim уже другой версии ...

В общем, письмо во внешний мир не уходит. Одно определенное письмо.

2019-11-26 16:55:14 [564] 1iZWqp-000DMc-RS == *** R=dnslookup 
T=remote_smtp defer (-1): smtp transport process returned non-zero 
status 0x000b: terminated by signal 11


Запустил:

exim -d+all -M 1iZWqp-000DMc-RS > /var/log/exim/exim-debug.log 2>&1


...
16:39:52 97522 ARC: AMS 'ARC-Message-Signature: i=2; a=rsa-sha256; 
c=relaxed; d=***; s=arc;

16:39:52 97522  bh=ZguYZhSJL2VmRFjY105R1G3QzSmQx3xL32dDJI+N0l0=;
16:39:52 97522 
h=MIME-Version:Content-Type:Resent-From:DKIM-Signature:Message-ID:Date:

16:39:52 97522Subject:To:From;
16:39:52 97522 
b=rC3H7s9bp800vOTKN3O+gfrO52S9K8IZr6++ns9niz1v+FOWzezCfCvXhg6dpX38r4S3sz6qAU
16:39:52 97522 	 
uk/FUAoXGAznRmND/D3wBcG4zHFXgCB4/+XcRVeIXpumfj+mn7W8Bdsc6Bq8062srWJdw5nQj5
16:39:52 97522 	 
9Vx/KXiV6PaMgBnzig2qvl/U6IqWzH81v9RoKa8GYobtZ8ovDn+SzWP5Ctk1K6+kn6NLFxePIQ
16:39:52 97522 	 
Rh+x7A56Up+NOusTzeBMLoQSQnahXJzcOK9aQ/w0ar2we5DENqcG/SR1KMhU+YcEj/dROuFSKN

16:39:52 97522Bj+k5XvNvNB0icaPN1X1PapnUGRTbhEndODm1oCo47iS7w==;'
16:39:52 97519 reading pipe for subprocess 97522 (not ended yet)
16:39:52 97519 expect 7 bytes (pipeheader) from tpt process 97522
16:39:52 97519 LOG: MAIN PANIC
16:39:52 97519   Delivery status for ***: got 0 of 7 bytes (pipeheader) 
from transport process 97522 for transport smtp



В настройках транспорта:
remote_smtp:
  driver = smtp
  dkim_domain  = DKIM_DOMAIN
  dkim_selector= dkim
  dkim_private_key = DKIM_PRIVATE_KEY
  dkim_sign_headers = DKIM_SIGN_HEADERS
  tls_try_verify_hosts = :
  arc_sign = $primary_hostname : arc : /usr/local/etc/exim/arc/my.key

Писать в англоязычную рассылку?
Или может кто в русскоязычной подскажет debug какой именно части 
желательно получить?




___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] Exim 4.92: mime_filename

[Mikhail Golub]

А здесь обработка mime сработала в пользу Exim.
Почтовый клиент (что Mozilla Thunderbird, что MS Outlook) видит вложение без 
расширения файла.

Но Exim вложение видит с пользой для меня (т.е. с расширением файла).

2019-07-30 15:32:30 1hsRIs-0005cv-GX REJECTED: dangerous file "zip" in archive "о 
заказе ООО МР-СТИЛЬ.zip" to ***
2019-07-30 15:32:30 1hsRIs-0005cv-GX (= i...@4flowers.co.nz H=mail.neotek.co.nz (neotek.co.nz) [216.120.253.134] P=esmtp S=8320 id=5cd1006400864d8389dc7c20dc83c93c@neotek.co.nz T="информация о 
заказе " from  for ***


И вот, собственно, письмо:


--cvQ90ArONFC0PMg7jMZoacpa25ArqYzb
Content-Type: text/html; charset=UTF-8
Content-Transfer-Encoding: base64

0JTQvtCx0YDRi9C5INC00LXQvdGMPGJyPg0K0J7RgtC/0YDQsNCy0LvRj9GOICAg0L/QvtC00YDQ
vtCx0L3Rg9GOINC40L3RhNC+0YDQvNCw0YbQuNGOINC+INC30LDQutCw0LfQtS48YnI+DQogIDxi
cj4NCjxicj4NCtCf0LDRgNC+0LvRjCDQvtGCINGE0LDQudC70LAt0LDRgNGF0LjQstCwOiAzMzxi
cj4NCjxicj4NCiDQlNC40YDQtdC60YLQvtGAPGJyPg0K0J7Qu9C10LMg0JzQuNGI0LjQvQ==
--cvQ90ArONFC0PMg7jMZoacpa25ArqYzb
Content-Type: application/octet-stream; name="о заказе ООО "МР-СТИЛЬ".zip"
Content-Disposition:attachment; filename="о заказе ООО "МР-СТИЛЬ".zip"
Content-Transfer-Encoding: base64
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Re: [Exim-users] Exim 4.92: mime_filename

[Mikhail Golub]

Нет, здесь проблема именно в том, что написал Виктор:
"потому что поддержка RFC2231 реализована криво"

Я заворачиваю подозрительные письма себе для анализа.
Попадаются новые вирусы часто, которые еще не детектят антивирусы ...

accept condition = ${if <{$message_size}{5000K}}
 condition = ${if match{$mime_filename}{\N(?i)\.(ARCEXT)$\N}}
 set acl_m_winbin_atach = ${if match{${run{/usr/local/bin/7z l -ba 
$mime_decoded_filename}}} {\N(?i)\.(WINBIN)($|\n)\N} {$1}}
 condition = ${if def:acl_m_winbin_atach}
 logwrite = REJECTED: dangerous file "$acl_m_winbin_atach" in archive 
"$mime_filename" to $recipients
 control = fakereject/This message contains dangerous file (*.$acl_m_winbin_atach) in 
"${extract{-1}{.}{$mime_filename}}" attachment.\nCONTACT_MSG
 set acl_m_to_pm = 1

ARCEXT - список поддерживаемых архивов. (ARCEXT = 
7z|arj|bz2|gz|rar|r\d{2}|uue|z|zip|xz|lzh|uu|iso)
WINBIN - список блокируемых расширений файлов.

В итоге отправитель получает reject, а я (postmaster) письмо.
По acl_m_to_pm роутер заворачивает письмо на postmaster.


24.07.2019 9:49, Oleg Litvinov пишет:

Mikhail Golub пишет 23.07.2019 17:08:

Доброго времени суток.

Ниже приведен фрагмент письма, из которого Exim не извлекает mime_filename.


acl_smtp_mime = acl_check_mime


acl_check_mime:
warn decode = default
warn logwrite = MIME_filename: $mime_filename

Лог:
2019-07-23 16:56:49 1hpvHW-0005KQ-6P MIME_filename:
2019-07-23 16:56:49 1hpvHW-0005KQ-6P MIME_filename:
2019-07-23 16:56:49 1hpvHW-0005KQ-6P MIME_filename: о заказ
2019-07-23 16:56:49 1hpvHW-0005KQ-6P MIME_filename:

А должно быть "о заказе.zip".





решил этот вопрос малость по другому

EXE_PATTERNS = 
apk|cgi|js|jse|jsp|wsf|exe|com|vb|vba|vbs|vbe|bat|pif|ps1|scr|hta|cmd|chm|cpl|reg|lnk|dll|sys|jar|ocx|msi|msu|mst|\

bz2|zip|rar|7z|cab|ace|7za|lah|lzo|lzx|gz|arj|bin|msi|cbr|deb|rpm|gzip|jar|pak|pkg|tar-gz|tgz|xar|zipx|wim|tb2|tar|paq|\

xz|iso|jar|lzh|lzma|pak|pk3|pk4|smzip|u3p|xpi|zipx|cpio|xar|lz|rk|zoo|img|ha


acl_smtp_mime = acl_check_mime


acl_check_mime:

   deny
     message = A arhive attachment contains a Windows-executable file - blocked 
because we are afraid of new viruses not recognized [yet] by antiviruses.
     condition = ${if match{$mime_filename}{\N(?i)\.(zip|rar|tgz|tar|gz|7z)$\N}}
     condition = ${if def:sender_host_address}
     decode = default
     condition = ${if or{\
   {match{${run{/usr/bin/unzip -l 
$mime_decoded_filename}}}{\N(?i)\.(EXE_PATTERNS)\n\N}}\
   {match{${run{/usr/bin/unrar l 
$mime_decoded_filename}}}{\N(?i)\.(EXE_PATTERNS)\n\N}}\
   {match{${run{/bin/tar -tf 
$mime_decoded_filename}}}{\N(?i)\.(EXE_PATTERNS)\n\N}}\
   {match{${run{/usr/bin/7z l 
$mime_decoded_filename}}}{\N(?i)\.(EXE_PATTERNS)\n\N
     log_message = forbidden arhive attachment: sender=$sender_address, 
recipients=$recipients, filename=$mime_filename, 
filenamedecoded=$mime_decoded_filename,

   warn message = X-Antivirus-Scanner: Clean mail though you should still use 
an Antivirus, \
     sender=$sender_address, recipients=$recipients, 
filename=$mime_filename, filenamedecoded=$mime_decoded_filename

  accept


но еще наверное хочется "странного" - как сделать что бы при попадании письма под это правило, получателю (то есть пользователю локальной почтовой системы) приходило сообщение типа - вам было 
отправлено вложение от ... но оно не дошло ... или может еще какие нибудь варианты есть уведомления пользователя








___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] Обработка ${address:$rh_From:}

[Mikhail Golub]

В общем, понятно, спасибо.

"Если есть двоеточие, то по стандарту обязательны либо кавычки, либо 
кодирование."
Так что, "в сад" такие письма :)

31.01.2019 16:59, l...@lena.kiev.ua пишет:

   Subject: =?cp1251?b?0+Lg4+AhISEgz+7v7uLts/L8IMLg+CDw4PXz7e7qIQ==?=
F From: IPNET: Information centre 


В этом случае текст в Subject был закодирован, а в From нет.
Если есть двоеточие, то по стандарту обязательны либо кавычки, либо
кодирование.

А вообще много спама это правило ловит?
Я так не проверяю From. Проверяю только так:

   deny  !senders = mailer-dae...@spamgourmet.com : \N^\w+@slando\.\N : \
*@bdo.kiev.ua
 !authenticated = *
 !verify = header_sender


___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users





___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] Обработка ${address:$rh_From:}

[Mikhail Golub]

31.01.2019 16:59, l...@lena.kiev.ua пишет:
> А вообще много спама это правило ловит?

Не так уж и много срабатываний. Но есть ...

2019-01-17 02:58:18 1gjw0g-000DFi-Af H=myo.myonlyhosting.com [198.154.195.179] F=<> rejected 
after DATA: REJECTED: No address in header From: "DHL" <>
2019-01-03 16:41:16 1gf4BP-000Kjx-KY H=(linserver.kursi.com.ge) [208.73.201.38] F= rejected after DATA: REJECTED: No address in header From: "გილოცავთ დამდეგ ახალ წელს!" 
<გილოცავთ დამდეგ ახალ წელს!>
2019-01-24 17:13:07 1gmggk-0007hJ-RG H=gateway20.websitewelcome.com [192.185.62.46] F= rejected after DATA: REJECTED: No address in header From: Chase , N.A. 

2019-01-28 09:16:12 1go19O-000NCE-LO H=gateway22.websitewelcome.com [192.185.46.225] F= rejected after DATA: REJECTED: No address in header From: Olena Diachuk 
 


Т.е. случаи разные. Или вообще адреса нет, или не адрес вовсе, или два адреса 
...
Добавлял это правило не так уж и давно, когда пошли жалобы на спам с хостов, прошедших 
проверки SPF, DKIM, DMARC ... но в поле "От" прописана всякая ересь.



   Subject: =?cp1251?b?0+Lg4+AhISEgz+7v7uLts/L8IMLg+CDw4PXz7e7qIQ==?=
F From: IPNET: Information centre 


В этом случае текст в Subject был закодирован, а в From нет.
Если есть двоеточие, то по стандарту обязательны либо кавычки, либо
кодирование.


Наверняка скриптом отправляли (не MUA).



Я так не проверяю From. Проверяю только так:

   deny  !senders = mailer-dae...@spamgourmet.com : \N^\w+@slando\.\N : \
*@bdo.kiev.ua
 !authenticated = *
 !verify = header_sender




___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] Обработка ${address:$rh_From:}

[Mikhail Golub]

P Received: from mail.ip.net.ua ([82.193.96.15] helo=heffalump.ip.net.ua)
by *** with esmtps
(envelope-from )
id 1gp6y1-000Pgn-Vx
for ***; Thu, 31 Jan 2019 09:40:57 +0200
P Received: from heffalump.ip.net.ua (heffalump.nest.ipnet [10.71.0.15])
by heffalump.ip.net.ua (8.14.9/8.14.9) with ESMTP id x0V7epSN001031
for <***>; Thu, 31 Jan 2019 09:40:51 +0200 (EET)
(envelope-from acco...@ip.net.ua)
  Date: Thu, 31 Jan 2019 09:40:51 +0200 (EET)
I Message-Id: <201901310740.x0v7epsn001...@heffalump.ip.net.ua>
  X-Authentication-Warning: heffalump.ip.net.ua: Host heffalump.nest.ipnet 
[10.71.0.15] claimed to be heffalump.ip.net.ua
  Content-Type: multipart/alternative;
 boundary="===3449434625548373750=="
  MIME-Version: 1.0
  Subject: =?cp1251?b?0+Lg4+AhISEgz+7v7uLts/L8IMLg+CDw4PXz7e7qIQ==?=
F From: IPNET: Information centre 
T To: ***





31.01.2019 14:54, l...@lena.kiev.ua пишет:

deny condition = ${if eq{${address:$rh_From:}}{}}
  log_message = No address in header From: $h_From: (address
  ${address:$rh_From:})


В случае RAW это вообще будет строка
"=?UTF-8?B?0JPQvtC70YPQsSDQnNC40YXQsNC40Ls6INC/0YDQvtCy0LXRgNC60LA=?=\n
\n"


А вот так можно и без кавычек.


в реальном случае сработало правило :(


Приведите заголовок из rejectlog полностью.

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users





___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] Обработка ${address:$rh_From:}

[Mikhail Golub]

Спасибо.
Как тогда можно обойти проблему?

Вот то поле "От", на которое сработало правило:
2019-01-31 09:40:58 1gp6y1-000Pgn-Vx H=mail.ip.net.ua (heffalump.ip.net.ua) [82.193.96.15] F= rejected after DATA: No address in header From: IPNET: Information centre 
 (address )


deny condition = ${if eq{${address:$rh_From:}}{}}
 log_message = No address in header From: $h_From: (address 
${address:$rh_From:})


В случае RAW это вообще будет строка 
"=?UTF-8?B?0JPQvtC70YPQsSDQnNC40YXQsNC40Ls6INC/0YDQvtCy0LXRgNC60LA=?=\n 
\n"

И с консоли отрабатывает:
exim -be 
'${address:=?UTF-8?B?0JPQvtC70YPQsSDQnNC40YXQsNC40Ls6INC/0YDQvtCy0LXRgNC60LA=?=\n 
}'

А вот в реальном случае сработало правило :(


31.01.2019 11:40, l...@lena.kiev.ua пишет:

exim -be '${address:TEST: Information centre }' - нет адреса
exim -be '${address:TEST Information centre }' - есть адрес
(убрал двоеточие после "TEST")


exim -be '${address:"TEST: Information centre" }'
t...@test.com

В соответствии со стандартом https://www.ietf.org/rfc/rfc822.txt
(и его последующими модификациями), двоеточие является одним из specials,
при его использовании имя перед адресом должно быть заключено в кавычки "

authentic   =   "From"   ":"   mailbox  ; Single author

mailbox =  addr-spec; simple address
 /  phrase route-addr; name & addr-spec
route-addr  =  "<" [route] addr-spec ">"

phrase  =  1*word   ; Sequence of words

word=  atom / quoted-string

atom=  1*

specials=  "(" / ")" / "<" / ">" / "@"  ; Must be in quoted-
 /  "," / ";" / ":" / "\" / <">  ;  string, to use
 /  "." / "[" / "]"  ;  within a word.


___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users





___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

[Exim-users] Обработка ${address:$rh_From:}

[Mikhail Golub]

Доброго времени суток.

Подскажите, пожалуйста, в чем может быть проблема?

exim -be '${address:TEST: Information centre }' - нет адреса
exim -be '${address:TEST Information centre }' - есть адрес (убрал 
двоеточие после "TEST")

Строка взята из поля "От" из rejectlog реального письма (адрес изменен):
From: TEST: Information centre 

И сработало такое правило:
condition = ${if eq{${address:$rh_From:}}{}}

Надо как-то по другому использовать "address:"?
Почему двоеточие в теме сбивает его с толку?



___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] Exim 4.91 - DMARC

[Mikhail Golub]

Проанализировал письма на полдня.
Из нескольких тысяч писем подписи ARC имели только письма с домена gmail.com и 
домена, почта которого на zoho.com
И то с gmail.com только при пересылке письма.

Но в описанной ситуации 
(http://mailground.net/pipermail/exim-users/2018-December/002309.html) это не 
спасет.
Письмо уходит от меня хоть с десятью подписями, но если сервер, принимающий 
почту от меня и пересылающий дальше на gmail.com, вырезает или портит заголовки 
- не поможет.

26.12.2018 12:50, Mikhail Golub пишет:

Спасибо.

Значит имеет смысл рассматривать ARC в Exim.




___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] Exim 4.91 - DMARC

[Mikhail Golub]

Спасибо.

Значит имеет смысл рассматривать ARC в Exim.

26.12.2018 12:46, Vsevolod Stakhov пишет:

On 26/12/2018 10:05, Mikhail Golub wrote:


25.12.2018 23:34, Max Kostikov пишет:

Всё же искажение содержимого сообщений подписанных DKIM это проблема
не стандарта, а списков рассылки (их администраторов).
В том же Mailman это решаемо несколькими способами.
И теперь в Exim есть поддержка ARC которая и призвана решить эти вопросы.


А толк от ARC есть?
Интересует ли корп. сектор?


GSuite/Gmail и Office 365 поддерживают ARC. Мы экспериментировали с
модификацией писем и ARC подписью в транзите с этими сервисами.

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users





___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] Exim 4.91 - DMARC

[Mikhail Golub]

25.12.2018 23:34, Max Kostikov пишет:

Всё же искажение содержимого сообщений подписанных DKIM это проблема не 
стандарта, а списков рассылки (их администраторов).
В том же Mailman это решаемо несколькими способами.
И теперь в Exim есть поддержка ARC которая и призвана решить эти вопросы.


А толк от ARC есть?
Интересует ли корп. сектор?



___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] Exim 4.91 - DMARC

[Mikhail Golub]

21.12.2018 15:43, l...@lena.kiev.ua пишет:

Авторам стандарта DKIM наплевать на живых людей, использующих форвардеры
и discussion mailing lists.
А мне не наплевать, поэтому у моего домена в DMARC p=none.


Спасибо.
Придется вернуться опять к политике none.
Так на указывать кому-то как делать - не вариант.
А поставил только 1% всего ... И одно письмо на google попало в карантин из-за 
описанных пересылок.




___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] Exim 4.91 - DMARC

[Mikhail Golub]

Здравствуйте.

Еще прошу помощи у знающих людей.

DMARC настроен.
rua отправил пока на https://dmarcian-eu.com
И вижу, что несколько хостов (по репортам Google) не проходят проверку DMARC.
Ни DKIM, ни SPF.
Скорее всего дело обстоит так.
Мой сервер отправляет почту получателям в проблемном домене. У них установлена 
пересылка писем на персональный ящик на gmail.com.
Но из-за не корректных настроек ПО (судя по приветствию там CommuniGate Pro 
6.1.7) мои DKIM-подписи портятся или удаляются, а проверка SPF не проходит.

Вопрос вот в чем.
Насколько корректно писать админам этого домена, чтобы исправили ситуацию?
Благо таких доменов за пару недель только два. Но один критичный, а другой 
можно игнорировать (там одно письмо было).
Или подразумевается, что письма начнут попадать в спам и тот, кто установил 
пересылку, сам начнет искать причины?


13.12.2018 15:02, Mikhail Golub пишет:

Я понимаю, что 'none' - это нет подписи.
И если ее нет, то и в лог не должно ничего писаться по такому правилу, верно?

warn dmarc_status = off : quarantine
  logwrite = TEST1: DMARC status '$dmarc_status' for $dmarc_used_domain

Но в логе вижу кучу записей:
2018-12-12 17:02:27 1gX61q-000PFe-Ea TEST1: DMARC status 'none' for
2018-12-12 17:02:46 1gX62A-000PGF-8B TEST1: DMARC status 'none' for



13.12.2018 14:56, Max Kostikov пишет:

Сам вызов проверки приводит к генерации записи о её результатах.
'none' это в смысле нет подписи, а не отключить проверку.

Mikhail Golub писал 2018-12-13 10:12:

И еще больше интересует второй вопрос.
Почему при не указанном в acl статусе 'none' от всеравно выводится?




___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users





___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users





___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] system filter: unseen, headers add

[Mikhail Golub]

Ясно. Спасибо.

Т.е. без вариантов решения такой задачи :(

13.12.2018 14:59, Max Kostikov пишет:

Mikhail Golub писал 2018-12-13 10:40:

Потому что
"The system filter is run at the start of a delivery attempt, before any routing is 
done."
https://www.exim.org/exim-html-current/doc/html/spec_html/ch-systemwide_message_filtering.html


___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users





___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] Exim 4.91 - DMARC

[Mikhail Golub]

Я понимаю, что 'none' - это нет подписи.
И если ее нет, то и в лог не должно ничего писаться по такому правилу, верно?

warn dmarc_status = off : quarantine
 logwrite = TEST1: DMARC status '$dmarc_status' for $dmarc_used_domain

Но в логе вижу кучу записей:
2018-12-12 17:02:27 1gX61q-000PFe-Ea TEST1: DMARC status 'none' for
2018-12-12 17:02:46 1gX62A-000PGF-8B TEST1: DMARC status 'none' for



13.12.2018 14:56, Max Kostikov пишет:

Сам вызов проверки приводит к генерации записи о её результатах.
'none' это в смысле нет подписи, а не отключить проверку.

Mikhail Golub писал 2018-12-13 10:12:

И еще больше интересует второй вопрос.
Почему при не указанном в acl статусе 'none' от всеравно выводится?




___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users





___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

[Exim-users] system filter: unseen, headers add

[Mikhail Golub]

Доброго времени суток.

И еще прошу помощи.
Хочу средствами Exim на web-сервере по определенному критерию отправлять 
копию письма на указанный адрес, перед этим изменив тему письма.


Через роутер не получается.
роутер - redirect.
Если unseen не указывать - то все хорошо, заголовки удаляются, 
добавляются. Но если добавить unseen - все, не работает.


Дальше пробовал через системный фильтр (и думаю это более правильный 
вариант).


Это просто доставка копии:
if first_delivery then
unseen deliver _адрес_
endif


Это модификация темы (но без копии):
if ... then
headers add "Old-Subject: ${rfc2047:$h_Subject:}"
headers remove "Subject"
headers add "Subject: [TEST] (was: $h_old-subject:)"
headers remove "Old-Subject"
deliver _адрес_
finish
endif

Если во второе правило добавляю unseen, то тема переписывается и в 
письме оригинальному получателю, и в копии письма.


А хочу переписывать тему только в копии письма. Но пока не получается :(



___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] Exim 4.91 - DMARC

[Mikhail Golub]

Здравствуйте.

Спасибо ответившим.

С 4-м вопросом понятно. Надоест получать отлупы - пропишу noreply-адрес :)


А что можете сказать по первому вопросу (как отключить вывод "DMARC 
results" в лог)?

В log_selector не нашел чего-либо связанного с DMARC.

И еще больше интересует второй вопрос.
Почему при не указанном в acl статусе 'none' от всеравно выводится?
Сделал ка в примере 
https://github.com/Exim/exim/blob/master/doc/doc-txt/experimental-spec.txt


Только я указал "warn dmarc_status = off : quarantine", но всеравно 
запись в лог со статусом 'none' выводится.


Пришлось переделать условие на:
warn condition = ${if match{$dmarc_status}{(off|quarantine)}}


12.12.2018 11:29, Mikhail Golub пишет:

Доброго времени суток.

Решил вникнуть больше и довести DMARC до ума.
Но увы ... появились "грабли" и вопросы.
Прошу тех, кто уже "в теме" помочь и прокомментировать.

1. Чисто "косметический" вопрос.
Запись подобной строки в лог отключается? (не нашел как)
2018-12-12 11:08:09 1gX0Uz-000E7f-1W DMARC results: spf_domain=gmail.com 
dmarc_domain=gmail.com spf_align=yes dkim_align=yes enforcement='Accept'



2. Прописанные переменные и правила для DMARC.
dmarc_tld_file  = /usr/local/etc/exim/dmarc/public_suffix_list.dat
dmarc_history_file  = /var/spool/exim/dmarc.dat
dmarc_forensic_sender   = postmaster@my.domain

check_rcpt:
приняли от своих, доверенные
...
warn control = dmarc_enable_forensic

check_data:
приняли от своих
...
warn dmarc_status = off : quarantine
  logwrite = TEST1: DMARC status '$dmarc_status' for $dmarc_used_domain

Как видим, хочу чтобы в лог писались только статусы off и quarantine 
(none исключить).

А на практике вижу, что пишутся и none.
2018-12-12 11:14:51 1gX0bS-000EKP-UA TEST1: DMARC status 'none' for
2018-12-12 11:14:53 1gX0bV-000EKQ-4Q TEST1: DMARC status 'none' for

Например, 1gX0bV-000EKQ-4Q - это рассылка от esputnik.com


3. Решил прописать "accept dmarc_status = accept" до проверки на спам в 
ACL DATA. Пожалел :(
Спамеры тоже совершенствуются. На днях пролезло несколько сотен писем с 
хостов в сети MNT-SELECTEL, имеющих корректную запись в обратной зоне, 
прошеших проверку SPF, DKIM и ... DMARC. Кто-то пробовал принимать без 
доп. проверок письма, прошедшие DMARC?



4. Отчеты DMARC, а как же без них.
Сделал, рассылаются отчеты.
Но что делать если в политике DMARC указан не существующий адрес? Или 
ящик переполнен? Может просто указать свой адрес, указывающий на 
blackhole и не заморачиваться? Кто как поступал?




___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users





___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

[Exim-users] Exim 4.91 - DMARC

[Mikhail Golub]

Доброго времени суток.

Решил вникнуть больше и довести DMARC до ума.
Но увы ... появились "грабли" и вопросы.
Прошу тех, кто уже "в теме" помочь и прокомментировать.

1. Чисто "косметический" вопрос.
Запись подобной строки в лог отключается? (не нашел как)
2018-12-12 11:08:09 1gX0Uz-000E7f-1W DMARC results: spf_domain=gmail.com 
dmarc_domain=gmail.com spf_align=yes dkim_align=yes enforcement='Accept'



2. Прописанные переменные и правила для DMARC.
dmarc_tld_file  = /usr/local/etc/exim/dmarc/public_suffix_list.dat
dmarc_history_file  = /var/spool/exim/dmarc.dat
dmarc_forensic_sender   = postmaster@my.domain

check_rcpt:
приняли от своих, доверенные
...
warn control = dmarc_enable_forensic

check_data:
приняли от своих
...
warn dmarc_status = off : quarantine
 logwrite = TEST1: DMARC status '$dmarc_status' for $dmarc_used_domain

Как видим, хочу чтобы в лог писались только статусы off и quarantine 
(none исключить).

А на практике вижу, что пишутся и none.
2018-12-12 11:14:51 1gX0bS-000EKP-UA TEST1: DMARC status 'none' for
2018-12-12 11:14:53 1gX0bV-000EKQ-4Q TEST1: DMARC status 'none' for

Например, 1gX0bV-000EKQ-4Q - это рассылка от esputnik.com


3. Решил прописать "accept dmarc_status = accept" до проверки на спам в 
ACL DATA. Пожалел :(
Спамеры тоже совершенствуются. На днях пролезло несколько сотен писем с 
хостов в сети MNT-SELECTEL, имеющих корректную запись в обратной зоне, 
прошеших проверку SPF, DKIM и ... DMARC. Кто-то пробовал принимать без 
доп. проверок письма, прошедшие DMARC?



4. Отчеты DMARC, а как же без них.
Сделал, рассылаются отчеты.
Но что делать если в политике DMARC указан не существующий адрес? Или 
ящик переполнен? Может просто указать свой адрес, указывающий на 
blackhole и не заморачиваться? Кто как поступал?




___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

[Exim-users] Проверка SPF для NDR

[Mikhail Golub]

Доброго времени суток.

Вроде как написано, что в случае NDR проверка SPF выполняется для HELO 
сервера отправителя.

Но не могу получить это на практике :(
Телнетом отправляю письмо на сервер с пустым envelope-from, указыывая 
имя в HELO, но $spf_result пустая. А должно же быть хотя бы "none" если 
ничего нет.


http://www.openspf.org/FAQ/Helo_check

И на русском абзац отсюда - https://habr.com/company/mailru/blog/315778/

"В SMTP некоторые категории писем (NDR, DSN) имеют пустой адрес 
envelope-from. Для таких писем аутентификация производится по домену, 
который SMTP-сервер отправителя использует в команде HELO/EHLO и 
который, как правило, совпадает с каноническим именем сервера. 
Некорректные имена в команде HELO — это еще одна распространенная 
проблема. Убедитесь, что доменное имя в HELO правильное, и пропишите для 
него соответствующую SPF политику например, mailserver.example.org. TXT 
"v=spf1 a -all". В сообщениях о невозможности доставки в адресе 
отправителя можно либо вообще не указывать домен (например From: 
mailer-daemon:;) или использовать домен, совпадающий с доменом HELO с 
точностью до домена организации (обычно это домен второго уровня, 
например From: mailer-dae...@example.org)."




___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] DKIM

[Mikhail Golub]

04.12.2018 14:28, Vsevolod Stakhov пишет:

On 04/12/2018 08:57, Mikhail Golub wrote:

Т.е. во время приема письма проверка DKIM не пройдена - bodyhash_mismatch.


Если это не simple/simple каноникализация, то это достаточно странно. С
relaxed обычно такой чепухи не бывает, а simple использовать вообще нельзя.



DKIM-Signature: v=1; a=rsa-sha256; d=twoomail.com; s=twoo; c=relaxed/simple;
q=dns/txt; i=@twoomail.com; t=1543879875;

"Canonicalization: определяет методы канонизации, используемые при 
подписании сообщения. Метод simple не позволяет почти никакого изменения 
сообщения, в то время как relaxed допускает незначительные изменения, 
такие как замена пробелов; При значении relaxed/simple заголовок 
сообщения будут обрабатываться с "непринужденным" алгоритмом а тело 
"простым"."


Но интересно почему при проверке DKIM в Exim проверка не пройдена, а 
Mozilla Thunderbird пройдена?


Настройки Exim касательно проверки DKIM минимальные.

acl_smtp_dkim = check_dkim

check_dkim:

accept hosts = +relay_from_hosts : +my_external_nets
 control = dkim_disable_verify

warn dkim_status = fail
 condition = ${if !match{$dkim_cur_signer}{.onmicrosoft.com}}
 logwrite = DKIM-Debug: address=$sender_address 
dkim_domain=$dkim_cur_signer - $dkim_verify_reason




___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] DKIM

[Mikhail Golub]

Да, с DKIM все печально.

Вот пример конкретного письма.

2018-12-04 01:52:41 1gTy13-000C3F-7I DKIM-Debug: 
address=nore...@twoomail.com dkim_domain=twoomail.com - bodyhash_mismatch
2018-12-04 01:52:41 1gTy13-000C3F-7I DKIM-Debug: 
address=nore...@twoomail.com dkim_domain=@twoomail.com - bodyhash_mismatch
2018-12-04 01:52:42 1gTy13-000C3F-7I <= nore...@twoomail.com 
H=mx26.netlogmail.com [77.73.183.10] P=esmtp S=40698 
id=39.61.03247.3CCB50C5@mail04 T=" Намечается вечеринка в Киев и ты 
приглашена!" from  for ...


Т.е. во время приема письма проверка DKIM не пройдена - bodyhash_mismatch.

Но когда это письмо открываю в Mozilla Thunderbird с плагином 
https://github.com/lieser/dkim_verifier то пишет "Valid (Signed by 
twoomail.com)"




___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] DKIM

[Mikhail Golub]

Доброго времени суток.

Решил тоже вернуться к проверке DKIM.
Раньше я ничего полезного для себя в проверке DKIM во входящей почте не 
получил.


Промониторив несколько дней почту на ошибки DKIM понял, что на статус 
"invalid" не стоит обращать внимания ...

Ошибки типа "failed key import".

Что может быть полезным - статус "fail". Т.е. подпись есть, но проверка 
не проходит.

И вот здесь засада :(
Домены, которые используют услуги Office 365, не проходят проверку.
Например:
mih.onmicrosoft.com; fail - bodyhash_mismatch -- это metinvestholding.com
datagr.onmicrosoft.com; fail - bodyhash_mismatch -- это Датагруп.

В privatbank.ua используются сервисы Google:
privatbank.ua; fail - signature_incorrect

Т.е. вполне себе уважаемые и не маленькие компании в Украине.
И если согласно FAIL не принять письмо ... - в общем не стоит :)

Разве что выполнять проверки только для конкретных доменов типа 
google.com, paylal.com .., о чем и писал в своем вопросе Виктор.



17.11.2018 12:17, Victor Sudakov пишет:

Коллеги,

Такой минимальной конфигурации достаточно для проверки DKIM во входящей 
почте? (для доменов gmail.com, groups.io присутствие подписи 
обязательно, для остальных - проверяем если она есть):


dkim_verify_signers = gmail.com:groups.io:$dkim_signers
acl_smtp_dkim = acl_check_dkim

begin acl

acl_check_dkim:
 deny message = DKIM signature verification failure
     dkim_status = none:invalid:fail

 accept





___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] Mime acl match "+"

[Mikhail Golub]

Добрый день.

Как выяснил, дело не в Exim ...

В общем, сделал простейшее правило - если mime-часть архив, то выполнить 
внешний скрипт.


warn condition = ${if match{$mime_filename}{\N(?i)\.(ARCEXT)$\N}}
 logwrite = "$mime_filename"
 logwrite = "${run{/usr/local/bin/7z l $mime_decoded_filename}}"

Отправляю письмо с архивом multivolume - в логе пусто:
2018-11-02 10:45:01 1gIV4f-000Ml5-C5 "TeamViewer_Setup.part01.rar"
2018-11-02 10:45:01 1gIV4f-000Ml5-C5 ""

Письмо с вложенным обычным архивом - все ок:
2018-11-02 10:45:43 1gIV5L-000MlL-48 "pack.rar"
2018-11-02 10:45:43 1gIV5L-000MlL-48 "\n7-Zip [64] 16.02 : Copyright (c) 
1999-2016 Igor Pavlov : 2016-05-21\np7zip Version 16.02 
(locale=C,Utf16=off,HugeFiles=on,64 bits,2 CPUs x64)\n\nScanning the 
drive for archives:\n1 file, 166 bytes (1 KiB)\n\nListing archive: 
/var/spool/exim/scan/1gIV5L-000MlL-48/1gIV5L-000MlL-48-2\n\n--\nPath 
= /var/spool/exim/scan/1gIV5L-000MlL-48/1gIV5L-000MlL-48-2\nType = 
Rar5\nPhysical Size = 166\nSolid = -\nBlocks = 1\nEncrypted = 
-\nMultivolume = -\nVolumes = 1\n\n   Date  TimeAttr 
Size   Compressed  Name\n--- -  
  \n2018-10-30 14:43:21 A 
  121   94  test.zip\n--- -  
  \n2018-10-30 14:43:21 
  121   94  1 files\n"



Т.е. почему-то не отрабатывает обработка многотомного архива :(

Пока писал письмо - нашел ответ :)
"7z l" на многотомный архив возвращает ошибку. См. в конце.

# 7z l
p7zip Version 16.02 (locale=ru_RU.UTF-8,Utf16=on,HugeFiles=on,64 bits,2 
CPUs x64)


Scanning the drive for archives:
1 file, 1457664 bytes (1424 KiB)

Listing archive: /home/gmn/6/TeamViewer_Setup.part01.rar

--
Path = /home/gmn/6/TeamViewer_Setup.part01.rar
Type = Rar5
ERROR = Missing volume : TeamViewer_Setup.part02.rar
Physical Size = 1457664
Characteristics = Volume
Solid = -
Blocks = 1
Encrypted = -
Multivolume = +
Volume Index = 0
Volumes = 1

   Date  TimeAttr Size   Compressed  Name
--- -   


2018-05-22 13:59:40 A 20367104  1457471  TeamViewer_Setup.exe
--- -   


2018-05-22 13:59:40   20367104  1457471  1 files

Errors: 1





01.11.2018 17:58, George L. Yermulnik пишет:

Hello!

On Thu, 01 Nov 2018 at 17:47:18 (+0200), Mikhail Golub wrote:


01.11.2018 17:28, George L. Yermulnik пишет:

warn set acl_m_test = ${if match{${run{/usr/local/bin/7z l
$mime_decoded_filename}}} {\N(Multivolume = +)\N} {$1}}



1. Убрать "\N" - их наличие тут, имхо, бессмысленно.

Имеет смыл.


Какой?


2. Заэкранировать сам слеш: \\+

Проверил. Не помогло.


Мне помогает:
[--- cut ---]
$ exim -be

warn set acl_m_test = ${if match{Multivolume = +} {(Multivolume = \\+)} {$1}}

warn set acl_m_test = Multivolume = +

warn set acl_m_test = ${if match{Multivolume = -} {\N(Multivolume = [+-])\N} 
{$1}}

warn set acl_m_test = Multivolume = -

warn set acl_m_test = ${if match{Multivolume = +} {\N(Multivolume = [+-])\N} 
{$1}}

warn set acl_m_test = Multivolume = +

^D

[--- cut ---]


3. Круглые скобки, судя по приведённому примеру, тоже смысла не имеют.

Тоже имеют смысл. Переменная раскрывается в $1.


Этого не заметил. Прошу прощения.


Переделал немного.
warn set acl_m_test = ${if match{${run{/usr/local/bin/7z l
$mime_decoded_filename}}} {\NMultivolume = (\+|\-)\N} {$1}}



Если архив не многотомный, то set acl_m_test получает значение "-".
А вот если многотомный (Multivolume = +) - не срабатывает правило :(






___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] Mime acl match "+"

[Mikhail Golub]

01.11.2018 17:28, George L. Yermulnik пишет:

warn set acl_m_test = ${if match{${run{/usr/local/bin/7z l
$mime_decoded_filename}}} {\N(Multivolume = +)\N} {$1}}


1. Убрать "\N" - их наличие тут, имхо, бессмысленно.

Имеет смыл.


2. Заэкранировать сам слеш: \\+

Проверил. Не помогло.


3. Круглые скобки, судя по приведённому примеру, тоже смысла не имеют.

Тоже имеют смысл. Переменная раскрывается в $1.

Переделал немного.
warn set acl_m_test = ${if match{${run{/usr/local/bin/7z l 
$mime_decoded_filename}}} {\NMultivolume = (\+|\-)\N} {$1}}


Если архив не многотомный, то set acl_m_test получает значение "-".
А вот если многотомный (Multivolume = +) - не срабатывает правило :(



___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

[Exim-users] Mime acl match "+"

[Mikhail Golub]

Добрый вечер.

Подскажите, пожалуйста, уже голову сломал на вечер ... :(

В acl_smtp_mime есть такое условие.
Надо установить значение переменной, если вывод команды содержит 
"Multivolume = +" в эту строку.

Если вместо знака "+" знак "-" - работает.
С плюсом проблема. Экранирование "\+" не помогло.

warn set acl_m_test = ${if match{${run{/usr/local/bin/7z l 
$mime_decoded_filename}}} {\N(Multivolume = +)\N} {$1}}




___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] Rewrite sender to X-Failed-Recipients

[Mikhail Golub]

Спасибо.

Решил таким роутером.
mfu_fail:
driver = redirect
condition = ${if def:h_Auto-Submitted: {1}}
condition = ${if match{$local_part@$domain}{(?i)mfu@localdomain}}
headers_add = X-Original-Recipient: $local_part@$domain
verify_recipient = false
verify_sender = false
data = ${address:$rh_X-Failed-Recipients:}



19.10.2018 9:53, Alexander Titaev пишет:

Здравствуйте, Mikhail.

Вы писали 19 октября 2018 г., 14:17:48:




Или, как вариант, делать rewrite адреса mfu@localdomain на
$local_part@$domain еще на стадии приема письма от МФУ.
Но не получилось :(
Пробовал так:
^(?i)mfu@localdomain$local_part@$domain FS




я бы в acl чекал что sender eq '', rcpt eq mfu@localdomain
вычленял ${address:$rh_X-Failed-Recipients:} в $acl_m_send_mfu_fail

а в system-filter
if $acl_m_send_mfu_fail match "@"
deliver  $acl_m_send_mfu_fail
finish
endif







___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

[Exim-users] Rewrite sender to X-Failed-Recipients

[Mikhail Golub]

Доброе утро.

Есть Exim, за ним Exchange.
Перед Exim-ом есть МФУ-шки, на которых люди сканируют что-то и 
отправляют результаты по почте.

На МФУ установлен лимит на размер сообщения, равный лимиту на Exim.
Но бывает такое, что Exim-у сообщение "влазит".
Т.е. от МФУ письмо Exim принял - все хорошо.

Дальше Exim пытается отправить это письмо на Exchange и получает:
SMTP error from remote mail server after pipelined sending data block: 
552 5.3.4 Message size exceeds fixed maximum message size


После этого Exim генерирует NDR на адрес, от которого было это письмо.
Этот адрес задан один на всех МФУ для удобства. Пусть будет mfu@localdomain

В итоге отлуп получает mfu@localdomain, а "девочка", которая 
отсканировала и ошибки небыло - "ни словом ни духом".


Происходит это потому, скорее всего, что Exim добавляет в письмо, 
которое и так было "на пределе размера" свои заголовки, и на Exchange с 
таким же лимитом оно уже не проходит.


Вот поэтому и думаю, как на Exim после (или до) формирования NDR менять 
адрес mfu@localdomain на ${address:$rh_X-Failed-Recipients:}


Или, как вариант, делать rewrite адреса mfu@localdomain на 
$local_part@$domain еще на стадии приема письма от МФУ.

Но не получилось :(
Пробовал так:
^(?i)mfu@localdomain$local_part@$domain FS



___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] Перенаправить почту пользователя

[Mikhail Golub]

Доброе утро.

Я использую SRS для исключения проблем с SPF.
Все пользователи виртуальные для Exim,поэтому "~/.forward" нету.
Но есть роутеры, который позволяет делать алиас, форвард ...

# SRS (replace router virt_aliases)
forwarding_router:
  domains = +virtual_domains
  require_files = /usr/local/etc/exim/domains/$domain
  driver = redirect
  srs = forward
  data = ${if 
match{${lookup{$local_part}lsearch*{/usr/local/etc/exim/domains/$domain}}}{%1\\@(.+)}{$local_part@$1}{${lookup{$local_part}lsearch*{/usr/local/etc/exim/domains/$domain

  allow_fail

srs_router:
  domains = +virtual_domains
  driver = redirect
  srs = reverseandforward
  data = ${srs_recipient}


В файле /usr/local/etc/exim/domains/$domain:
локальная_часть:новый_адрес_для_пересылки (может быть в этом же домене)


18.10.2018 19:47, Victor Sudakov пишет:

Коллеги,

При необходимости перенаправить почту одного из моих пользователей на
другой почтовый сервер, классическим механизмом ~/.forward пользоваться уже в
общем-то нельзя из-за SPF и прочего.

Я не придумал ничего лучшего, как засунуть пользователю в .forward
следующую конструкцию:

|/usr/local/sbin/exim -f pup...@mydomain.ru -i pup...@gmail.com

Но это как-то криво, нет? Как минимум для переправленных таким
способом писем прерывается преемственность в логе exim, что неудобно.

Сделать "echo pup...@gmail.com > ~pupkin/.forward", как в старые
добрые времена, нельзя из-за возможных проблем с SPF.





___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] SMTP protocol error in "AUTH LOGIN"

[Mikhail Golub]

Всем спасибо за помощь.

Решил простеньким скриптом на Perl (честно взятым на просторах Интернет 
и переделанным под мои потребности), который запускается по расписанию и 
добавляет в таблицу pf провинившиеся IP.

Может кому будет полезно ...

#!/usr/local/bin/perl

use strict;
use warnings;

# Options to set up here.
#
# $conf is where to store the current state file.
# $maillog is the latest Exim main log.

my $conf = "/var/spool/exim/mainlog-state";
my $mainlog = "/var/log/exim/mainlog";

my $seek = 0;
my $inode = inode_number($mainlog);
my $cantseek = 0;

if (-r $conf) {
  open CONF, "< $conf";
  while () {
chomp;
s/^\s*//;
s/\s*$//;
next if /^$/;
if (/^inode=(\d+)$/) {
  $inode = $1;
}
if (/^seek=(.*)$/) {
  $seek = $1;
}
  }
  close CONF;
}

my @ips = ();


# see if we can seek to current position in the mainlog. If not, then
# it has most likely been rotated
open LOG, "< $mainlog" or die "cannot open exim log file $mainlog!";
if (!seek(LOG, $seek, 0)) {
  $cantseek = 1;
}
close LOG;

if ($inode != inode_number($mainlog) or $cantseek) {
  $inode = inode_number($mainlog);
  $seek = 0;
}

$seek = read_log($mainlog, $seek, \@ips);

# output
if (@ips) {
@ips = uniq(@ips);
foreach my $ip (@ips) {
`/sbin/pfctl -t blocksmtp -T add $ip > /dev/null 2>&1`;
}
}


# create config file
open CONF, "> $conf";
print CONF "inode=$inode\n";
print CONF "seek=$seek\n";
close CONF;

exit;



sub inode_number
{
  my $file = shift;
  my ($dummy, $inode) = stat($file);
  return $inode;
}

sub read_log
{
  my ($file, $seek, $stats) = @_;
  my $prevline = undef;
  my $line;
  my ($prevpos, $pos);
  local *LOG;

  open LOG, "< $file" or die "cannot open exim log file $file!";
  if (!seek(LOG, $seek, 0)) {
close LOG;
return $seek;
  }
  while ($line = ) {
if (defined $prevline) {
  if ($line =~ m/\[(.*)\] AUTH command used when not advertised/) {
push @ips, $1;
  }
}
$prevline = $line;
$prevpos = $pos;
$pos = tell LOG;
  }
  close LOG;

  $prevpos = $seek unless defined $prevpos;

  return $prevpos;
}

sub uniq {
my %seen;
grep !$seen{$_}++, @_;
}



25.09.2018 11:21, Vladimir Sharun пишет:

Привет,

Это syntax error - я не думаю, что оно будет отсвечивать где-то в ACL. 
Как вместо RCPT написать RPCT.


/25 вересня 2018, 11:19:55, від "Mikhail Golub" <mailto:g...@gmn.org.ua>>:/


Спасибо.

Я как-то раньше задавался этим вопросом, но ответа не нашел.
Искал в англоязычной рассылке - там тоже предлагали парсить логи,
использовать fail2ban ...

Хотелось попроще.
Описанный вариант (run shell) работает уже для некоторых правил.

Вариант с SQL - вариант. Но ...
"Лучше уж сделать кондишн с sql запросом, который положит нужный
ip/дату_время в базу" - вопрос тот же - где этот конфишн (в каком acl)
разместить?


25.09.2018 11:00, Vladimir Sharun пишет:
> Привет,
> 
> tail на логи и ловить/парсить нужную строку.
> 
> Ты не попадёшь ни в один из ACL'ей, потому что это кейс - syntax error:

> 
https://www.exim.org/exim-html-current/doc/html/spec_html/ch-smtp_authentication.html
> *If the connection is not using extended SMTP (that is, HELO was used 
> rather than EHLO), the use of AUTH= is a syntax error.*
> 
> И да, вариант с run shell - это перебор. Лучше уж сделать кондишн с sql 
> запросом, который положит нужный ip/дату_время в базу, а внешний скрипт 
> раз в секунду поллит изменения в таблице - забирает оттуда новеньких и 
> пушит в файрвольную таблицу новый айтем. Держать в базе также полезно, 
> потому что у тебя всегда есть доказательства, когда какой хост накосячил.
> 
> У нас таких странных на 12 часов в бан, потом бан снимается до след. 
> инцидента.
> 
> /25 вересня 2018, 09:11:52, від "Mikhail Golub" mailto:g...@gmn.org.ua>  
> <mailto:g...@gmn.org.ua>>:/
> 
> Доброго времени суток.
> 
> Подскажите, пожалуйста, где (в каких acl) отловить события чтобы их

> заблокировать (событие указано ниже)?
> 
> Exim собран без авторизации:

> Exim version 4.91 #3 (FreeBSD 11.2) built 27-Aug-2018 11:58:37
> Copyright (c) University of Cambridge,1995 - 2018
> (c) The Exim Maintainers and contributors in ACKNOWLEDGMENTS file,2007   
> -2018

> Probably Berkeley DB version 1.8x (native mode)
> Support for: iconv() use_setclassresources Expand_dlfunc OpenSSL PRDR
> Lookups (built-in): lsearch wildlsearch nwildlsearch iplsearch cdb dbm
> dbmjz dbmnz dnsdb dsearch passwd
> Authenticators:
> Routers: accept dnslookup 

Re: [Exim-users] SMTP protocol error in "AUTH LOGIN"

[Mikhail Golub]

Спасибо.

Я как-то раньше задавался этим вопросом, но ответа не нашел.
Искал в англоязычной рассылке - там тоже предлагали парсить логи, 
использовать fail2ban ...


Хотелось попроще.
Описанный вариант (run shell) работает уже для некоторых правил.

Вариант с SQL - вариант. Но ...
"Лучше уж сделать кондишн с sql запросом, который положит нужный 
ip/дату_время в базу" - вопрос тот же - где этот конфишн (в каком acl) 
разместить?



25.09.2018 11:00, Vladimir Sharun пишет:

Привет,

tail на логи и ловить/парсить нужную строку.

Ты не попадёшь ни в один из ACL'ей, потому что это кейс - syntax error:
https://www.exim.org/exim-html-current/doc/html/spec_html/ch-smtp_authentication.html
*If the connection is not using extended SMTP (that is, HELO was used 
rather than EHLO), the use of AUTH= is a syntax error.*


И да, вариант с run shell - это перебор. Лучше уж сделать кондишн с sql 
запросом, который положит нужный ip/дату_время в базу, а внешний скрипт 
раз в секунду поллит изменения в таблице - забирает оттуда новеньких и 
пушит в файрвольную таблицу новый айтем. Держать в базе также полезно, 
потому что у тебя всегда есть доказательства, когда какой хост накосячил.


У нас таких странных на 12 часов в бан, потом бан снимается до след. 
инцидента.


/25 вересня 2018, 09:11:52, від "Mikhail Golub" <mailto:g...@gmn.org.ua>>:/


Доброго времени суток.

Подскажите, пожалуйста, где (в каких acl) отловить события чтобы их
заблокировать (событие указано ниже)?

Exim собран без авторизации:
Exim version 4.91 #3 (FreeBSD 11.2) built 27-Aug-2018 11:58:37
Copyright (c) University of Cambridge,1995 - 2018
(c) The Exim Maintainers and contributors in ACKNOWLEDGMENTS file,2007  
-2018

Probably Berkeley DB version 1.8x (native mode)
Support for: iconv() use_setclassresources Expand_dlfunc OpenSSL PRDR
Lookups (built-in): lsearch wildlsearch nwildlsearch iplsearch cdb dbm
dbmjz dbmnz dnsdb dsearch passwd
Authenticators:
Routers: accept dnslookup ipliteral manualroute queryprogram redirect
Transports: appendfile/mbx autoreply pipe smtp
Fixed never_users: 0
Configure owner: 0:0
Size of off_t: 8
Configuration file is /usr/local/etc/exim/configure


Подобные коннекты напрягают (не мешают, но лог забивают):
2018-09-25 05:04:18 SMTP connection from [182.38.95.137] (TCP/IP
connection count = 1)
2018-09-25 05:04:19 SMTP protocol error in "AUTH LOGIN"
H=(vcuawmzrqq.com) [182.38.95.137] AUTH command used when not advertised
2018-09-25 05:04:20 SMTP connection from (vcuawmzrqq.com)
[182.38.95.137] lost D=1s


Хочу через такое правило добавлять хост в таблицу firewall-а:
continue = ${run{SHELL -c "/usr/local/bin/sudo -u root /sbin/pfctl -t
blocksmtp -T add $sender_host_address"}}

Но в какой ACL его добавить ..?



___
Exim-users mailing list
Exim-users@mailground.net <mailto:Exim-users@mailground.net>
http://mailground.net/mailman/listinfo/exim-users



___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users





___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

[Exim-users] SMTP protocol error in "AUTH LOGIN"

[Mikhail Golub]

Доброго времени суток.

Подскажите, пожалуйста, где (в каких acl) отловить события чтобы их 
заблокировать (событие указано ниже)?


Exim собран без авторизации:
Exim version 4.91 #3 (FreeBSD 11.2) built 27-Aug-2018 11:58:37
Copyright (c) University of Cambridge, 1995 - 2018
(c) The Exim Maintainers and contributors in ACKNOWLEDGMENTS file, 2007 
- 2018

Probably Berkeley DB version 1.8x (native mode)
Support for: iconv() use_setclassresources Expand_dlfunc OpenSSL PRDR
Lookups (built-in): lsearch wildlsearch nwildlsearch iplsearch cdb dbm 
dbmjz dbmnz dnsdb dsearch passwd

Authenticators:
Routers: accept dnslookup ipliteral manualroute queryprogram redirect
Transports: appendfile/mbx autoreply pipe smtp
Fixed never_users: 0
Configure owner: 0:0
Size of off_t: 8
Configuration file is /usr/local/etc/exim/configure


Подобные коннекты напрягают (не мешают, но лог забивают):
2018-09-25 05:04:18 SMTP connection from [182.38.95.137] (TCP/IP 
connection count = 1)
2018-09-25 05:04:19 SMTP protocol error in "AUTH LOGIN" 
H=(vcuawmzrqq.com) [182.38.95.137] AUTH command used when not advertised
2018-09-25 05:04:20 SMTP connection from (vcuawmzrqq.com) 
[182.38.95.137] lost D=1s



Хочу через такое правило добавлять хост в таблицу firewall-а:
continue = ${run{SHELL -c "/usr/local/bin/sudo -u root /sbin/pfctl -t 
blocksmtp -T add $sender_host_address"}}


Но в какой ACL его добавить ..?



___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

[Exim-users] X-QUIT

[Mikhail Golub]

Доброго времени суток.

Не попадалось ли кому подобная запись в логе?

2018-04-10 13:02:47 SMTP syntax error in "X-QUIT" H=smtp1.hiworks.co.kr 
[121.254.168.204] unrecognized command
2018-04-10 13:02:47 unexpected disconnection while reading SMTP command 
from smtp1.hiworks.co.kr [121.254.168.204] D=9s



Нашел пока только такое: https://tools.ietf.org/html/rfc1425


___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] База данных плохих контрольных сумм файлов

[Mikhail Golub]

Вот поэтому и спросил ... Может есть варианты.
А это одна их попавшихся ссылок при поиске.

16.03.2018 12:06, dawnshade пишет:

собственно на этом можно закончить:

"If you are planning on implementing or automating the use of this 
service in any free or open software, application or host, PLEASE let us 
know in advance. We would like to adequately plan for capacity and make 
sure that we can handle the additional load you may generate."


это значит, что любому кто пришел с встраиванием к себе в систему они 
выкатят "платите N*K шекелей". а если не пришел и спалили - тубо бан. 
проходили уже.
вы серьезно думаете, что людям которые публикуют графики 
(http://www.team-cymru.org/graphs.html) с ботнет трафиком в пике 1 Мб 
можно что-то доверить, кроме локалхоста?
вы считаете что можно доверять людям, которые в 2018 году советуют 
статьи "securing bind" от 2012 года в качестве комбинации авторитарного 
и рекурсивного сервера all-in-one? - 
http://www.cymru.com/Documents/secure-bind-template.html


я дальше даже не буду перчислять


Пятница, 16 марта 2018, 12:57 +03:00 от Mikhail Golub <g...@gmn.org.ua>:

Вполне серьезно.
Есть такой проект - http://www.team-cymru.org/MHR.html

А ПК пользователей патченные конечно.


16.03.2018 11:26, dawnshade пишет:
 > Вы сейчас серьезно, да?
 > Эта база и называется антивирус и бесплатно вам ее врядли кто-то
будет
 > наполнять - см пример clamav.
 > Помимо традиционных баз на диске антивирусы (ну большинство уже)
ходят в
 > онлайн базу, проверяя именно так как вы написали - свертки от
файлов,
 > если вы им явно этого не запретили. Помимо облачной базы у
нормальных
 > антивирусов есть проактивка и парсинг на предмет типичных
сплойтов, что
 > мы и видим на странице VT в методах срабатывания Generic/Heur/etc.
 > Ну и если не говорить о том что это сплоит 2017 года, который должен
 > быть пропатчен на клиентских машинах давно.


___
Exim-users mailing list
Exim-users@mailground.net <mailto:Exim-users@mailground.net>
http://mailground.net/mailman/listinfo/exim-users






___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users




___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] База данных плохих контрольных сумм файлов

[Mikhail Golub]

Вполне серьезно.
Есть такой проект - http://www.team-cymru.org/MHR.html

А ПК пользователей патченные конечно.


16.03.2018 11:26, dawnshade пишет:

Вы сейчас серьезно, да?
Эта база и называется антивирус и бесплатно вам ее врядли кто-то будет 
наполнять - см пример clamav.
Помимо традиционных баз на диске антивирусы (ну большинство уже) ходят в 
онлайн базу, проверяя именно так как вы написали - свертки от файлов, 
если вы им явно этого не запретили. Помимо облачной базы у нормальных 
антивирусов есть проактивка и парсинг на предмет типичных сплойтов, что 
мы и видим на странице VT в методах срабатывания Generic/Heur/etc.
Ну и если не говорить о том что это сплоит 2017 года, который должен 
быть пропатчен на клиентских машинах давно.



___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

[Exim-users] База данных плохих контрольных сумм файлов

[Mikhail Golub]

Доброго времени суток.

Не встречалась ли кому в свободном доступе онлайн база сигнатур, 
например sha256, подозрительных файлов?


Например, пришел по почте вордовский документ.
SHA256 (Updated SOA.doc) = 
15edeb492b2d69af181c4f07b4634bb4337126ab1ea72c83e26b7c94d5577f4c


Я по sha256 проверяю и вижу:
https://www.virustotal.com/ru/file/15edeb492b2d69af181c4f07b4634bb4337126ab1ea72c83e26b7c94d5577f4c/analysis/

Файл для анализа кто-то загружал уже раньше, но с другим именем.
А контрольная сумма та же.

Было бы не плохо анализировать DOC и сравнивать с некой базой.

P.S. Не говорите только, что антивирус в помощь :)
На момент попадания файла ко мне вирус детектили мало антивирусов.
А NOD32 вообще "профукал".


___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] Поиск значения в строке (X-forefront-antispam-report)

[Mikhail Golub]

Спасибо.
Пожалуй это самый "малокровный" вариант.
Я пошел по более сложному пути :(

14.02.2018 15:27, George L. Yermulnik пишет:

Hello!

On Wed, 14 Feb 2018 at 15:18:01 (+0200), Mikhail Golub wrote:


Всем привет.



В рассылке небыло сообщений с прошлого года. Решил исправить ситуацию.



Подскажите, пожалуйста, как из подстроки выцепить значение?



Есть заголовок "X-forefront-antispam-report", содержащий кучу записей
вида "ключ:значение", разделенных точкой с запятой.



Пример:
X-forefront-antispam-report:
SFV:NSPM;SFS:(10019020)(366004)(3938042)(3984044)(346002)(376002)(396003)(189003)(199004)(52164004)(47861)(316002)(106356001)(236005)(33656002)(110136005)(2906002)(328072)(25786009)(99286004)(105586002)(4508042)(54896002)(9686003)(6306002)(66066001)(55016002)(6346003)(26005)(186003)(6506007)(53546011)(102836004)(76176011)(8936002)(224303003)(6436002)(966005)(1630051)(81166006)(81156014)(7696005)(74316002)(290011)(86362001)(68736007)(14454004)(6636002)(7736002)(295012)(525012)(53936002)(3846002)(606006)(229853002)(6246003)(97736004)(6116002)(79071)(366071)(566031);DIR:OUT;SFP:1102;SCL:1;SRVR:VI1P191MB0414;H:VI1P191MB0046.EURP191.PROD.OUTLOOK.COM;FPR:;SPF:None;PTR:InfoNoRecords;MX:1;A:1;LANG:ru;



Как из этого извлечь "SCL:1", и сравнить из этой пары "ключ:значение",
что это значение больше какого-то числа?



forany{<; $h_X-forefront-antispam-report:} {match{$item}{SCL:}}} ...
Но как слепить все условия задачи - пока не получилось :(


Можно попробовать просто отрезать всё, что до "SCL:" и всё, что после,
оставив, только значение этого ключа (sg{}).




___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

[Exim-users] Поиск значения в строке (X-forefront-antispam-report)

[Mikhail Golub]

Всем привет.

В рассылке небыло сообщений с прошлого года. Решил исправить ситуацию.

Подскажите, пожалуйста, как из подстроки выцепить значение?

Есть заголовок "X-forefront-antispam-report", содержащий кучу записей 
вида "ключ:значение", разделенных точкой с запятой.


Пример:
X-forefront-antispam-report: 
SFV:NSPM;SFS:(10019020)(366004)(3938042)(3984044)(346002)(376002)(396003)(189003)(199004)(52164004)(47861)(316002)(106356001)(236005)(33656002)(110136005)(2906002)(328072)(25786009)(99286004)(105586002)(4508042)(54896002)(9686003)(6306002)(66066001)(55016002)(6346003)(26005)(186003)(6506007)(53546011)(102836004)(76176011)(8936002)(224303003)(6436002)(966005)(1630051)(81166006)(81156014)(7696005)(74316002)(290011)(86362001)(68736007)(14454004)(6636002)(7736002)(295012)(525012)(53936002)(3846002)(606006)(229853002)(6246003)(97736004)(6116002)(79071)(366071)(566031);DIR:OUT;SFP:1102;SCL:1;SRVR:VI1P191MB0414;H:VI1P191MB0046.EURP191.PROD.OUTLOOK.COM;FPR:;SPF:None;PTR:InfoNoRecords;MX:1;A:1;LANG:ru;


Как из этого извлечь "SCL:1", и сравнить из этой пары "ключ:значение", 
что это значение больше какого-то числа?


forany{<; $h_X-forefront-antispam-report:} {match{$item}{SCL:}}} ...
Но как слепить все условия задачи - пока не получилось :(


___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] Exim 4.90: DKIM: validation error: RSA_LONG_LINE

[Mikhail Golub]

Доброе утро.

Повторить баг можно так:
perl -e 'print("x" x 998 . "\n");' | mail свой_адрес_в 
домене_подписывемом_DKIM


И будет такая запись в логе и paniclog.

Можно, конечно, добавить правило в acl_data:
deny condition = ${if >{$max_received_linelength}{16381}}

Для DKIM, как ответили разработчики (приведено ниже) критична длина 
строки 16 Кб.


Цитата Jeremy Harris:
"The DKIM signing implementation supports a maximum body line length of 
16kB.


MTAs in general should handle lines up to 1000 characters (per RFC 5321
section 4.5.3.1.6.):
   The maximum total length of a text line including the  is 1000
   octets (not counting the leading dot duplicated for transparency)."

Проверил, пока только в одним отправителем такая проблема бывает.
Связался с ними - обещали исправить.

Но почему бы в коде самого Exim не добавить проверку, что если длина 
строки больше 16 Кб (критичной для DKIM), то не выполнять проверку DKIM?

Но разработчикам, наверное, виднее ...

15.01.2018 12:28, Mikhail Golub пишет:

Разработчики ответили, что:
"The DKIM signing implementation supports a maximum body line length of 
16kB."


"The validation code has to inspect the message to discover that there is
no signature.  The same line length limit applies to validation as to
signing."

Да, в проблемном сообщении, на которое ругается Exim, в теле сообщения 
две строки, одна из которых больше 30 Кб.

Добавлять в check_dkim проверку длины строки?


29.12.2017 8:05, Mikhail Golub пишет:

Вот и я говорю - bug :)
Подписи нет, а проверка выполняется.

28.12.2017 21:58, Victor Cheburkin пишет:

Hi!


28 дек. 2017 г., в 21:22, l...@lena.kiev.ua написал(а):


Баг, кмк, связанный с письмом без DKIM когда для домена DKIM включен


Если в заголовке письма нет подписи DKIM, то Exim-у неизвестен 
dkim_selector,

и поэтому Exim не может знать, существует ли вообще запись DKIM
в DNS домена "From:". Exim не знает, какую запись запрашивать.
Ну и не запрашивает.



Согласен, все логично. Однако что вижу о том и говорю: письмо 
приходит, в нем подписи dkim нет (я не настраивал), однако запись в 
логе есть. За пару месяцев такое письмо ровно одно, хотя с того хоста 
они каждый день ходят.





___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users




___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users




___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] Exim 4.90: DKIM: validation error: RSA_LONG_LINE

[Mikhail Golub]

Разработчики ответили, что:
"The DKIM signing implementation supports a maximum body line length of 
16kB."


"The validation code has to inspect the message to discover that there is
no signature.  The same line length limit applies to validation as to
signing."

Да, в проблемном сообщении, на которое ругается Exim, в теле сообщения 
две строки, одна из которых больше 30 Кб.

Добавлять в check_dkim проверку длины строки?


29.12.2017 8:05, Mikhail Golub пишет:

Вот и я говорю - bug :)
Подписи нет, а проверка выполняется.

28.12.2017 21:58, Victor Cheburkin пишет:

Hi!


28 дек. 2017 г., в 21:22, l...@lena.kiev.ua написал(а):


Баг, кмк, связанный с письмом без DKIM когда для домена DKIM включен


Если в заголовке письма нет подписи DKIM, то Exim-у неизвестен 
dkim_selector,

и поэтому Exim не может знать, существует ли вообще запись DKIM
в DNS домена "From:". Exim не знает, какую запись запрашивать.
Ну и не запрашивает.



Согласен, все логично. Однако что вижу о том и говорю: письмо 
приходит, в нем подписи dkim нет (я не настраивал), однако запись в 
логе есть. За пару месяцев такое письмо ровно одно, хотя с того хоста 
они каждый день ходят.





___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users




___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] exim 4.90 странные ошибки в логах

[Mikhail Golub]

Спасибо.

Добавил. Долго ждать не пришлось.

WHITELIST = UPDATE whitelist set date=now() where 
sender_ip='${quote_mysql:$sender_host_address}' limit 1;


warn set acl_m_sq = ${lookup mysql{WHITELIST}}
 logwrite = sq:<$acl_m_sq>
 condition = ${if eq{${substr_0_1:$acl_m_sq}}{1}}
 set acl_m_white = 1

2018-01-12 09:47:20 sq:<1▒)\004\b>
2018-01-12 09:48:43 
sq:<0rator.ua)(|(&(!(userAccountControl:1.2.840.113556.1.4.803:=2))(msExchRecipientTypeDetails=1))(msExchRecipientTypeDetails=4))(objectclass=user))>

2018-01-12 09:48:44 sq:<0WHERE relay_ip = '185.128.235.25'>

Баг?
Баг.


11.01.2018 21:16, l...@lena.kiev.ua пишет:

warn condition = ${lookup mysql{GOOD_SENDER}}
  set acl_m_white = 1



И как отловить эти глюки в 4.90 даже мыслей пока нет.


Заменить на:

  warn set acl_m_sq = ${lookup mysql{GOOD_SENDER}}
   logwrite = sq:<$acl_m_sq>
   condition = ${if eq{${substr_0_1:$acl_m_sq}}{1}}
   set acl_m_white = 1

Потом

grep 'sq:' /var/log/exim/mainlog

и если найдется какой-то мусор, то оформить новый баг на
http://bugs.exim.org
привести этот кусок ACL и вывод этого grep.

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users




___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] exim 4.90 странные ошибки в логах

[Mikhail Golub]

05.01.2018 1:19, Alexander Sheiko пишет:

Привет всем.

Обнаружился сабж, с которым ранее не сталкивался:

...

2018-01-04 11:28:20 H=(163.53.168.95) [163.53.168.95] F=
temporarily rejected RCPT : invalid "condition" value
"1Secure Shell Login


На 4.90 подобных ошибок было валом в логе (писал в рассылку).
В лог попадают куски из запросов к SQL, LDAP (в начале идет результат 
... например "0" и сразу же за ним "SELECT ..." - получаем ошибку). 
Закономерности не нашел :(

Вернул 4.89 - ошибки пропали.


___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] Exim 4.90: DKIM: validation error: RSA_LONG_LINE

[Mikhail Golub]

Вот и я говорю - bug :)
Подписи нет, а проверка выполняется.

28.12.2017 21:58, Victor Cheburkin пишет:

Hi!


28 дек. 2017 г., в 21:22, l...@lena.kiev.ua написал(а):


Баг, кмк, связанный с письмом без DKIM когда для домена DKIM включен


Если в заголовке письма нет подписи DKIM, то Exim-у неизвестен dkim_selector,
и поэтому Exim не может знать, существует ли вообще запись DKIM
в DNS домена "From:". Exim не знает, какую запись запрашивать.
Ну и не запрашивает.



Согласен, все логично. Однако что вижу о том и говорю: письмо приходит, в нем 
подписи dkim нет (я не настраивал), однако запись в логе есть. За пару месяцев 
такое письмо ровно одно, хотя с того хоста они каждый день ходят.




___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] Exim 4.90: invalid "condition" value

[Mikhail Golub]

Упразднил отдельный SELECT, объединив с UPDATE.
Посмотрю на изменения.

Этого достаточно? (lookup возвращает 1 или 0)
warn condition = ${lookup mysql{WHITELIST}}

Или правильнее писать полностью?
warn condition = ${lookup mysql{WHITELIST}{1}{0}}


28.12.2017 16:52, Mikhail Golub пишет:

28.12.2017 16:29, l...@lena.kiev.ua пишет:

Есть такой set в check_rcpt.

warn set acl_c_rdns = ${lookup dnsdb{defer_never,
ptr=$sender_host_address}{$value}{no_rdns}}

Может это оно выдает такую запись, когда получает SERVFAIL?


Нет, invalid "condition" value - из-за строки condition, а не set.


Да, это я понял потом уже, как написал :(


Вот за сегодня в логе такие записи:
2017-12-28 08:44:31 H=(sconto.com.ua) [91.234.34.201] F=<***>
temporarily rejected RCPT <***>: invalid "condition" value "1.201"

...

В данном случае в одной из строк condition в ACL для rcpt
после знака равенства после expansion получилось не целое число,
в результате defer (4xx, temporarily rejected).
Ищите строки condition, в которых сразу после знака равенства
написано не ${if


Кроме "condition = ${if" в rcpt есть еще:
warn condition = ${lookup mysql{SELECT_WHITELIST}}
  condition = ${lookup mysql{UPDATE_WHITELIST}{yes}{yes}}

В общем, где не "if", а lookup.
И lookup, оперирующий с sender_host_address, только два - select и 
аналогичный update:
SELECT_WHITELIST = SELECT 1 from `whitelist` where 
sender_ip='${quote_mysql:$sender_host_address}' limit 1;


Эта и подобные конструкции работали успешно до перехода на 4.90.
И сейчас работают. Но иногда ошибки в логе.



Есть у кого такие записи в логе?

У меня нет. 4.90 под FreeBSD, BIND на том же хосте кэширует и
сам резолвит зоны нескольких dnslists, а остальные зоны - forward 8.8.8.8


почти аналогично (4.90, FreeBSD, bind)).
Только без форварда на 8.8.8.8


___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users




___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

[Exim-users] Exim 4.90: invalid "condition" value

[Mikhail Golub]

Доброго времени суток.

Еще один, думаю баг в новой версии 4.90, так как посмотрел логи до 
обновления - таких записей нет.


Вот за сегодня в логе такие записи:
2017-12-28 08:44:31 H=(sconto.com.ua) [91.234.34.201] F=<***> 
temporarily rejected RCPT <***>: invalid "condition" value "1.201"
2017-12-28 09:51:33 H=(zmail.sanbe-farma.com) [103.11.96.30] F=<***> 
temporarily rejected RCPT <***>: invalid "condition" value "103.11.96.30"
2017-12-28 10:14:52 H=smtp-s-16.mkt-synd.com [185.136.201.50] F=<***> 
temporarily rejected RCPT <***>: invalid "condition" value "101.50"
2017-12-28 12:46:48 H=(WIN-PVSRN2CLPGD.localhost) [137.59.52.170] 
F=<***> temporarily rejected RCPT <***>: invalid "condition" value "1.170"
2017-12-28 13:56:28 H=(ns1.sukod.net) [37.148.210.151] F=<***> 
temporarily rejected RCPT <***>: invalid "condition" value "10.151"


В одном случае IP-адрес хоста отправителя.
В других только часть адреса.
Есть у кого такие записи в логе?

Вот проверка по "exim -bh 37.148.210.151":

>>> calling dnslookup router
>>> demirmak.com.tr in dns_again_means_nonexist? no (option unset)
>>> dnslookup router: defer for norm...@demirmak.com.tr
>>>   message: host lookup did not complete
>>> --- end verify 
>>> deny: condition test deferred in ACL "check_rcpt"
LOG: H=(ns1.sukod.net) [37.148.210.151] sender verify defer for 
: host lookup did not complete

451 Temporary local problem - please try later
LOG: H=(ns1.sukod.net) [37.148.210.151] F= 
temporarily rejected RCPT <***>: Could not complete sender verify


Почему "451 Temporary local problem", если идет понятная ошибка?


___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

[Exim-users] Транспорт smtp, логирование протокола и др.

[Mikhail Golub]

Всем привет.

Есть ли возможность включить логирование протокола, используемого при 
отправке? (smtp, esmtp, esmtps)

Использовался ли chunking? TLS?

В доке по транспорту посмотрел - не нашел.

P.S. В общем, как при приеме входящего сообщения - "P=esmtps K S=35098" 
(хотя бы эти параметры)



___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] Antivirus on FreeBSD

[Mikhail Golub]

Свой вопрос полгода назад я помню.
Но тогда обсуждение ушло в сторону ...

Блокировка исполняемых виндовых файлов и т.п. есть.
Но в последнее время повадились слать вирусы в PDF, DOC(x).


06.11.2017 15:41, Mikhail Golub пишет:

Доброго времени суток.

Посоветуйте, пожалуйста, нормальный антивирус (платный, бесплатный), 
работающий, желательно, на FreeBSD.





___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

[Exim-users] Antivirus on FreeBSD

[Mikhail Golub]

Доброго времени суток.

Посоветуйте, пожалуйста, нормальный антивирус (платный, бесплатный), 
работающий, желательно, на FreeBSD.


Для фильтрации почты на Exim, разумеется :)

DrWeb, Kaspersky не предлагать.
В Украине "табу" на них.
ClamAV уж очень слабый и мало эффективный.


___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] Temporary server error. Please try again later. PRX5

[Mikhail Golub]

30.05.2017 13:27, Vasiliy P. Melnik пишет:
не берите дурного в голову и тяжелого в руки - можно погадать на 
кофейной гуще, вероятность будет примерно такая же, как если мы начнем 
сидеть и угадывать


Я же просил просто написать, есть ли ошибки ... :)

P.S. Странно, что на письма в рассылку отвечаете в последнее время 
только вы.


--
Mikhail Golub


___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

[Exim-users] Temporary server error. Please try again later. PRX5

[Mikhail Golub]

Всем привет.

Вопрос больше не по Exim, а по тому, есть ли у вас в логах Exim такая 
ошибка (PRX5).

Скорее всего, проблема в MS Exchange на стороне получателя ...

Ошибки такие:
SMTP error from remote mail server after end of data: 451 4.7.0 
Temporary server error. Please try again later. PRX5


SMTP error from remote mail server after pipelined end of data: 451 
4.7.0 Temporary server error. Please try again later. PRX5 NextHop: 
pod51031ehf.outlook.com 
[AM5EUR03FT004.eop-EUR03.prod.protection.outlook.com]




--
Mikhail Golub


___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

[Exim-users] Размер письма

[Mikhail Golub]

Доброго времени суток.

Имеем с одной стороны Exim - отправитель.
С другой стороны "Microsoft ESMTP MAIL Service ready" - получатель.

При подключении телнетом к получателю и команде ehlo получаю:
...
250-SIZE 10485760
...

Т.е. максимальный принимаемый размер грубо говоря 10 Мб.

Размер письма в очереди со стороны отправителя 13 Мб.
И в логе получаю ошибку "T=remote_smtp defer (32): Broken pipe".
А разве не должно по esmtp сразу послать, что размер письма превышен?

Проблема "Broken pipe" из-за того, что у получателя закрыт icmp 
полностью, и, скорее всего, подключение ADSL. В итоге письмо большого 
размера не проходит.
Но вопрос в другом - по esmtp передачи письма большего размера быть же 
не должно уже?



--
Mikhail Golub

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

[Exim-users] Exim 4.89, SRS

[Mikhail Golub]

Доброго времени суток.

Использует ли кто SRS с Exim?
Если да, то не встречались с таким глюком?

Имеется Exim 4.89 с "Experimental_SRS".
В конфиге Exim два роутера:

exch_router_contact:
 driver = redirect
 domains = +virtual_domains
 srs = forward
 data = ${extract{2}{:}{${lookup ldap \
  {LDAP_AUTH \
 ldap:///DC=*,DC=*?targetAddress?sub?\ 
 (&(proxyAddresses=smtp:${quote_ldap:$local_part}@$domain))\

  

srs_router:
  domains = +virtual_domains : +local_domains
  driver = redirect
  srs = reverse
  data = ${srs_recipient}

Т.е. все "стандартно".

И вот вчера заметил, что одно письмо не доставлено на сервер назначения 
(облако мелкософт).


protection.outlook.com [213.199.154.106]: SMTP error from remote mail 
server after pipelined MAIL 

Re: [Exim-users] System filter: failed to read pipe

[Mikhail Golub]

07.04.2017 12:26, Dmitry Bogun пишет:

Эмм... а вы пробовали "проверить" что ваш перловый скрипт "хорошо" себя ведет и 
чувствует. Вы делаете доставку через PIPE, у вас валяется ошибки о чтении PIPE, но "крутить" вы 
пытаетесь SMTP доставку и только со стороны exim'а. Тут практически наверняка проблема в скрипте, который вы 
зовете из system filter.



Это баг Exim.
Уже писал в англоязычную рассылку.


--
Mikhail Golub

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] System filter: failed to read pipe

[Mikhail Golub]

И "чтобы два раза не вставать" подскажите разницу в обработке этих двух 
строк?

tls_try_verify_hosts = :
tls_try_verify_hosts =

Т.е. во второй строке пустой аргумент.

--
Mikhail Golub

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] System filter: failed to read pipe

[Mikhail Golub]

21.02.2017 11:06, l...@lena.kiev.ua пишет:

Попробуйте всё же опять убрать tls_require_ciphers
Причем уже замороженные письма не считаются


Если не поможет, то в транспорте smtp
connection_max_messages = 5
и в начале конфига
recipients_max = 20
Это нехорошо, обход бага, нарушение RFC,
но хоть как-то работать надеюсь будет.


"hosts_nopass_tls = *" в транспорте не поможет в данном случае?
Если после внесенных мною уже изменений ошибки будут - попробую эту опцию.



--
Mikhail Golub

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] System filter: failed to read pipe

[Mikhail Golub]

21.02.2017 9:16, Mikhail Golub пишет:

20.02.2017 21:59, Igor Grabin пишет:

On Mon, Feb 20, 2017 at 08:55:57PM +0200, Mikhail Golub wrote:

Google первую же ссылку выдает на
https://lists.exim.org/lurker/message/20140928.141710.fc9eacc5.el.html
Тема "Fix transport-results pipe for multiple recipients combined
with certs".
Как раз похоже на существующую проблему - доставка на несколько
получателей в сочетании с сертификатами.
Видел, что код deliver.c меняли. Может с чем-то перестарались?

ну кааак. код по ссылке больше напоминает затычку, чем фикс. судя по
наличию данного треда - дырка поменяла конфигурацию й чопык выпав.

вы не одиноки с данной проблемой.

кто-то в буржуйской рассылке уже поднимал шум?


Специально подписался, написал. Потом читаю свое сообщение и вижу, что
мало информации для анализа.
Больше не добавлял, так как никто ответить не пытался :(

Пока пофиксил проблему с такими параметрами (добавлением двух последних
опций).


Не помогло :(
"Message frozen" снова пошли.

Одно сообщение размером 95K от <> на 38 получателей.
Второе от реального отправителя размером 1.9M на 22 получателя.

И как-то странно.
Этого глюка небыло, пока Exim не начал использоваться для пересылки 
почты между on premises exchange и office365.
Были через него рассылки на сотни адресов получателей и с использованием 
шифрованных соединений.


--
Mikhail Golub

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] System filter: failed to read pipe

[Mikhail Golub]

21.02.2017 2:26, Victor Ustugov пишет:

Mikhail Golub wrote:


упростить до предела - отломать tls


Для начала tls_require_ciphers


Убрал вообще (и клиент и сервер).
Теперь класс упал с "А" на "В-" на https://www.htbridge.com/ssl/


а у кого-то получилось для exim получить на этом
https://www.htbridge.com/ssl/ оценку A+?


"А" достаточно ...
https://community.centminmod.com/threads/getting-a-on-ssllabs-and-htbridge-ssl-test.8805/
https://community.letsencrypt.org/t/challenge-for-the-a-100-junkies/8648/18

"diff between A and A+ on ssllabs is enabling HSTS in centmin mod lemp 
stack's nginx HTTP/2 setup configs


#HSTS long duration
add_header Strict-Transport-Security "max-age=31536000; preload;";"

--
Mikhail Golub

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] System filter: failed to read pipe

[Mikhail Golub]

20.02.2017 21:59, Igor Grabin пишет:

On Mon, Feb 20, 2017 at 08:55:57PM +0200, Mikhail Golub wrote:

Google первую же ссылку выдает на 
https://lists.exim.org/lurker/message/20140928.141710.fc9eacc5.el.html
Тема "Fix transport-results pipe for multiple recipients combined
with certs".
Как раз похоже на существующую проблему - доставка на несколько
получателей в сочетании с сертификатами.
Видел, что код deliver.c меняли. Может с чем-то перестарались?

ну кааак. код по ссылке больше напоминает затычку, чем фикс. судя по
наличию данного треда - дырка поменяла конфигурацию й чопык выпав.

вы не одиноки с данной проблемой.

кто-то в буржуйской рассылке уже поднимал шум?


Специально подписался, написал. Потом читаю свое сообщение и вижу, что 
мало информации для анализа.

Больше не добавлял, так как никто ответить не пытался :(

Пока пофиксил проблему с такими параметрами (добавлением двух последних 
опций).

Секция main:
tls_certificate = host.cer
tls_privatekey  = host.key
tls_advertise_hosts = *
tls_dhparam = /usr/local/etc/exim/cert/eximdh.key
tls_require_ciphers = TLS_CIPHERS
openssl_options = +dont_insert_empty_fragments +no_sslv2 +no_sslv3
tls_verify_hosts = :
tls_try_verify_hosts = :

И в smtp-транспортах.
  tls_try_verify_hosts = :
  tls_certificate = host.cer
  tls_privatekey  = host.key
  tls_require_ciphers = TLS_CIPHERS
  tls_verify_hosts = :

Согласно документации tls_certificate и tls_privatekey надо указывать 
как в main (exim как сервер) так и в транспорте (exim как клиент).
Но опытным путем проверил, что если НЕ указывать эти опции в транспорте, 
то используются опции из main и письмо уходит используя esmtps (судя по 
логу на получателе).


--
Mikhail Golub

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] System filter: failed to read pipe

[Mikhail Golub]

20.02.2017 20:37, l...@lena.kiev.ua пишет:

Вот здесь не понятно, почему он вернулся к обработке сообщения?



... куча ругани типа:
DSN read: addr->dsn_aware = 1


DSN - отдельное новое письмо-уведомление, что письмо отправлено?


Типа уведомления о доставке?

Google первую же ссылку выдает на 
https://lists.exim.org/lurker/message/20140928.141710.fc9eacc5.el.html
Тема "Fix transport-results pipe for multiple recipients combined with 
certs".
Как раз похоже на существующую проблему - доставка на несколько 
получателей в сочетании с сертификатами.

Видел, что код deliver.c меняли. Может с чем-то перестарались?

P.S. Отключил поддержку DSN в Exim, хотя и не использовал ее.
И всеравно ошибка :(

mail_exim_SET_FORCE=DAEMON EMBEDDED_PERL CONTENT_SCAN LSEARCH SUID SPF 
SRS MYSQL OPENLDAP TLS
mail_exim_UNSET_FORCE=IPV6 MAILDIR MAILSTORE NIS PAM SASLAUTHD AUTH_SASL 
AUTH_CRAM_MD5 AUTH_RADIUS AUTH_PLAINTEXT INTERNATIONAL DSN



--
Mikhail Golub

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] System filter: failed to read pipe

[Mikhail Golub]

20.02.2017 18:12, l...@lena.kiev.ua пишет:

упростить до предела - отломать tls


Для начала tls_require_ciphers


Убрал вообще (и клиент и сервер).
Теперь класс упал с "А" на "В-" на https://www.htbridge.com/ssl/
Но если сбоить перестанет, то затем можно поднастроить этот параметр.

отломать tls - даже не рассматривается ... :)

На одном из сообщений, что было заморожено, запустил доставку с дебагом 
(exim -d -M msg_id).

К SSL у Exim вопросов нет:
...
  SMTP>> STARTTLS
cmd buf flush 10 bytes
read response data: size=29
  SMTP<< 220 2.0.0 SMTP server ready
openssl option, adding from 110: 800 (dont_insert_empty_fragments 
+no_sslv2 +no_sslv3)

openssl option, adding from 1100800: 100 (no_sslv2 +no_sslv3)
openssl option, adding from 1100800: 200 (no_sslv3)
setting SSL CTX options: 0x3100800
Diffie-Hellman initialized from default with 2048-bit prime
tls_certificate file /usr/local/etc/exim/cert/host.cer
tls_privatekey file /usr/local/etc/exim/cert/host.key
Initialized TLS
required ciphers: 
ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS

10.0.1.1 in tls_verify_hosts? no (option unset)
10.0.1.1 in tls_try_verify_hosts? no (end of list)
Calling SSL_connect
SSL info: before/connect initialization
SSL info: before/connect initialization
SSL info: SSLv2/v3 write client hello A
SSL info: SSLv3 read server hello A
SSL info: SSLv3 read server certificate A
SSL info: SSLv3 read server key exchange A
SSL info: SSLv3 read server certificate request A
SSL info: SSLv3 read server done A
SSL info: SSLv3 write client certificate A
SSL info: SSLv3 write client key exchange A
SSL info: SSLv3 write certificate verify A
SSL info: SSLv3 write change cipher spec A
SSL info: SSLv3 write finished A
SSL info: SSLv3 flush data
SSL info: SSLv3 read finished A
SSL info: SSL negotiation finished successfully
SSL info: SSL negotiation finished successfully
SSL_connect succeeded
Cipher: TLSv1.2:ECDHE-RSA-AES256-SHA384:256
...
Дальше приветствие, mail from, rcpt to, data ... - все ок.
...
  SMTP>> QUIT
cmd buf flush 6 bytes
tls_do_write(0x7fffa270, 6)
SSL_write(SSL, 0x7fffa270, 6)
outbytes=6 error=0
tls_close(): shutting down SSL
SSL info: SSL negotiation finished successfully
  SMTP(close)>>
...
Вот здесь не понятно, почему он вернулся к обработке сообщения?
...
Leaving exchange_transport transport
set_process_info: 15161 delivering 1cfpCE-0003uE-Qp (just run 
exchange_transport for user@domain, ... in subprocess)

search_tidyup called
header write id:S,subid:0,size:4,final:S04
header write id:X,subid:1,size:105,final:X100105
reading pipe for subprocess 15161 (not ended)
... куча ругани типа:
DSN read: addr->dsn_aware = 1
header read 
id:A,subid:0,size:00214,required:221,remaining:4881,unfinished:0
header read 
id:X,subid:1,size:00105,required:112,remaining:4660,unfinished:0
header read 
id:X,subid:2,size:04389,required:4396,remaining:4548,unfinished:0
header read 
id:X,subid:3,size:02067,required:2074,remaining:152,unfinished:0

remote delivery process 15161 ended
set_process_info: 15154 delivering 1cfpCE-0003uE-Qp
post-process user@domain (1)
LOG: MAIN
  == user@domain <user@domain> R=exchange_router_user 
T=exchange_transport defer (0) H=10.0.1.1 [10.0.1.1]: failed to read 
pipe from transport process 15161 for transport smtp: required size=2074 
> remaining size=152 and unfinished=false

...

Вижу, что никто с таким не сталкивался.
Но если найдется решение - может потом будет полезно кому-то.


--
Mikhail Golub

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] System filter: failed to read pipe

[Mikhail Golub]

17.02.2017 14:42, Mikhail Golub пишет:

16.02.2017 14:04, Mikhail Golub пишет:

16.02.2017 13:56, l...@lena.kiev.ua пишет:

Мне кажется, что этот лог имеет смысл отправить в англоязычную
exim-users
https://lists.exim.org/mailman/listinfo/exim-users


Пока перешел к третьему варианту - "Скомпилировать 4.89_RC*"



Не помогло :(
Пол дня тишина - думал что решено. Нет ... :(

Исходящее письмо. 40 получателей на один домен в облаке Office 365
(*onmicrosoft-com.mail.protection.outlook.com).
30 сообщений "T=remote_smtp defer (0)" и остальные - "T=remote_smtp
defer (-1)".
"failed to read pipe from transport process 95416 for transport smtp:
required size=2816 > remaining size=2786 and unfinished=false"

Значит 4.89 не спасает.


Вернулся на 4.88 #2

Ошибки даже при доставке на локальный Exchange.
smtp transport process returned non-zero status 0x0100: exit code 1
failed to read pipe from transport process 9515 for transport smtp: 
required size=2074 > remaining size=80 and unfinished=false


Системный фильтр отключал - не помогло. Не в нем дело.

Что еще не так в транспортах smtp? :(

exchange_transport:
  driver = smtp
  hosts = такой-то
  port = такой-то
  hosts_try_chunking =
  tls_try_verify_hosts = :
  tls_certificate = /usr/local/etc/exim/cert/host.cer
  tls_privatekey  = /usr/local/etc/exim/cert/host.key
  tls_require_ciphers = 
ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS


Сообщение замораживается.
Если "пнуть" (Exim -M id) - письмо размораживается и доставляется 
(иногда снова замораживается, но с n-ой попытки все же доставляется).

TLS отключать не хочется.

P.S. Что изменилось? - в день, когда начались проблемы, обновлялся exim 
до "4.88 #2" и начался довольно интенсивный почтовый обмен через Exim 
между локальным и облачным Exchange.


--
Mikhail Golub

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users