Re: [Exim-users] Multidomain DKIM
Hi!
> 2 янв. 2019 г., в 16:40, Victor Sudakov написал(а):
>
> Victor Cheburkin wrote:
>>>
>>> Victor Cheburkin wrote:
>>>>>>> 2. Здесь нет fallback на default domain на случай отсутствия файла с
>>>>>>> ключом, или я его не вижу?
>>>>>>
>>>>>> Если нет файла, нет подписи. Толку-то от fallback, если домен будет
>>>>>> другой?
>>>>>
>>>>> Я не эксперт по DKIM, но AFAIR нет такого требования, чтобы подпись была
>>>>> от того же самого домена, который во From.
>>>>
>>>> Гм. Вроде оно изначально -- подпись идет от домена отправителя. Если
>>>
>>> А в случае mailing list, который не переписывает From на себя, но
>>> модифицирует тело письма например?
>>
>> Это изначально больная тема. Еще с SPF.
>
> Но в случае DKIM как раз получается нормально: поменял письмо - взял
> ответственность на себя.
Угу. Только вот доверия к такому письму уже не будет... Да и все проверяющие
системы, которые берут домен из From даже смотреть не будут на такую подпись.
Вот получаю я такое письмо, смотрю -- From один, подпись другая... Спам 99%. И
никому Ваша ответственность, в этом случае, не нужна... По крайней мере пока.
>>>> это Ваш поддомен, то да, можно не париться, но если нет -- какой тогда
>>>> в этом смысл? Я пишу от Вашего лица, но подписываю письмо своим
>>>> ключем? Где ж тогда гарантия, что пишете Вы?
>>>
>>> Если не для подтверждения подлинности отправителя, а для подтверждения
>>> того что письмо по дороге не менялось, то наверное может иметь смысл. \
>>
>> Кому будет легче, если я отправлю письмо от Вашего имени и оно по дороге не
>> поменяется?
>
> Ну как минимум сразу будет видно, кто подделал мой From :-)
Да, случай будет как со списками рассылки. Т.е. будет fail.
>>>>>>> 3. Селектор для всех доменов одинаковый, а вряд ли удастся этого
>>>>>>> достичь.
>>>>>>
>>>>>> Если селекторы разные, то лучше подумать, как узнавать какому домену
>>>>>> какой селектор.
>>>>>
>>>>> Ну я в изначальном письме предложил его хранить в файле
>>>>> ${domain}.selector.txt
>>>>
>>>> будет еще n файлов на n доменов. смысл?
>>>
>>> IMHO удобно такие вещи хранить в отдельных файликах, удалил-добавил файл
>>> вместе с удалением-добавлением домена. Скажем из текстового файла
>>> строчку из середины удалить или отредактировать - уже менее удобно,
>>> особенно если скриптом.
>>
>> Гм, не вижу проблемы со скриптами: sed справляется с этим без вопросов.
>> sed -i '/^domain\.com$/d' domainlist.file -- и нет более domain.com в этом
>> файле.
>
> Не хочу начинать holy war, но IMHO весьма неспроста в линуксах (и не
> только) пошла мода пилить конфиги на маленькие фрагменты и класть их в
> conf.d. Значит это даёт удобства.
Holy war? Да все просто как угол дома -- при установке из пакета куда как проще
один файлик положить/удалить.
> Это ведь по надежности при автоматизации совершенно разные решения:
> а) просто сказать "rm /etc/exim/somedomain.pem" и б) сгенерить sed script,
> который сделает что нужно, а потом запустить его с нужными правами. А
> если некорректно сгенерить - ещё и снесёт что-нибудь лишнее.
Не sed script, а скрипт, который сделает все нужные действия. Разные вещи, не
так ли? К тому же, имея скрипт -- имеем готовую процедуру, в которой сложнее
совершить ошибку чем в удалении пофайлово, а потом, возможно, еще каких-то
действиях. Но дело такое, лично мне все равно, добавить sed или rm в скрипт, но
смотреть мне удобнее в одном файле, а не в 10, но это дело вкуса и, в любом
случае, это немного уже не про exim.
--
Victor Cheburkin
VC319-RIPE, VC1-UANIC
___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] Multidomain DKIM
Hi!
> 2 янв. 2019 г., в 14:43, Victor Sudakov написал(а):
>
> Victor Cheburkin wrote:
>>>>> 2. Здесь нет fallback на default domain на случай отсутствия файла с
>>>>> ключом, или я его не вижу?
>>>>
>>>> Если нет файла, нет подписи. Толку-то от fallback, если домен будет другой?
>>>
>>> Я не эксперт по DKIM, но AFAIR нет такого требования, чтобы подпись была
>>> от того же самого домена, который во From.
>>
>> Гм. Вроде оно изначально -- подпись идет от домена отправителя. Если
>
> А в случае mailing list, который не переписывает From на себя, но
> модифицирует тело письма например?
Это изначально больная тема. Еще с SPF.
>> это Ваш поддомен, то да, можно не париться, но если нет -- какой тогда
>> в этом смысл? Я пишу от Вашего лица, но подписываю письмо своим
>> ключем? Где ж тогда гарантия, что пишете Вы?
>
> Если не для подтверждения подлинности отправителя, а для подтверждения
> того что письмо по дороге не менялось, то наверное может иметь смысл. \
Кому будет легче, если я отправлю письмо от Вашего имени и оно по дороге не
поменяется?
>>>>> 3. Селектор для всех доменов одинаковый, а вряд ли удастся этого
>>>>> достичь.
>>>>
>>>> Если селекторы разные, то лучше подумать, как узнавать какому домену
>>>> какой селектор.
>>>
>>> Ну я в изначальном письме предложил его хранить в файле
>>> ${domain}.selector.txt
>>
>> будет еще n файлов на n доменов. смысл?
>
> IMHO удобно такие вещи хранить в отдельных файликах, удалил-добавил файл
> вместе с удалением-добавлением домена. Скажем из текстового файла
> строчку из середины удалить или отредактировать - уже менее удобно,
> особенно если скриптом.
Гм, не вижу проблемы со скриптами: sed справляется с этим без вопросов.
sed -i '/^domain\.com$/d' domainlist.file -- и нет более domain.com в этом
файле.
>>> Типа да. А какой лукап возвращает содержимое файла по его имени, такой
>>> существует?
>>
>>
>> Есть:
>> ${readfile{}{}}
>
> Спасибо. Наверное "eol string" надо будет сделать пустой.
Думаю, там уже все равно будет -- ведь в файле должна быть всего одна строка..
но не проверял, может и не все равно.
> --
> Victor Sudakov, VAS4-RIPE, VAS47-RIPN
> 2:5005/49@fidonet http://vas.tomsk.ru/
>
> ___
> Exim-users mailing list
> Exim-users@mailground.net
> http://mailground.net/mailman/listinfo/exim-users
>
--
Victor Cheburkin
VC319-RIPE, VC1-UANIC
___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] Multidomain DKIM
Hi!
>> Типа да. А какой лукап возвращает содержимое файла по его имени, такой
>> существует?
>
> Не уверен, что в таком случае нужен lookup. lookup ищет по ключу в каком-то
> одном файле, поэтому я и предложил список в одном файле.
> Я уже давно в доку не лазил, может уже есть там что-то готовое, может и нет.
Есть:
${readfile{}{}}
--
Victor Cheburkin
VC319-RIPE, VC1-UANIC
___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] Multidomain DKIM
Hi!
> 2 янв. 2019 г., в 12:52, Victor Sudakov написал(а):
>
> Victor Cheburkin wrote:
>>
>>> 2 янв. 2019 г., в 12:03, Victor Sudakov написал(а):
>>>
>>> Victor Cheburkin wrote:
>>>> Hi!
>>>>
>>>> Нашел где-то в инете, что-то правил, вот результат:
>>>>
>>>> EXIM = /etc/exim
>>>> DKIM_SIGN = dkim
>>>> DKIM_DOMAIN = ${lc:${domain:$h_from:}}
>>>> DKIM_FILE = EXIM/DKIM_SIGN-DKIM_DOMAIN.key
>>>>
>>>> remote_smtp:
>>>> driver = smtp
>>>> dkim_domain = DKIM_DOMAIN
>>>> dkim_selector = DKIM_SIGN
>>>> dkim_private_key = ${if exists{DKIM_FILE} {DKIM_FILE}}
>>>> dkim_sign_headers =
>>>> From:Subject:Date:Message-Id:Reply-To:To:Cc:Sender:Content-Type:\
>>>> ${if def:h_list-id:
>>>> {List-Id:List-Help:List-Subscribe:List-Unsubscribe}}
>>>
>>> Да, в интернете такие примеры и я находил, но они вызывают вопросы:
>>>
>>> 1. Обязательно все эти макросы DKIM_SIGN, DKIM_DOMAIN и прочие
>>> определять и потом с ними работать, или можно все эти выражения сразу в
>>> транспорте писать?
>>
>> Можно и в транспорте. Но тогда просто будет немного менее читабельно, кмк.
>
> OK.
>
>>
>>> 2. Здесь нет fallback на default domain на случай отсутствия файла с
>>> ключом, или я его не вижу?
>>
>> Если нет файла, нет подписи. Толку-то от fallback, если домен будет другой?
>
> Я не эксперт по DKIM, но AFAIR нет такого требования, чтобы подпись была
> от того же самого домена, который во From.
Гм. Вроде оно изначально -- подпись идет от домена отправителя. Если это Ваш
поддомен, то да, можно не париться, но если нет -- какой тогда в этом смысл? Я
пишу от Вашего лица, но подписываю письмо своим ключем? Где ж тогда гарантия,
что пишете Вы?
>>> 3. Селектор для всех доменов одинаковый, а вряд ли удастся этого
>>> достичь.
>>
>> Если селекторы разные, то лучше подумать, как узнавать какому домену
>> какой селектор.
>
> Ну я в изначальном письме предложил его хранить в файле ${domain}.selector.txt
будет еще n файлов на n доменов. смысл?
>> И, кмк, в этом случае лучше думать в сторону полиси, а
>> не пытаться изобретать велосипеды. Можно хранить все это в
>> файле/базе/таблице и оттуда через lookup доставать селектор, имя
>> файла, еще чего-нить (headers?).
>
> Типа да. А какой лукап возвращает содержимое файла по его имени, такой
> существует?
Не уверен, что в таком случае нужен lookup. lookup ищет по ключу в каком-то
одном файле, поэтому я и предложил список в одном файле.
Я уже давно в доку не лазил, может уже есть там что-то готовое, может и нет.
> --
> Victor Sudakov, VAS4-RIPE, VAS47-RIPN
> 2:5005/49@fidonet http://vas.tomsk.ru/
>
> ___
> Exim-users mailing list
> Exim-users@mailground.net
> http://mailground.net/mailman/listinfo/exim-users
>
--
Victor Cheburkin
VC319-RIPE, VC1-UANIC
___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] Multidomain DKIM
Hi!
> 2 янв. 2019 г., в 12:03, Victor Sudakov написал(а):
>
> Victor Cheburkin wrote:
>> Hi!
>>
>> Нашел где-то в инете, что-то правил, вот результат:
>>
>> EXIM = /etc/exim
>> DKIM_SIGN = dkim
>> DKIM_DOMAIN = ${lc:${domain:$h_from:}}
>> DKIM_FILE = EXIM/DKIM_SIGN-DKIM_DOMAIN.key
>>
>> remote_smtp:
>> driver = smtp
>> dkim_domain = DKIM_DOMAIN
>> dkim_selector = DKIM_SIGN
>> dkim_private_key = ${if exists{DKIM_FILE} {DKIM_FILE}}
>> dkim_sign_headers =
>> From:Subject:Date:Message-Id:Reply-To:To:Cc:Sender:Content-Type:\
>> ${if def:h_list-id:
>> {List-Id:List-Help:List-Subscribe:List-Unsubscribe}}
>
> Да, в интернете такие примеры и я находил, но они вызывают вопросы:
>
> 1. Обязательно все эти макросы DKIM_SIGN, DKIM_DOMAIN и прочие
> определять и потом с ними работать, или можно все эти выражения сразу в
> транспорте писать?
Можно и в транспорте. Но тогда просто будет немного менее читабельно, кмк.
> 2. Здесь нет fallback на default domain на случай отсутствия файла с
> ключом, или я его не вижу?
Если нет файла, нет подписи. Толку-то от fallback, если домен будет другой?
> 3. Селектор для всех доменов одинаковый, а вряд ли удастся этого
> достичь.
Если селекторы разные, то лучше подумать, как узнавать какому домену какой
селектор. И, кмк, в этом случае лучше думать в сторону полиси, а не пытаться
изобретать велосипеды.
Можно хранить все это в файле/базе/таблице и оттуда через lookup доставать
селектор, имя файла, еще чего-нить (headers?).
> --
> Victor Sudakov, VAS4-RIPE, VAS47-RIPN
> 2:5005/49@fidonet http://vas.tomsk.ru/
>
> _______
> Exim-users mailing list
> Exim-users@mailground.net
> http://mailground.net/mailman/listinfo/exim-users
>
--
Victor Cheburkin
VC319-RIPE, VC1-UANIC
___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] Multidomain DKIM
Hi!
Нашел где-то в инете, что-то правил, вот результат:
EXIM = /etc/exim
DKIM_SIGN = dkim
DKIM_DOMAIN = ${lc:${domain:$h_from:}}
DKIM_FILE = EXIM/DKIM_SIGN-DKIM_DOMAIN.key
remote_smtp:
driver = smtp
dkim_domain = DKIM_DOMAIN
dkim_selector = DKIM_SIGN
dkim_private_key = ${if exists{DKIM_FILE} {DKIM_FILE}}
dkim_sign_headers =
From:Subject:Date:Message-Id:Reply-To:To:Cc:Sender:Content-Type:\
${if def:h_list-id:
{List-Id:List-Help:List-Subscribe:List-Unsubscribe}}
> 2 янв. 2019 г., в 7:52, Victor Sudakov написал(а):
>
> Коллеги,
>
> Нет ли у кого работающего примера multidomain DKIM, которым не жалко
> поделиться?
>
> Хотелось бы, чтобы dkim_selector и dkim_private_key брались из текстовых
> файликов типа ${domain}.pem и ${domain}.selector в зависимости от
> $h_from, а если файликов не нашлось, то возвращалось к подписыванию
> исходящего письма доменом по умолчанию:
>
> remote_smtp:
> driver = smtp
> dkim_domain = example.org
> dkim_selector = 20181118
> dkim_private_key = /usr/local/etc/exim/example.org.private.pem
> dkim_canon = relaxed
> dkim_sign_headers = Date:From:To:Subject:Message-Id:In-Reply-To
>
> В сети в общем-то примеры есть типа
> https://www.ryanschulze.net/archives/1728, но они какие-то недоделанные,
> либо заточенные под Debian-овский шинкованный конфиг.
>
> --
> Victor Sudakov, VAS4-RIPE, VAS47-RIPN
> 2:5005/49@fidonet http://vas.tomsk.ru/
>
> ___
> Exim-users mailing list
> Exim-users@mailground.net
> http://mailground.net/mailman/listinfo/exim-users
>
--
Victor Cheburkin
VC319-RIPE, VC1-UANIC
___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] Exim 4.90: DKIM: validation error: RSA_LONG_LINE
Hi! > 28 дек. 2017 г., в 21:22, l...@lena.kiev.ua написал(а): > >> Баг, кмк, связанный с письмом без DKIM когда для домена DKIM включен > > Если в заголовке письма нет подписи DKIM, то Exim-у неизвестен dkim_selector, > и поэтому Exim не может знать, существует ли вообще запись DKIM > в DNS домена "From:". Exim не знает, какую запись запрашивать. > Ну и не запрашивает. Согласен, все логично. Однако что вижу о том и говорю: письмо приходит, в нем подписи dkim нет (я не настраивал), однако запись в логе есть. За пару месяцев такое письмо ровно одно, хотя с того хоста они каждый день ходят. -- Victor Cheburkin VC319-RIPE, VC1-UANIC ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] Exim 4.90: DKIM: validation error: RSA_LONG_LINE
Hi! Нашел логах то же самое на версии 4.89.. случай единичный. Баг, кмк, связанный с письмом без DKIM когда для домена DKIM включен, возможно еще и с работой DNS. Хотя может я и ошибаюсь. > 27 дек. 2017 г., в 11:31, Mikhail Golub написал(а): > > Доброго времени суток. > > Вот такая запись в логе на входящее сообщение. > > 2017-12-27 08:45:15 1eU5Sl-000PYu-FZ DKIM: validation error: RSA_LONG_LINE > 2017-12-27 08:45:15 1eU5Sl-000PYu-FZ DKIM: Error during validation, disabling > signature verification: RSA_LONG_LINE > 2017-12-27 08:45:15 1eU5Sl-000PYu-FZ <= no-re...@ua-tenders.com > H=mail2.ua-tenders.com [77.120.121.47] P=esmtps S=48543 > id=1c6cb9148ae4bb319c483754fc6a1236@localhost.localdomain T="***" from > for *** > > > И это при том, что в письме (оно принято), я DKIM не вижу. > Чего это Exim начал DKIM проверять? :) > > Received: from mail2.ua-tenders.com ([77.120.121.47]) > by *** with esmtps > (envelope-from ) > id 1eU5Sl-000PYu-FZ > for ***; Wed, 27 Dec 2017 08:45:15 +0200 > Received: from root by mail2.ua-tenders.com with local (Exim 4.84) > (envelope-from ) > id 1eU5Sf-0004YJ-UE > for ***; Wed, 27 Dec 2017 06:45:09 + > To: *** > Subject: =?UTF-8?B***= > Received: from root > by localhost.localdomain with local (PHPMailer); > Wed, 27 Dec 2017 08:45:09 +0200 > Date: Wed, 27 Dec 2017 08:45:09 +0200 > From: =?UTF-8?Q?=E2=98=85UA-Tenders_Delivery_Agent?= > Message-ID: <1c6cb9148ae4bb319c483754fc6a1236@localhost.localdomain> > X-Priority: 3 > X-Mailer: PHPMailer [version 1.71] > MIME-Version: 1.0 > Content-Transfer-Encoding: 8bit > Content-Type: text/html; charset="UTF-8" > > > _______ > Exim-users mailing list > Exim-users@mailground.net > http://mailground.net/mailman/listinfo/exim-users > -- Victor Cheburkin VC319-RIPE, VC1-UANIC ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] hostlist from file with ip
Hi, Exim! On Fri, Nov 17, 2017 at 14:01 +0800, Alexander Titaev wrote: > >> >>> host in "/etc/exim4/relay_from_hosts.txt"? no (failed to find host > >> >>> name for 127.0.0.1) > > >> и происходит такое если опустить запись > >> 127.0.0.0/8 > >> ниже сетей с ipv6 > >> > >> если поднять выше или вписать первым > >> @[] > >> > >> то все работает > >> почему так? Есть какие-то правила регламентирующие этот момент? > > > В файле адреса IPv6 должны быть в кавычках типа так: > > > "2001::1af8::4010::a087::22::0::95::161" > > root@smtp-out-a:/etc/exim4# exim -bh fe80::216:3eff:fe83:9d27 > > SMTP testing session as if from host > fe80::::0216:3eff:fe83:9d27 > but without any ident (RFC 1413) callback. > This is not for real! > > >>> host in hosts_connection_nolog? no (option unset) > >>> host in host_lookup? yes (matched "*") > >>> looking up host name for fe80::::0216:3eff:fe83:9d27 > >>> IP address lookup using gethostbyaddr() > >>> IP address lookup failed: h_errno=1 > LOG: no host name found for IP address fe80::::0216:3eff:fe83:9d27 > >>> host in host_reject_connection? no (option unset) > >>> sender host name required, to match against 'fe80::216:3eff:fe83:9d27' > >>> host in "/etc/exim4/relay_from_hosts.list"? no (failed to find host name > >>> for fe80::::0216:3eff:fe83:9d27) > > root@smtp-out-a:/etc/exim4# grep fe80 relay_from_hosts.list > 'fe80::216:3eff:fe83:9d27' > "fe80::::0216:3eff:fe83:9d27" > fe80::::0216:3eff:fe83:9d27 > > вот как-то не взлетает... Попробуйте так: hostlist relay_from_hosts = <; +ignore_defer ; +ignore_unknown ; localhost ; /etc/exim/relay_from В /etc/exim/relay_from у меня указаны просто IPv4 и IPv6 адреса. Работает. Но вообще, fe80::/10 как бы не для этого и если на почту кто-то ходит с таких адресов (windows, да?), то это как бы не совсем правильно. -- Victor Cheburkin VC319-RIPE, VC1-UANIC ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] mime_decoded_filename
Hi!
> 16 янв. 2017 г., в 22:24, Vasiliy P. Melnik написал(а):
>
> Спасибо
>
> Подскажите, если не затруднит - как не отправлять в сообщении об ошибке еще и
> исходное сообщение? Просто получается я отправляю вирус отправителю, а если
> разослали спам с чужим полем фром, то получается мой сервер будет рассылать
> вирусы.
> В данном случае будет достаточно простого сообщения, что письмо не доставлено
> юзеру.
>
> Что-то ума не приложу, что искать надо
bounce_return_body = false
можно по-другому, более информативно: bounce_return_size_limit = 4k -- вирус в
4к не влезет, но заголовки исходного сообщения и часть (или целое, если
короткое) сообщения -- будут.
> 2016-12-21 20:13 GMT+02:00 mailto:l...@lena.kiev.ua>>:
> Этот (возможно новый) вариант трояна ловится изменением в
> одной строчке первого абзаца (а не второго где decode),
> после изменения:
> {match{$mime_filename}{\N(?i)\.(WINBIN)(\.(COMPREXT))?$\N}}\
> Решение полностью:
>
> P7ZIP = /usr/local/bin/7z
> # port archivers/p7zip in case of FreeBSD
> BINFORBIDDEN = Windows-executable attachments forbidden
> WINBIN = exe|com|js|pif|scr|bat|jse|cpl|vbe|vbs|ace
> # more cautious:
> exe|com|js|pif|scr|bat|flv|reg|btm|chm|cmd|cpl|dat|dll|hta|jse|jsp|lnk|msi|prf|sys|vb|vbe|vbs|ace
> # WinRAR can uncompress .ace, so trojans are sometimes compressed .ace
> COMPREXT = zip|rar|7z|arj|bz2|gz|uue|xz|z
> check_rfc2047_length = false
> acl_smtp_mime = acl_check_mime
> begin acl
> acl_check_mime:
> deny message = BINFORBIDDEN
>log_message = forbidden attachment: filename=$mime_filename, \
> content-type=$mime_content_type, recipients=$recipients
>condition = ${if or{\
> {match{$mime_content_type}\
> {(?i)executable|application/x-ace-compressed}}\
> {match{$mime_filename}{\N(?i)\.(WINBIN)(\.(COMPREXT))?$\N}}\
> }}
>
> deny message = Compressed BINFORBIDDEN
>condition = ${if or{\
>{match{$mime_content_type}{(?i)application/\
> (octet-stream|x(-zip)?-compressed|zip)}}\
>{match{$mime_filename}{\N(?i)\.(COMPREXT)$\N}}\
> }}
>condition = ${if <{$message_size}{1500K}}
>decode = default
>log_message = forbidden binary in attachment: filename=$mime_filename,
> \
> recipients=$recipients
>condition = ${if match{${run{P7ZIP l -y $mime_decoded_filename}}}\
> {\N(?i)\n[12].+\.(COMPREXT|WINBIN)\n\N}}
>
> accept
>
>
> ___
> Exim-users mailing list
> Exim-users@mailground.net <mailto:Exim-users@mailground.net>
> http://mailground.net/mailman/listinfo/exim-users
> <http://mailground.net/mailman/listinfo/exim-users>
>
>
> ___
> Exim-users mailing list
> Exim-users@mailground.net
> http://mailground.net/mailman/listinfo/exim-users
>
--
Victor Cheburkin
VC319-RIPE, VC1-UANIC
___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] demime *
Hi! > 4 янв. 2017 г., в 11:10, Mikhail Golub написал(а): > > 04.01.2017 10:45, l...@lena.kiev.ua пишет: >>> В Exim 4.88 demime уже нет. >>> И если сообщение не имеет mime, то и тело сообщения (с >>> заголовками) не доступно. >> >> Если сообщение Content-Type: text/plain >> (или text/html) без multipart, всё равно вызывается (один раз) >> acl_smtp_mime на тело сообщения, >> при этом заполнены переменные, например >> >> $mime_content_type=text/plain >> $mime_charset=koi8-r >> $mime_content_transfer_encoding=8bit >> >> Начало такого тела доступно не только в $message_body (может быть > > Начало ... Можно, конечно, увеличить message_body_visible. Если нужен конец -- см. $message_body_end ;-) Чисто теоретически, файл должен лежать в SPOOL_DIRECTORY/input/$message_id-D и $message_id-H. Или использовать queuefile (но нужно будет exim пересобрать с EXPERIMENTAL_QUEUEFILE=yes) с внешней обвязкой: Queuefile is a pseudo transport which does not perform final delivery. It simply copies the exim spool files out of the spool directory into an external directory retaining the exim spool format. The spool files can then be processed by external processes and then requeued into exim spool directories for final delivery. -- Victor Cheburkin VC319-RIPE, VC1-UANIC ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] demime *
Hi!
> 4 янв. 2017 г., в 9:39, Mikhail Golub написал(а):
>
> Всех с праздником!
>
> Новый Год - новый Exim 4.88.
> И "demime = *" уже не работает.
>
> У меня был перловый скрипт, который вызывался через "continue =
> ${perl{mail_test}}" в acl_smtp_data.
> Скрипт обрабатывал через "Exim::expand_string" адрес отправителя,
> получателей, тему и считывал тело сообщения
> '/var/spool/exim/scan/'.$message_id.'/'.$message_id.'.eml'
>
> В Exim 4.88 demime уже нет.
> И если сообщение не имеет mime, то и тело сообщения (с заголовками) не
> доступно.
Давненько уже написано было, что его не будет... Тело сообщения вообще-то
доступно через $message_body (только не забыть поставить побольше
message_body_visible), заголовки через $message_header, или я не понимаю чего
хочется.
> Подскажите, пожалуйста, как в 4.88 получить письмо полностью?
> Хотелось бы использовать существующий уже механизм - встроенный Perl.
>
> P.S. Можно через shadow_transport ... Но здесь пока не разобрался как
> передать в pipe адрес отправителя, получателей, тему и затем само сообщение
> целиком.
> Да и в логе лишний "след" в виде ST=shadow_transport ...
Почитайте про экспериментальный queuefile, это конечно не совсем то (вернее
совсем не то), но может пригодится для похожей по смыслу наружной обвязки.
Можно еще через system filter, но это уже как-то совсем не то.
Еще через ${run можно, но это тоже будет внешняя команда со всеми вытекающими.
> --
> Mikhail Golub
>
> _______
> Exim-users mailing list
> Exim-users@mailground.net
> http://mailground.net/mailman/listinfo/exim-users
>
--
Victor Cheburkin
VC319-RIPE, VC1-UANIC
___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] mime_decoded_filename
Hi! > 21 дек. 2016 г., в 17:42, l...@lena.kiev.ua написал(а): > >> From: Mikhail Golub > >> # 7z l Новый.scr.uue > >> Path = Новый.scr.uue >> Type = bzip2 >> >> Date TimeAttr Size Compressed Name >> --- - >> >>.Новый.scr > >> Но если этот же файл проверить как >> /var/spool/exim/scan/1cJhIo-000D1o-SQ-2/1cJhIo-000D1o-SQ-2 - >> здесь проблема. >> >> # 7z l 1cJhIo-000D1o-SQ-2 > >> Path = 1cJhIo-000D1o-SQ-2 >> Type = bzip2 >> >> Date TimeAttr Size Compressed Name >> --- - >> >>. >> 1cJhIo-000D1o-SQ-2~ > > "uue" - враньё вируса, на самом деле файл упакован не uue, а bzip2. > Внутри файла bzip2 нет имени исходного файла. видимо, в этом конкретном случае таки нет, хотя оно там бывает ;-) видимо, исходя из этого, стоит сразу смотреть и на второе расширение. в случае uue, наверное, уже стоит сразу его реджектить или дропать. > Увидеть ".scr" можно только в $mime_filename . > Интересно, что в $mime_filename - > =?windows-1251?B?ze7i++kuc2NyLnV1ZQ== > или > Новый.scr.uue > > В начале конфига Exim нужно > check_rfc2047_length = false > > ___ > Exim-users mailing list > Exim-users@mailground.net > http://mailground.net/mailman/listinfo/exim-users > -- Victor Cheburkin VC319-RIPE, VC1-UANIC ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] mime_decoded_filename
Hi! > 21 дек. 2016 г., в 17:14, Mikhail Golub написал(а): > > 21.12.2016 17:06, Victor Cheburkin пишет: > > Да, с вложением, сохраненным из почтового клиента, проблем нет. > > # 7z l Новый.scr.uue > > 7-Zip [64] 16.02 : Copyright (c) 1999-2016 Igor Pavlov : 2016-05-21 > p7zip Version 16.02 (locale=ru_RU.UTF-8,Utf16=on,HugeFiles=on,64 bits,2 CPUs > x64) > > Scanning the drive for archives: > 1 file, 215412 bytes (211 KiB) > > Listing archive: Новый.scr.uue > > -- > Path = Новый.scr.uue > Type = bzip2 > > Date TimeAttr Size Compressed Name > --- - >.Новый.scr > --- - > 215412 1 files > > > Но если этот же файл проверить как > /var/spool/exim/scan/1cJhIo-000D1o-SQ-2/1cJhIo-000D1o-SQ-2 - здесь > проблема. > > # 7z l 1cJhIo-000D1o-SQ-2 > > 7-Zip [64] 16.02 : Copyright (c) 1999-2016 Igor Pavlov : 2016-05-21 > p7zip Version 16.02 (locale=ru_RU.UTF-8,Utf16=on,HugeFiles=on,64 bits,2 CPUs > x64) > > Scanning the drive for archives: > 1 file, 215412 bytes (211 KiB) > > Listing archive: 1cJhIo-000D1o-SQ-2 > > -- > Path = 1cJhIo-000D1o-SQ-2 > Type = bzip2 > > Date TimeAttr Size Compressed Name > --- - >. 1cJhIo-000D1o-SQ-2~ > --- - > 215412 1 files Да вот как-то и так и сяк у меня нормально.. $ 7z l /Users/vc/Documents/1cJhIo-000D1o-SQ-2 7-Zip [64] 16.02 : Copyright (c) 1999-2016 Igor Pavlov : 2016-05-21 p7zip Version 16.02 (locale=utf8,Utf16=on,HugeFiles=on,64 bits,4 CPUs x64) Scanning the drive for archives: 1 file, 521194 bytes (509 KiB) Listing archive: /Users/vc/Documents/1cJhIo-000D1o-SQ-2 -- Path = /Users/vc/Documents/1cJhIo-000D1o-SQ-2 Type = 7z Physical Size = 521194 Headers Size = 272 Method = LZMA2:768k Solid = + Blocks = 1 Date TimeAttr Size Compressed Name --- - 2015-06-11 18:53:59 A 213344 520922 Декартовы Координаты.pdf 2016-05-23 12:38:36 A 158746 Свидетельство о регистрации.pdf 2016-05-23 12:37:54 A 188383 Свидетельство плательщика НДС.pdf --- - 2016-05-23 12:38:36 560473 520922 3 files -- Victor Cheburkin VC319-RIPE, VC1-UANIC ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] mime_decoded_filename
Hi! > 21 дек. 2016 г., в 16:56, Mikhail Golub написал(а): > > 21.12.2016 16:50, Victor Cheburkin пишет: >> Как вариант -- проблемы с локалью: если при запуске 7z локаль установлена >> неправильно... > > LANG=ru_RU.UTF-8 > LC_CTYPE="ru_RU.UTF-8" > LC_COLLATE="ru_RU.UTF-8" > LC_TIME="ru_RU.UTF-8" > LC_NUMERIC="ru_RU.UTF-8" > LC_MONETARY="ru_RU.UTF-8" > LC_MESSAGES="ru_RU.UTF-8" > LC_ALL= > > Запускаю от юзера. > 215412 21 дек. 15:51 1cJhIo-000D1o-SQ-2 > 215412 21 дек. 15:12 Новый.scr.uue > > 7z l первый_файл > 7z l второй_файл > > Результаты приводил выше. Дело не в локали. > Если в имени файла нет кириллицы - проблем нет, все срабатывает. Гм. Видимо еще смотря какая кодировка внутри архива.. с utf-8 на utf-8 работает нормально: $ 7z l новый.7z 7-Zip [64] 16.02 : Copyright (c) 1999-2016 Igor Pavlov : 2016-05-21 p7zip Version 16.02 (locale=utf8,Utf16=on,HugeFiles=on,64 bits,4 CPUs x64) Scanning the drive for archives: 1 file, 521194 bytes (509 KiB) Listing archive: новый.7z -- Path = новый.7z Type = 7z Physical Size = 521194 Headers Size = 272 Method = LZMA2:768k Solid = + Blocks = 1 Date TimeAttr Size Compressed Name --- - 2015-06-11 18:53:59 A 213344 520922 Декартовы Координаты.pdf 2016-05-23 12:38:36 A 158746 Свидетельство о регистрации.pdf 2016-05-23 12:37:54 A 188383 Свидетельство плательщика НДС.pdf --- - 2016-05-23 12:38:36 560473 520922 3 files > -- > Mikhail Golub > > _______ > Exim-users mailing list > Exim-users@mailground.net > http://mailground.net/mailman/listinfo/exim-users > -- Victor Cheburkin VC319-RIPE, VC1-UANIC ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] mime_decoded_filename
Hi! > 21 дек. 2016 г., в 16:47, Mikhail Golub написал(а): > > 21.12.2016 16:24, Mikhail Golub пишет: >> Мне же надо получить листинг архива из >> /var/spool/exim/scan/1cJhhK-000DmE-A2/1cJhhK-000DmE-A2-2 >> Дело, все же, в 7z, получается. >> >> Файлы идентичные по содержимому. >> 215412 21 дек. 15:51 1cJhIo-000D1o-SQ-2 >> 215412 21 дек. 15:12 Новый.scr.uue >> >> Но 7z во втором файле "видит" имя файла в содержимом архива. >> А в первом - нет. > > Да, получается, что у 7z проблемы с именами файлов кириллицей. > Создал файл test.src, запаковал его в test.scr.gz - сработало правило. > > 2016-12-21 16:43:16 1cJi6u-000DoK-8E TEST-mime_filename: test.scr.gz > 2016-12-21 16:43:16 1cJi6u-000DoK-8E TEST-mime_decoded_filename: > /var/spool/exim/scan/1cJi6u-000DoK-8E/1cJi6u-000DoK-8E-2 > 2016-12-21 16:43:16 1cJi6u-000DoK-8E rejected during MIME ACL checks: > REJECTED: dangerous file in ZIP attachment > > Вирусописатели читают рассылки и учли такую недоработку при рассылке вируса :) Как вариант -- проблемы с локалью: если при запуске 7z локаль установлена неправильно... > -- > Mikhail Golub > > _______ > Exim-users mailing list > Exim-users@mailground.net > http://mailground.net/mailman/listinfo/exim-users > -- Victor Cheburkin VC319-RIPE, VC1-UANIC ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] mime_decoded_filename
Hi!
> 21 дек. 2016 г., в 16:04, Mikhail Golub написал(а):
>
> И снова здравствуйте.
>
> Было правило и вроде работало (когда добавлял).
>
> deny message = This message contains dangerous file(s) in
> ${uc:${extract{-1}{.}{$mime_filename}}} attachment.
> condition = ${if <{$message_size}{2500K}{1}{0}}
> condition = ${if
> match{$mime_filename}{\N(?i)\.(7z|arj|bz2|gz|rar|uue|z|zip|xz)$\N}}
> decode = default
> condition = ${if match{${run{/usr/local/bin/7z l
> $mime_decoded_filename}}}
> {\N(?i)\.(com|pif|scr|lnk|exe|js|zip|jar|bat|cmd)\n\N} }
> log_message = REJECTED: dangerous file in
> ${uc:${extract{-1}{.}{$mime_filename}}} attachment
>
> Но сегодня пришел "злобный" вирус в письме с вложением "Новый.scr.uue"
>
> --=_NextPart_000_0A96_01D25B89.ECC77EF0
> Content-Type: application/octet-stream;
> name="=?windows-1251?B?ze7i++kuc2NyLnV1ZQ==?="
> Content-Transfer-Encoding: base64
> Content-Disposition: attachment;
> filename="=?windows-1251?B?ze7i++kuc2NyLnV1ZQ==?="
>
> И правило не сработало :(
А если
${if match {${rfc2047d:$mime_filename}}
?
> Если выполнить скан по $mime_decoded_filename
> # 7z l /var/spool/exim/scan/1cJhIo-000D1o-SQ/1cJhIo-000D1o-SQ-2
> получу
> Path = /var/spool/exim/scan/1cJhIo-000D1o-SQ/1cJhIo-000D1o-SQ-2
> Type = bzip2
>
> Date TimeAttr Size Compressed Name
> --- -
>. 1cJhIo-000D1o-SQ-2~
> --- -
> 215412 1 files
>
>
>
> А если
> # 7z l /home/user/Новый.scr.uue
> то
> Path = /home/user/Новый.scr.uue
> Type = bzip2
> Date TimeAttr Size Compressed Name
> --- -
>.Новый.scr
> --- -
> 215412 1 files
>
> В Exim что-то не донастроено?
>
>
>
> --
> Mikhail Golub
>
> ___
> Exim-users mailing list
> Exim-users@mailground.net
> http://mailground.net/mailman/listinfo/exim-users
>
--
Victor Cheburkin
VC319-RIPE, VC1-UANIC
___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] Доставка почты на А-запись домена
Hi! > 6 окт. 2016 г., в 15:12, Max Kostikov написал(а): > > Почитайте вот здесь: > https://wiki.list.org/DEV/DMARC > Там есть варианты. ? там про dmarc (собственно URL об этом напоминает), про spf я ничего не вижу. -- Victor Cheburkin VC319-RIPE, VC1-UANIC ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] Доставка почты на А-запись домена
Hi! > 6 окт. 2016 г., в 14:45, Max Kostikov написал(а): > > Вообще, в документации Mailman все эти вопросы освещены, включая "что > делать?", и, в том числе, в случае применения DMARC. И что делать с spf? Поделитесь, пожалуйста, если ответ не "не использовать". С dkim проще -- можно заголовки из письма выкусить и все (хотя почему-то тут этого не делается, наверное есть какие-то причины) -- Victor Cheburkin VC319-RIPE, VC1-UANIC ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] Доставка почты на А-запись домена
Hi! > 6 окт. 2016 г., в 14:29, George L. Yermulnik написал(а): > > Hello! > > On Thu, 06 Oct 2016 at 14:21:06 (+0300), Роман Николенко wrote: > >> Народ, вы вроде почтовики настраиваете, а на самом деле 50% писем идут в >> спам и на гугле и на яндексе. > > При прохождении письма через менеджер рассылки изменяются некоторые > существенные моменты, которые и влияют на результаты проверок (spf/dkim/etc). К примеру: $ host -t txt vpm.net.ua vpm.net.ua descriptive text "v=spf1 ip4:109.237.90.4 include:_spf.google.com -all" адрес менеджера рассылки, ikke.mailground.net ([204.109.60.111]) явно не подходит под это правило, та же история и с моим сообщением будет. А ведь у vpm.net.ua есть еще dkim, а менеджер рассылок изменяет, к примеру, Subject и Reply-To. DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=vpm-net-ua.20150623.gappssmtp.com; s=20150623; h=mime-version:in-reply-to:references:date:message-id:subject:from:to; >> *Почему это сообщение попало в спам?* В адресе отправителя указан домен >> vpm.net.ua, но аутентифицировать его в домене vpm.net.ua не удалось. > > Я даже теряюсь в догадках, что гугл подразумевает под этим. > >> ???И это далеко не первый случай.??? > > Ваши предложения? =) > >> 6 октября 2016 г., 13:31 пользователь Vasiliy P. Melnik >> написал: > >>> отправка почты по а-записи не противоричит рфц - вы сами так сказали, а с >>> почтой вы вольны делать все что угодно - хоть в дев нул завернуть: ваш >>> сервер - ваши правила. > >>> 6 октября 2016 г., 12:14 пользователь Golub Mikhail >>> написал: > >>>> Всем доброго времени суток. > >>>> Коллеги, нет ли у кого статистики как часто MTA приходится доставлять >>>> почту только по А-записи домена? > >>>> И второй вопрос, вытекающий из ответа на первый. >>>> Что если сразу блокировать доставку на домены, которые имеют только >>>> А-записи? >>>> Да, это противоречит RFC, но "муляют" письма в очереди, отправленные >>>> пользователями на домены, которые еще живые, но у которых уже нет >>>> MX-записей. >>>> Или когда в адресе явно ошибка, например, yndx.ru вместо yandex.ru >>>> (просто пример, домен yndx.ru существует). > >>>> -- >>>> Golub Mikhail > >>>> ___ >>>> Exim-users mailing list >>>> Exim-users@mailground.net >>>> http://mailground.net/mailman/listinfo/exim-users > >>> ___ >>> Exim-users mailing list >>> Exim-users@mailground.net >>> http://mailground.net/mailman/listinfo/exim-users > >> ___ >> Exim-users mailing list >> Exim-users@mailground.net >> http://mailground.net/mailman/listinfo/exim-users > > -- > George L. Yermulnik > [YZ-RIPE] > > ___ > Exim-users mailing list > Exim-users@mailground.net > http://mailground.net/mailman/listinfo/exim-users > -- Victor Cheburkin VC319-RIPE, VC1-UANIC ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] TLS client disconnected cleanly (rejected our certificate?)
Hi! > 2 мая 2016 г., в 11:52, Vasiliy P. Melnik написал(а): > > Всем привет > > Странная ситуация - помогите понять что поломалось. > > Самое странное в этой всей ситуации что аналогичный конфиг используется еще > на нескольких серверах и там это проблемы не наблюдается, так же непонятно > почему рестарт экзима генерирует варнинг > > TLS никогда не настраивал ни на одной машине, в конфиге о TLS ни слова. Советую таки настроить... ибо вот это: > 2016-05-02 11:29:18 [40832] TLS error on connection from > mail-lf0-f53.google.com <http://mail-lf0-f53.google.com/> > [209.85.215.53]:35600 I=[91.90.23.2]:25 (SSL_accept): error:1408A0C1:SSL > routines:SSL3_GET_CLIENT_HELLO:no shared cipher > 2016-05-02 11:29:18 [40832] TLS client disconnected cleanly (rejected our > certificate?) > 2016-05-02 11:29:18 [40832] SMTP connection from mail-lf0-f53.google.com > <http://mail-lf0-f53.google.com/> [209.85.215.53]:35600 I=[91.90.23.2]:25 > closed by EOF > 2016-05-02 11:29:18 [40832] no MAIL in SMTP connection from > mail-lf0-f53.google.com <http://mail-lf0-f53.google.com/> > [209.85.215.53]:35600 I=[91.90.23.2]:25 D=0s SNI="woody.lina.com.ua > <http://woody.lina.com.ua/>" C=EHLO,STARTTLS > 2016-05-02 11:29:24 Warning: No server certificate defined; TLS connections > will fail. следствие ненастроенного TLS, о чем недвусмысленно пишут и тут и тут: > /usr/local/etc/rc.d/exim restart > Stopping exim. > Waiting for PIDS: 98920. > Starting exim. > 2016-05-02 11:33:54 Warning: No server certificate defined; TLS connections > will fail. > Suggested action: either install a certificate or change tls_advertise_hosts > option > > З.Ы. Примерно в это время происходил перенос домена к другому регистратору, > подозреваю что просто совпадение. Домен перенесли 25-го в обед, а проблемы > начали появляться > 2016-04-23 22:11:42 Warning: No server certificate defined; TLS connections > will fail. > Suggested action: either install a certificate or change tls_advertise_hosts > option Началось это с обновления exim до 4.87 (может и 4.86, я на него не переходил). > _______ > Exim-users mailing list > Exim-users@mailground.net > http://mailground.net/mailman/listinfo/exim-users -- Victor Cheburkin VC319-RIPE, VC1-UANIC ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] 4.86_2: Suggested action: use keep_environment and add_environment
Hi! > 3 марта 2016 г., в 10:12, Golub Mikhail написал(а): > > Доброе утро. > > Обновил на тестовом хосте Exim до 4.86_2. > В логе появились записи: > 2016-03-03 09:57:16 WARNING: purging the environment. > Suggested action: use keep_environment and add_environment. > > Google не находит ничего внятного. > Кто-то обновлялся? Если perl не используется, то обновляться, как я понял, смысла нет. Уже потом на 4.87, когда доделают... Я так на 4.85 и сижу.. -- Victor Cheburkin VC319-RIPE, VC1-UANIC ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] bruteforce
Hi!
> 18 янв. 2016 г., в 11:30, Vasiliy P. Melnik написал(а):
>
> та вроде ж простая задача, не хочется в схему включать iptables, dovecot или
> еще когото.
dovecot ни при чем, нужно только "server_advertise_condition = ${if
def:tls_in_cipher }"
> Вот я как понимаю логику - посчитать количество ошибок за какой-то
> определенный промежуток времени, если превышает - блокировать авторизацию, ну
> то есть даже не отключать его - пусть себе дальше пытается подбирать пароли,
> что чтобы эти пароли не проверялись даже на корректность. То есть даже 3
> неудачных попытки за час являются основания для блокирования
Это как раз делает recent из iptables с поправкой на то, что считает не ошибки
а вообще ;-)
> 18 января 2016 г., 11:16 пользователь Victor Cheburkin <mailto:v...@vc.org.ua>> написал:
> Hi!
>
> > 18 янв. 2016 г., в 10:39, Vasiliy P. Melnik > <mailto:ba...@vpm.net.ua>> написал(а):
> >
> > Hi all
> >
> > поделитесь методом борьбы с вялотекущим подбором паролей? замечаю
> > периодически попытку подбора паролей типа 5-10 попыток к в час, но настырно
> > - пару суток
>
> Не знаю на сколько актуально, но мне помогает банально запретить авторизацию
> не через ssl. Т.е. как-то так:
>
> dovecot_plain:
> driver = dovecot
> public_name = PLAIN
> server_socket = /var/run/dovecot/auth-client
> server_set_id = $auth2
> server_advertise_condition = ${if def:tls_in_cipher }
>
> При этом у всех клиентов прописано ходить на 465й порт с ssl, но и на 25м,
> через starttls, тоже будет работать.
> Еще можно через ratelimit попробовать. Если на линухе -- iptables с recent,
> но это только для ipv4.
>
> --
> Victor Cheburkin
> VC319-RIPE, VC1-UANIC
>
> ___
> Exim-users mailing list
> Exim-users@mailground.net <mailto:Exim-users@mailground.net>
> http://mailground.net/mailman/listinfo/exim-users
> <http://mailground.net/mailman/listinfo/exim-users>
>
>
> ___
> Exim-users mailing list
> Exim-users@mailground.net
> http://mailground.net/mailman/listinfo/exim-users
>
--
Victor Cheburkin
VC319-RIPE, VC1-UANIC
___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] bruteforce
Hi!
> 18 янв. 2016 г., в 10:39, Vasiliy P. Melnik написал(а):
>
> Hi all
>
> поделитесь методом борьбы с вялотекущим подбором паролей? замечаю
> периодически попытку подбора паролей типа 5-10 попыток к в час, но настырно -
> пару суток
Не знаю на сколько актуально, но мне помогает банально запретить авторизацию не
через ssl. Т.е. как-то так:
dovecot_plain:
driver = dovecot
public_name = PLAIN
server_socket = /var/run/dovecot/auth-client
server_set_id = $auth2
server_advertise_condition = ${if def:tls_in_cipher }
При этом у всех клиентов прописано ходить на 465й порт с ssl, но и на 25м,
через starttls, тоже будет работать.
Еще можно через ratelimit попробовать. Если на линухе -- iptables с recent, но
это только для ipv4.
--
Victor Cheburkin
VC319-RIPE, VC1-UANIC
___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] SMTP relay for high load
Hi! 28 окт. 2013, в 15:07, Igor Karpov написал(а): >>> Вероятно вопрос не совсем по Exim >>> >>> Нужен MTA для high load. Задача: >>> Принять письмо, сохранить в спул, выплюнуть на другой MTA. >>> >>> Поток писем - порядка 1М/час. Средний размер письма - 700к. >>> >>> antivirus/antispam не нужны. >>> >>> Какие варианты кроме Exim? >> >> Zmailer. Только конфиги долго курить нужно. >> >>> Т.е. нужно что-то легкое и быстрое типа Nginx. >> >> Не уверен, что оно лёгкое, но создавалось именно для больших потоков. > > Ого. Не думал, что он жив еще. И никогда в жизни не использовал. Это не DJB > изделие? Не, у DJB qmail зовется ;-) -- Victor Cheburkin VC319-RIPE, VC1-UANIC ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] SMTP relay for high load
Hi! 28 окт. 2013, в 14:04, Sergey Kobzar написал(а): > Приветствую > > Вероятно вопрос не совсем по Exim > > Нужен MTA для high load. Задача: > Принять письмо, сохранить в спул, выплюнуть на другой MTA. > > Поток писем - порядка 1М/час. Средний размер письма - 700к. > > antivirus/antispam не нужны. > > Какие варианты кроме Exim? Zmailer. Только конфиги долго курить нужно. > Т.е. нужно что-то легкое и быстрое типа Nginx. Не уверен, что оно лёгкое, но создавалось именно для больших потоков. -- Victor Cheburkin VC319-RIPE, VC1-UANIC ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] exim rpm
Hi! 28 окт. 2012, в 14:14, Pavel Piatruk написал(а): > Откуда брать rpm последних релизов Exim? Кто каким репозиторием пользуется > под centos 5 & 6? > Я раньше пользовался Atrpms, но там дело заглохло, последний билд датируется > октябрем 2011. > Для Centos 6 есть Exim 4.80 в CentALT и в PUIAS Unsupported. > Больше мне понравился PUIAS Unsupported - последний критический баг там уже > пофикшен, остальные репы пока не среагировали. Я сам себе собираю с незапамятных времен... -- Victor Cheburkin VC319-RIPE, VC1-UANIC ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] два вопроса по SMTP-авторизации
Hi!
19 апр. 2012, в 15:29, dawnshade написал(а):
>>> Нескоько дней назад враги-спамеры поюзали мой сервер своей рассылкой,
>>> воспользовавшись возможностью релеить после успешной SMTP-аутентификации.
>>> Исполнялась рассылка с ботнета, использовано было всего три аккаунта, причем
>>> пароли не примитивные, и признаков подбора в логах нет. Кроме предположения,
>>> что пароль утащен вирусом/трояном, ничего пока не придумал.
>>> Вопрос: сталкивался ли кто с такой спам-технологией, есть ли какие-то
>>> принципиальные идеи по борьбе с таким, и не пропустил ли я какой-нибудь
>>> уязвимости в аутентификаторах exim'а? Exim version 4.77.
>>
>> В качестве противодействия утаскиванию паролей хорошо помогает SSL/TLS,
>> и разрешать авторизацию только через SSL/TLS соединения примерно так:
>>
>> auth_advertise_hosts = ${if eq{$tls_cipher}{}{}{*}}
>
> и оно хорошо работает со всякими андроидами-ыфонами?
Сам по себе андроид слать почту не умеет. У меня есть 2 проги, которые
нормально шлют почту через SSL на 465й порт, а на сервере в authenticators
стоит примерно такая строчка:
server_advertise_condition = ${if def:tls_cipher }
На сколько я знаю, всякие iphone & ipad тоже нормально работают в таком режиме,
как и symbian.
--
Victor Cheburkin
VC319-RIPE, VC1-UANIC
___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users
