The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"Принудительная аутентификация в SendMail"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [Проследить за развитием треда]

"Принудительная аутентификация в SendMail"  
Сообщение от OptimusPrime (ok) on 05-Окт-06, 23:20 
  Вобщем такая ситуация, есть почтовый сервер на базе MTA sendmail 8.12.... Я прикрутил к нему SASL2, если в почтовом клиенте поставить галочку SMTP авторизация, то SASL работает прекрасно, если в sasldb2 нет указанного пользователя, то Relay запрещён, НО!!!, главная проблема в том, что я не знаю как заставить sendmail принудительно авторизоваться при отправке через SMTP. Если нужны конфиги, то они, впринципе, можно считать стандартные. Система RH enterprise 3. Перепробовал всё, даже очищал базу доступа access. В итоге добился только того, что при коннекте через telnet на 25 порт при попытке указать rcpt to: она говорит relay denied, всё ОК, НО, если отправлять через Bat!, в нём указать мой SMTP, снять галочку SMTP аутентификация, письма идут налево направо, вписывай кого хочешь, собственно прямая дорога в BlackList.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени, UBB]


1. "Принудительная аутентификация в SendMail"  
Сообщение от pal email(ok) on 06-Окт-06, 08:45 

FEATURE(`access_db', `hash -T<TMPF> /etc/mail/access')dnl

это единственное что у меня включено помимо сасл2 и система работает!
возможно ты при очищении access забыл запустить:

# makemap hash /etc/mail/access.db < /etc/mail/access

?
приведи листинги...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Принудительная аутентификация в SendMail"  
Сообщение от OptimusPrime email(ok) on 06-Окт-06, 11:54 
>
>FEATURE(`access_db', `hash -T<TMPF> /etc/mail/access')dnl
>
>это единственное что у меня включено помимо сасл2 и система работает!
>возможно ты при очищении access забыл запустить:
>
># makemap hash /etc/mail/access.db < /etc/mail/access
>
>?
>приведи листинги...


Oct 6 11:22:10 orange-375-new sendmail[17625]: k967MAB2017625: from=<spamer@microsoft.ru>, size=381, class=0, nrcpts=1, msgid=<1626862840.20061006112407@cityhouse.v.shared.ru>, proto=ESMTP, relay=[81.222.209.138]
-это я отправил письмо без аутентификации через свой сервер

Содержимое access
84.252.159.160 RELAY
84.252.159.79 RELAY
это IP вебсервера, к моей почте не имеет никакого отношения, что видно из логов
To:apache@ REJECT

После каждого обновления баз обзательно делаю make, она сама перекомпилит все базы.
Листинг sendmail.mc

divert(`-1')dnl
include(`/usr/share/sendmail-cf/m4/cf.m4')dnl
VERSIONID(`setup for Red Hat Linux')dnl
OSTYPE(`linux')dnl
define(`confDEF_USER_ID', ``8:12'')dnl
define(`confTO_CONNECT', `1m')dnl
define(`confTRY_NULL_MX_LIST', `true')dnl
define(`confDONT_PROBE_INTERFACES', `true')dnl
define(`PROCMAIL_MAILER_PATH', `/usr/bin/procmail')dnl
define(`ALIAS_FILE', `/etc/aliases')dnl
dnl define(`STATUS_FILE', `/etc/mail/statistics')dnl
define(`UUCP_MAILER_MAX', `2000000')dnl
define(`confUSERDB_SPEC', `/etc/mail/userdb.db')dnl
define(`confPRIVACY_FLAGS', `goaway,authwarnings,novrfy,noexpn,restrictqrun')dnl
define(`confAUTH_OPTIONS', `A')dnl
define(`POP_B4_SMTP_TAG')dnl
HACK(`popauth')dnl
define(`confTO_IDENT', `0')dnl
FEATURE(`delay_checks')dnl
dnl FEATURE(`no_default_msa')dnl
FEATURE(`smrsh', `/usr/sbin/smrsh')dnl
FEATURE(`mailertable', `hash -o /etc/mail/mailertable.db')dnl
FEATURE(`virtusertable', `hash -o /etc/mail/virtusertable.db')dnl
FEATURE(`redirect')dnl
FEATURE(`always_add_domain')dnl
FEATURE(`use_cw_file')dnl
FEATURE(`use_ct_file')dnl
FEATURE(`local_procmail', `', `procmail -t -Y -a $h -d $u')dnl
FEATURE(`access_db', `hash -T<TMPF> -o /etc/mail/access.db')dnl
FEATURE(`blacklist_recipients')dnl
EXPOSED_USER(`root')dnl
LOCAL_DOMAIN(`localhost.localdomain')dnl
define(`confMAX_RCPTS_PER_MESSAGE', `10')dnl
define(`confMAX_MESSAGE_SIZE', `8192000')
FEATURE(`dnsbl', `relays.ordb.org', `550 Contact http://relays.ordb.org for more info')FEATURE(`dnsbl', `bl.spamcop.net', `550 Contact http://spamcop.net/bl.html for more info')dnl
FEATURE(`dnsbl', `sbl-xbl.spamhaus.org', `550 Contact http://www.spamhaus.org for more info')dnl
FEATURE(`dnsbl', `blackholes.mail-abuse.org', `550 Contact http://www.mailabuse.org/rbl for more info')dnl
TRUST_AUTH_MECH(`GSSAPI DIGEST-MD5 CRAM-MD5')dnl
define(`confAUTH_MECHANISMS', `GSSAPI DIGEST-MD5 CRAM-MD5')dnl
define(`confDEF_AUTH_INFO', `/etc/mail/auth-info')dnl
FEATURE(`no_default_msa')dnl turn off default entry for MSA
DAEMON_OPTIONS(`Port=25, Name=MSA, M=E')dnl
MAILER(`smtp')dnl
MAILER(`procmail')dnl

Всё закоментированное удалил, практически стандартный конфиг

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Принудительная аутентификация в SendMail"  
Сообщение от pal email(ok) on 06-Окт-06, 13:05 
Вот мой sendmail.mc, как только убираю из access - релей только при успешной аунтификации...
из листинга убрал только dnsbl


divert(-1)
VERSIONID(`$Id$')
OSTYPE(freebsd5)
DOMAIN(generic)

FEATURE(`use_cw_file')dnl
FEATURE(`access_db', `hash -T<TMPF> /etc/mail/access')dnl

FEATURE(`mailertable', `hash /etc/mail/mailertable')dnl
FEATURE(`virtusertable', `hash /etc/mail/virtusertable')dnl


FEATURE(`blacklist_recipients')dnl
FEATURE(`delay_checks')dnl


define(`confMAX_MESSAGE_SIZE', `10785760')dnl
define(`confMAX_RCPTS_PER_MESSAGE',`5')dnl
define(`confSMTP_LOGIN_MSG', `Ready')dnl

define(`confRUN_AS_USER',`root:mail')dnl
define(`confAUTH_OPTIONS', `A')dnl
define(`confAUTH_MECHANISMS', `LOGIN PLAIN')dnl
TRUST_AUTH_MECH(`LOGIN PLAIN')dnl
FEATURE(`no_default_msa')dnl turn off default entry for MSA
DAEMON_OPTIONS(`Port=587, Name=MSA, M=E')dnl


DAEMON_OPTIONS(`Name=IPv4, Family=inet, M=E')
define(`confBIND_OPTS', `WorkAroundBrokenAAAA')
define(`confNO_RCPT_ACTION', `add-to-undisclosed')
define(`confPRIVACY_FLAGS', `authwarnings,noexpn,novrfy')


define(`confTO_DATABLOCK', `1h')dnl
define(`confSMTP_LOGIN_MSG', `Ready')dnl
define(`ALIAS_FILE', `/etc/mail/aliases')

MAILER(local)dnl
MAILER(smtp)dnl

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Принудительная аутентификация в SendMail"  
Сообщение от lavr email on 06-Окт-06, 09:44 
>  Вобщем такая ситуация, есть почтовый сервер на базе MTA sendmail
>8.12.... Я прикрутил к нему SASL2, если в почтовом клиенте поставить
>галочку SMTP авторизация, то SASL работает прекрасно, если в sasldb2 нет
>указанного пользователя, то Relay запрещён, НО!!!, главная проблема в том, что
>я не знаю как заставить sendmail принудительно авторизоваться при отправке через
>SMTP. Если нужны конфиги, то они, впринципе, можно считать стандартные. Система
>RH enterprise 3. Перепробовал всё, даже очищал базу доступа access. В
>итоге добился только того, что при коннекте через telnet на 25
>порт при попытке указать rcpt to: она говорит relay denied, всё
>ОК, НО, если отправлять через Bat!, в нём указать мой SMTP,
>снять галочку SMTP аутентификация, письма идут налево направо, вписывай кого хочешь,
>собственно прямая дорога в BlackList.

поиск по форуму и чтение документации sendmail, все уже расписывалось

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Принудительная аутентификация в SendMail"  
Сообщение от OptimusPrime email(ok) on 06-Окт-06, 11:57 
>>  Вобщем такая ситуация, есть почтовый сервер на базе MTA sendmail
>>8.12.... Я прикрутил к нему SASL2, если в почтовом клиенте поставить
>>галочку SMTP авторизация, то SASL работает прекрасно, если в sasldb2 нет
>>указанного пользователя, то Relay запрещён, НО!!!, главная проблема в том, что
>>я не знаю как заставить sendmail принудительно авторизоваться при отправке через
>>SMTP. Если нужны конфиги, то они, впринципе, можно считать стандартные. Система
>>RH enterprise 3. Перепробовал всё, даже очищал базу доступа access. В
>>итоге добился только того, что при коннекте через telnet на 25
>>порт при попытке указать rcpt to: она говорит relay denied, всё
>>ОК, НО, если отправлять через Bat!, в нём указать мой SMTP,
>>снять галочку SMTP аутентификация, письма идут налево направо, вписывай кого хочешь,
>>собственно прямая дорога в BlackList.
>
>поиск по форуму и чтение документации sendmail, все уже расписывалось

Временами полезно самому иногда прочитать документацию и сделать поиск по сайту, чтобы понять, что все статьи на эту тему одинаковы, и полны чуши, к тому же, я ищу ответ на вопрос, который не рассматривался в документации на данном сайте.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Принудительная аутентификация в SendMail"  
Сообщение от lavr email on 06-Окт-06, 13:33 
>>>  Вобщем такая ситуация, есть почтовый сервер на базе MTA sendmail
>>>8.12.... Я прикрутил к нему SASL2, если в почтовом клиенте поставить
>>>галочку SMTP авторизация, то SASL работает прекрасно, если в sasldb2 нет
>>>указанного пользователя, то Relay запрещён, НО!!!, главная проблема в том, что
>>>я не знаю как заставить sendmail принудительно авторизоваться при отправке через
>>>SMTP. Если нужны конфиги, то они, впринципе, можно считать стандартные. Система
>>>RH enterprise 3. Перепробовал всё, даже очищал базу доступа access. В
>>>итоге добился только того, что при коннекте через telnet на 25
>>>порт при попытке указать rcpt to: она говорит relay denied, всё
>>>ОК, НО, если отправлять через Bat!, в нём указать мой SMTP,
>>>снять галочку SMTP аутентификация, письма идут налево направо, вписывай кого хочешь,
>>>собственно прямая дорога в BlackList.
>>
>>поиск по форуму и чтение документации sendmail, все уже расписывалось
>
>Временами полезно самому иногда прочитать документацию и сделать поиск по сайту, чтобы
>понять, что все статьи на эту тему одинаковы, и полны чуши,
>к тому же, я ищу ответ на вопрос, который не рассматривался
>в документации на данном сайте.

пилите дальше:

http://www.sendmail.org/~ca/email/auth.html

# less /path/sendmail-sources/cf/README - раздел SMTP AUTHENTICATION

временами полезно учиться правильно формировать запрос для поиска

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Принудительная аутентификация в SendMail"  
Сообщение от OptimusPrime email(ok) on 06-Окт-06, 13:45 
>>>>  Вобщем такая ситуация, есть почтовый сервер на базе MTA sendmail
>>>>8.12.... Я прикрутил к нему SASL2, если в почтовом клиенте поставить
>>>>галочку SMTP авторизация, то SASL работает прекрасно, если в sasldb2 нет
>>>>указанного пользователя, то Relay запрещён, НО!!!, главная проблема в том, что
>>>>я не знаю как заставить sendmail принудительно авторизоваться при отправке через
>>>>SMTP. Если нужны конфиги, то они, впринципе, можно считать стандартные. Система
>>>>RH enterprise 3. Перепробовал всё, даже очищал базу доступа access. В
>>>>итоге добился только того, что при коннекте через telnet на 25
>>>>порт при попытке указать rcpt to: она говорит relay denied, всё
>>>>ОК, НО, если отправлять через Bat!, в нём указать мой SMTP,
>>>>снять галочку SMTP аутентификация, письма идут налево направо, вписывай кого хочешь,
>>>>собственно прямая дорога в BlackList.
>>>
>>>поиск по форуму и чтение документации sendmail, все уже расписывалось
>>
>>Временами полезно самому иногда прочитать документацию и сделать поиск по сайту, чтобы
>>понять, что все статьи на эту тему одинаковы, и полны чуши,
>>к тому же, я ищу ответ на вопрос, который не рассматривался
>>в документации на данном сайте.
>
>пилите дальше:
>
>http://www.sendmail.org/~ca/email/auth.html
>
># less /path/sendmail-sources/cf/README - раздел SMTP AUTHENTICATION
>
>временами полезно учиться правильно формировать запрос для поиска


И чё? Думаешь я это не читал?

Я в безвыходном положение, я перерыл всё документацию, 5-ю неделю бьюсь с этой проблемой, мне её кровь из носа надо решить, иначе могут начаться проблему с сервером, от безысходности я уже ищу помощи на форумах, и такие высказывания типа читай доки не уместны, я их наизусть заучил. Я хочу найти в чём проблема именно у меня, версия сендмэйл, может модуль какой не вкомпилен или библиотека другая. Я ХЗ. Извиняюсь, если что не так, просто временами раздражает, у человека не спрашивают, читал ли ты то-то, а над ним смеются и говорят, чё ты как лох, вот тут-то всё написано.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "Принудительная аутентификация в SendMail"  
Сообщение от lavr email on 06-Окт-06, 15:15 
>>>>>  Вобщем такая ситуация, есть почтовый сервер на базе MTA sendmail
>>>>>8.12.... Я прикрутил к нему SASL2, если в почтовом клиенте поставить
>>>>>галочку SMTP авторизация, то SASL работает прекрасно, если в sasldb2 нет
>>>>>указанного пользователя, то Relay запрещён, НО!!!, главная проблема в том, что
>>>>>я не знаю как заставить sendmail принудительно авторизоваться при отправке через
>>>>>SMTP. Если нужны конфиги, то они, впринципе, можно считать стандартные. Система
>>>>>RH enterprise 3. Перепробовал всё, даже очищал базу доступа access. В
>>>>>итоге добился только того, что при коннекте через telnet на 25
>>>>>порт при попытке указать rcpt to: она говорит relay denied, всё
>>>>>ОК, НО, если отправлять через Bat!, в нём указать мой SMTP,
>>>>>снять галочку SMTP аутентификация, письма идут налево направо, вписывай кого хочешь,
>>>>>собственно прямая дорога в BlackList.
>>>>
>>>>поиск по форуму и чтение документации sendmail, все уже расписывалось
>>>
>>>Временами полезно самому иногда прочитать документацию и сделать поиск по сайту, чтобы
>>>понять, что все статьи на эту тему одинаковы, и полны чуши,
>>>к тому же, я ищу ответ на вопрос, который не рассматривался
>>>в документации на данном сайте.
>>
>>пилите дальше:
>>
>>http://www.sendmail.org/~ca/email/auth.html
>>
>># less /path/sendmail-sources/cf/README - раздел SMTP AUTHENTICATION
>>
>>временами полезно учиться правильно формировать запрос для поиска
>
>
>И чё? Думаешь я это не читал?
>
>Я в безвыходном положение, я перерыл всё документацию, 5-ю неделю бьюсь с
>этой проблемой, мне её кровь из носа надо решить, иначе могут
>начаться проблему с сервером, от безысходности я уже ищу помощи на
>форумах, и такие высказывания типа читай доки не уместны, я их
>наизусть заучил. Я хочу найти в чём проблема именно у меня,
>версия сендмэйл, может модуль какой не вкомпилен или библиотека другая. Я
>ХЗ. Извиняюсь, если что не так, просто временами раздражает, у человека
>не спрашивают, читал ли ты то-то, а над ним смеются и
>говорят, чё ты как лох, вот тут-то всё написано.

не поверите, меня в свою очередь раздражает НЕЖЕЛАНИЕ думать, особенно над тем
что разжевано, я никогда и ни над кем не смеялся, меня НЕ раздражает чужая
некомпетентность, но раздражает упертость и нежелание ДУМАТЬ, ну и еще ничем
неподкрепленные амбиции.

про релеинг фсЁ прозрачно написано на указанных ранее ссылках
cf/README:
confAUTH_OPTIONS        AuthOptions     [undefined] If this option is 'A'
                                        then the AUTH= parameter for the
                                        MAIL FROM command is only issued
                                        when authentication succeeded.
                                        See doc/op/op.me for more options
                                        and details.

http://www.sendmail.org/~ca/email/auth.html#authrelay

SMTP AUTH allows relaying for senders who have successfully authenticated themselves. Per default, relaying is allowed for any user who authenticated via a trusted mechanism, i.e., one that is defined via
TRUST_AUTH_MECH(`list of mechanisms')
This is useful for roaming users and can replace POP-before-SMTP hacks if the MUA supports SMTP AUTH.

The ruleset trust_auth is used to decide whether the client's authentication identifier (authid) is trusted to act as (proxy for) the requested authorization identity (userid). The provided rules allow authid to act for userid if both are identical and they disallow it if the authentication failed. The ruleset Local_trust_auth can be used to provide further tests. As usual, it can either return the error mailer ($# error) to disallow proxying or $# OK to allow proxying.

New macros for SMTP AUTH are {auth_authen}, {auth_author}, and {auth_type}, which hold the client's authentication credentials (authid), the authorization identity (userid) (i.e., the AUTH= parameter of the MAIL command, if supplied), and the mechanism used for authentication.
Require AUTH
You can require the use of SMTP AUTH for relaying by simply turning off other means of relaying for incoming mail, e.g., the access map or class R. That is, if you have my.domain in /etc/mail/relay-domains or

my.domain    RELAY

in the access map, then remove the entry from class R (/etc/mail/relay-domains) and use

To:my.domain    RELAY

in the access map.

Requiring SMTP AUTH for all mails is in general a bad idea, because then you cannot receive mails from other users (since the cannot authenticate). So you must do this only on a server that is solely intended for your own users to send mail, not for a publically advertised (via MX records) server.

Итого:

RELEYING будет разрешен клиентам ПРОШЕДШИМ smtp-аутентикацию,
для локальных клиентов и клиентов локальной сети, нужно соответствующим образом
настройить access - последнее есть ОБЩЕЕ правило по запрету релеинга и складывается
оно из FEATURE(relay...) + access + RHS class R

Это все расписано в README + страница Claus Aßmann'а

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

17. "Принудительная аутентификация в SendMail"  
Сообщение от pal email(ok) on 06-Окт-06, 15:28 
>>>>>>  Вобщем такая ситуация, есть почтовый сервер на базе MTA sendmail
>>>>>>8.12.... Я прикрутил к нему SASL2, если в почтовом клиенте поставить
>>>>>>галочку SMTP авторизация, то SASL работает прекрасно, если в sasldb2 нет
>>>>>>указанного пользователя, то Relay запрещён, НО!!!, главная проблема в том, что
>>>>>>я не знаю как заставить sendmail принудительно авторизоваться при отправке через
>>>>>>SMTP. Если нужны конфиги, то они, впринципе, можно считать стандартные. Система
>>>>>>RH enterprise 3. Перепробовал всё, даже очищал базу доступа access. В
>>>>>>итоге добился только того, что при коннекте через telnet на 25
>>>>>>порт при попытке указать rcpt to: она говорит relay denied, всё
>>>>>>ОК, НО, если отправлять через Bat!, в нём указать мой SMTP,
>>>>>>снять галочку SMTP аутентификация, письма идут налево направо, вписывай кого хочешь,
>>>>>>собственно прямая дорога в BlackList.
>>>>>
>>>>>поиск по форуму и чтение документации sendmail, все уже расписывалось
>>>>
>>>>Временами полезно самому иногда прочитать документацию и сделать поиск по сайту, чтобы
>>>>понять, что все статьи на эту тему одинаковы, и полны чуши,
>>>>к тому же, я ищу ответ на вопрос, который не рассматривался
>>>>в документации на данном сайте.
>>>
>>>пилите дальше:
>>>
>>>http://www.sendmail.org/~ca/email/auth.html
>>>
>>># less /path/sendmail-sources/cf/README - раздел SMTP AUTHENTICATION
>>>
>>>временами полезно учиться правильно формировать запрос для поиска
>>
>>
>>И чё? Думаешь я это не читал?
>>
>>Я в безвыходном положение, я перерыл всё документацию, 5-ю неделю бьюсь с
>>этой проблемой, мне её кровь из носа надо решить, иначе могут
>>начаться проблему с сервером, от безысходности я уже ищу помощи на
>>форумах, и такие высказывания типа читай доки не уместны, я их
>>наизусть заучил. Я хочу найти в чём проблема именно у меня,
>>версия сендмэйл, может модуль какой не вкомпилен или библиотека другая. Я
>>ХЗ. Извиняюсь, если что не так, просто временами раздражает, у человека
>>не спрашивают, читал ли ты то-то, а над ним смеются и
>>говорят, чё ты как лох, вот тут-то всё написано.
>
>не поверите, меня в свою очередь раздражает НЕЖЕЛАНИЕ думать, особенно над тем
>
>что разжевано, я никогда и ни над кем не смеялся, меня НЕ
>раздражает чужая
>некомпетентность, но раздражает упертость и нежелание ДУМАТЬ, ну и еще ничем
>неподкрепленные амбиции.
>
>про релеинг фсЁ прозрачно написано на указанных ранее ссылках
>cf/README:
>confAUTH_OPTIONS        AuthOptions    
> [undefined] If this option is 'A'
>            
>          
>          
>      then the AUTH= parameter for
>the
>            
>          
>          
>      MAIL FROM command is only
>issued
>            
>          
>          
>      when authentication succeeded.
>            
>          
>          
>      See doc/op/op.me for more options
>
>            
>          
>          
>      and details.
>
>http://www.sendmail.org/~ca/email/auth.html#authrelay
>
>SMTP AUTH allows relaying for senders who have successfully authenticated themselves. Per
>default, relaying is allowed for any user who authenticated via a
>trusted mechanism, i.e., one that is defined via
>TRUST_AUTH_MECH(`list of mechanisms')
>This is useful for roaming users and can replace POP-before-SMTP hacks if
>the MUA supports SMTP AUTH.
>
>The ruleset trust_auth is used to decide whether the client's authentication identifier
>(authid) is trusted to act as (proxy for) the requested authorization
>identity (userid). The provided rules allow authid to act for userid
>if both are identical and they disallow it if the authentication
>failed. The ruleset Local_trust_auth can be used to provide further tests.
>As usual, it can either return the error mailer ($# error)
>to disallow proxying or $# OK to allow proxying.
>
>New macros for SMTP AUTH are {auth_authen}, {auth_author}, and {auth_type}, which hold
>the client's authentication credentials (authid), the authorization identity (userid) (i.e., the
>AUTH= parameter of the MAIL command, if supplied), and the mechanism
>used for authentication.
>Require AUTH
>You can require the use of SMTP AUTH for relaying by simply
>turning off other means of relaying for incoming mail, e.g., the
>access map or class R. That is, if you have my.domain
>in /etc/mail/relay-domains or
>
>my.domain RELAY
>
>in the access map, then remove the entry from class R (/etc/mail/relay-domains)
>and use
>
>To:my.domain RELAY
>
>in the access map.
>
>Requiring SMTP AUTH for all mails is in general a bad idea,
>because then you cannot receive mails from other users (since the
>cannot authenticate). So you must do this only on a server
>that is solely intended for your own users to send mail,
>not for a publically advertised (via MX records) server.
>
>Итого:
>
>RELEYING будет разрешен клиентам ПРОШЕДШИМ smtp-аутентикацию,
>для локальных клиентов и клиентов локальной сети, нужно соответствующим образом
>настройить access - последнее есть ОБЩЕЕ правило по запрету релеинга и складывается
>
>оно из FEATURE(relay...) + access + RHS class R
>
>Это все расписано в README + страница Claus Aßmann'а


Я уверен что OptimusPrime в курсе всего того что ты написал, хотябы образно.
Но, когда долго занимаешься одной и той же проблемой доооолгое время - находишь тупик и выйти из него не можешь, т.с. человеческий фактор.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

19. "Принудительная аутентификация в SendMail"  
Сообщение от lavr email on 06-Окт-06, 16:50 
>Я уверен что OptimusPrime в курсе всего того что ты написал, хотябы
>образно.
>Но, когда долго занимаешься одной и той же проблемой доооолгое время -
>находишь тупик и выйти из него не можешь, т.с. человеческий фактор.

бывает такое, нужно учиться переключаться или снова - с НУЛЯ посмотреть на тот же
вопрос, а он очень просто делится на:

1) ПРИНУДИТЕЛЬНАЯ аутентикация E=Ma в DAEMON_OPTIONS - принудительная на фсЁ in/out
  (ну это не тот случай, отпадает)
2) confAUTH_OPTIONS с флагом A - когда mail from разрешен только для прошедших
авторизацию
3) если из сети Intranet разрешено но НЕ ТРЕБУЕТСЯ SMTP-AUTH, те можно использовать
smtp и так и эдак, то в сдучае использования БЕЗ auth -> необходимо настроить RELAY
Проверку на OPEN-RELAY следует производить ЛИБО check по rules, либо извне

Ну вот ЧТО ЗДЕСЬ СЛОЖНО?! Это называется ЗАБЛУДИТЬСЯ в ДВУХ СОСНАХ.
Хотя к верхнему еще можно добавить SMTPS-Based RELAYING, на основе SSL, но это другая
тема. Если человек НЕ ТУПО слизывает с хаутушки, а немножко напряг серое вещество
и получил структурно разложенные знания по пунктам 1)-3) то ну никаких
проблем.

Удачи и успехов

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

20. "Принудительная аутентификация в SendMail"  
Сообщение от pal email(??) on 07-Окт-06, 12:02 
>>Я уверен что OptimusPrime в курсе всего того что ты написал, хотябы
>>образно.
>>Но, когда долго занимаешься одной и той же проблемой доооолгое время -
>>находишь тупик и выйти из него не можешь, т.с. человеческий фактор.
>
>бывает такое, нужно учиться переключаться или снова - с НУЛЯ посмотреть на
>тот же
>вопрос, а он очень просто делится на:
>
>1) ПРИНУДИТЕЛЬНАЯ аутентикация E=Ma в DAEMON_OPTIONS - принудительная на фсЁ in/out
>  (ну это не тот случай, отпадает)
>2) confAUTH_OPTIONS с флагом A - когда mail from разрешен только для
>прошедших
>авторизацию
>3) если из сети Intranet разрешено но НЕ ТРЕБУЕТСЯ SMTP-AUTH, те можно
>использовать
>smtp и так и эдак, то в сдучае использования БЕЗ auth -> необходимо настроить RELAY
>Проверку на OPEN-RELAY следует производить ЛИБО check по rules, либо извне
>
>Ну вот ЧТО ЗДЕСЬ СЛОЖНО?! Это называется ЗАБЛУДИТЬСЯ в ДВУХ СОСНАХ.
>Хотя к верхнему еще можно добавить SMTPS-Based RELAYING, на основе SSL, но
>это другая
>тема. Если человек НЕ ТУПО слизывает с хаутушки, а немножко напряг серое
>вещество
>и получил структурно разложенные знания по пунктам 1)-3) то ну никаких
>проблем.
>
>Удачи и успехов


Раз у тебя такие глубокие знания сендмыла, подскажи коли знаешь.
Есть несколько сеток, разделенных файрволом(висят на разных интерфейсах PIX), правила разрешают хождение пакетов по smtp, но:
1) все сервера находящиеся в одной сети при соединении по 25 порту отвечают друг другу - 220 ESMTP Ready
2) все что находится вне первой сетки при соединении получает - 220 ********* (привожу досимвольный ответ)

и возникает вопрос, какие еще порты использует smtp помимо 25tcp при использовании ESMTP?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

21. "Принудительная аутентификация в SendMail"  
Сообщение от lavr email on 07-Окт-06, 17:26 
>>>Я уверен что OptimusPrime в курсе всего того что ты написал, хотябы
>>>образно.
>>>Но, когда долго занимаешься одной и той же проблемой доооолгое время -
>>>находишь тупик и выйти из него не можешь, т.с. человеческий фактор.
>>
>>бывает такое, нужно учиться переключаться или снова - с НУЛЯ посмотреть на
>>тот же
>>вопрос, а он очень просто делится на:
>>
>>1) ПРИНУДИТЕЛЬНАЯ аутентикация E=Ma в DAEMON_OPTIONS - принудительная на фсЁ in/out
>>  (ну это не тот случай, отпадает)
>>2) confAUTH_OPTIONS с флагом A - когда mail from разрешен только для
>>прошедших
>>авторизацию
>>3) если из сети Intranet разрешено но НЕ ТРЕБУЕТСЯ SMTP-AUTH, те можно
>>использовать
>>smtp и так и эдак, то в сдучае использования БЕЗ auth -> необходимо настроить RELAY
>>Проверку на OPEN-RELAY следует производить ЛИБО check по rules, либо извне
>>
>>Ну вот ЧТО ЗДЕСЬ СЛОЖНО?! Это называется ЗАБЛУДИТЬСЯ в ДВУХ СОСНАХ.
>>Хотя к верхнему еще можно добавить SMTPS-Based RELAYING, на основе SSL, но
>>это другая
>>тема. Если человек НЕ ТУПО слизывает с хаутушки, а немножко напряг серое
>>вещество
>>и получил структурно разложенные знания по пунктам 1)-3) то ну никаких
>>проблем.
>>
>>Удачи и успехов
>
>
>Раз у тебя такие глубокие знания сендмыла, подскажи коли знаешь.
>Есть несколько сеток, разделенных файрволом(висят на разных интерфейсах PIX), правила разрешают хождение
>пакетов по smtp, но:
>1) все сервера находящиеся в одной сети при соединении по 25 порту
>отвечают друг другу - 220 ESMTP Ready
>2) все что находится вне первой сетки при соединении получает - 220
>********* (привожу досимвольный ответ)
>
>и возникает вопрос, какие еще порты использует smtp помимо 25tcp при использовании
>ESMTP?

никаких, SMTP и в Африке SMTP, 25/tcp и + если используется MSA(DSN) - 587/tcp.
См. настройки PIX:

no fixup protocol smtp 25

если же не хочется вставить верхнее в Firewall, то ищи:

http://forum.sysadmins.ru/2/ - последние 3-4 месяца, я расписывал как настроить
sendmail для работы ТОЛЬКО по SMTP вместо default'ного ESMTP транспорта.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Принудительная аутентификация в SendMail"  
Сообщение от pal email(ok) on 06-Окт-06, 13:46 
>>>>  Вобщем такая ситуация, есть почтовый сервер на базе MTA sendmail
>>>>8.12.... Я прикрутил к нему SASL2, если в почтовом клиенте поставить
>>>>галочку SMTP авторизация, то SASL работает прекрасно, если в sasldb2 нет
>>>>указанного пользователя, то Relay запрещён, НО!!!, главная проблема в том, что
>>>>я не знаю как заставить sendmail принудительно авторизоваться при отправке через
>>>>SMTP. Если нужны конфиги, то они, впринципе, можно считать стандартные. Система
>>>>RH enterprise 3. Перепробовал всё, даже очищал базу доступа access. В
>>>>итоге добился только того, что при коннекте через telnet на 25
>>>>порт при попытке указать rcpt to: она говорит relay denied, всё
>>>>ОК, НО, если отправлять через Bat!, в нём указать мой SMTP,
>>>>снять галочку SMTP аутентификация, письма идут налево направо, вписывай кого хочешь,
>>>>собственно прямая дорога в BlackList.
>>>
>>>поиск по форуму и чтение документации sendmail, все уже расписывалось
>>
>>Временами полезно самому иногда прочитать документацию и сделать поиск по сайту, чтобы
>>понять, что все статьи на эту тему одинаковы, и полны чуши,
>>к тому же, я ищу ответ на вопрос, который не рассматривался
>>в документации на данном сайте.
>
>пилите дальше:
>
>http://www.sendmail.org/~ca/email/auth.html
>
># less /path/sendmail-sources/cf/README - раздел SMTP AUTHENTICATION
>
>временами полезно учиться правильно формировать запрос для поиска

временами и у меня голову сводит недавняя контузия... но если ты не заметил, у человека аунтификация работает, но все равно релей открыт :(

если не уверен, то давай попросим запустить:

sendmail -d0.1 -bv root

что выдаст?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Принудительная аутентификация в SendMail"  
Сообщение от OptimusPrime email(ok) on 06-Окт-06, 14:14 

>временами и у меня голову сводит недавняя контузия... но если ты не
>заметил, у человека аунтификация работает, но все равно релей открыт :(
>
>
>если не уверен, то давай попросим запустить:
>
>sendmail -d0.1 -bv root
>
>что выдаст?


Compiled with: DNSMAP HESIOD HES_GETMAILHOST LDAPMAP LOG MAP_REGEX
                MATCHGECOS MILTER MIME7TO8 MIME8TO7 NAMED_BIND NETINET NETINET6
                NETUNIX NEWDB NIS PIPELINING SASLv2 SCANF STARTTLS TCPWRAPPERS
                USERDB USE_LDAP_INIT

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Принудительная аутентификация в SendMail"  
Сообщение от lavr email on 06-Окт-06, 14:19 
>>>>>  Вобщем такая ситуация, есть почтовый сервер на базе MTA sendmail
>>>>>8.12.... Я прикрутил к нему SASL2, если в почтовом клиенте поставить
>>>>>галочку SMTP авторизация, то SASL работает прекрасно, если в sasldb2 нет
>>>>>указанного пользователя, то Relay запрещён, НО!!!, главная проблема в том, что
>>>>>я не знаю как заставить sendmail принудительно авторизоваться при отправке через
>>>>>SMTP. Если нужны конфиги, то они, впринципе, можно считать стандартные. Система
>>>>>RH enterprise 3. Перепробовал всё, даже очищал базу доступа access. В
>>>>>итоге добился только того, что при коннекте через telnet на 25
>>>>>порт при попытке указать rcpt to: она говорит relay denied, всё
>>>>>ОК, НО, если отправлять через Bat!, в нём указать мой SMTP,
>>>>>снять галочку SMTP аутентификация, письма идут налево направо, вписывай кого хочешь,
>>>>>собственно прямая дорога в BlackList.
>>>>
>>>>поиск по форуму и чтение документации sendmail, все уже расписывалось
>>>
>>>Временами полезно самому иногда прочитать документацию и сделать поиск по сайту, чтобы
>>>понять, что все статьи на эту тему одинаковы, и полны чуши,
>>>к тому же, я ищу ответ на вопрос, который не рассматривался
>>>в документации на данном сайте.
>>
>>пилите дальше:
>>
>>http://www.sendmail.org/~ca/email/auth.html
>>
>># less /path/sendmail-sources/cf/README - раздел SMTP AUTHENTICATION
>>
>>временами полезно учиться правильно формировать запрос для поиска
>
>временами и у меня голову сводит недавняя контузия... но если ты не

мне вас пожалеть?! лечись если контуженный, отдыхай и тд и тп...

>заметил, у человека аунтификация работает, но все равно релей открыт :(

если кто-то хочет что-то сделать, именно хочет, пусть приобретает знания,
есть такая поговорка "смотрю в книгу, а вижу ..."

>если не уверен, то давай попросим запустить:
>
>sendmail -d0.1 -bv root
>
>что выдаст?

вероятно фсЁ что связано с открытым релеем ;)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "Принудительная аутентификация в SendMail"  
Сообщение от pal email(ok) on 06-Окт-06, 14:43 
>>>>>>  Вобщем такая ситуация, есть почтовый сервер на базе MTA sendmail
>>>>>>8.12.... Я прикрутил к нему SASL2, если в почтовом клиенте поставить
>>>>>>галочку SMTP авторизация, то SASL работает прекрасно, если в sasldb2 нет
>>>>>>указанного пользователя, то Relay запрещён, НО!!!, главная проблема в том, что
>>>>>>я не знаю как заставить sendmail принудительно авторизоваться при отправке через
>>>>>>SMTP. Если нужны конфиги, то они, впринципе, можно считать стандартные. Система
>>>>>>RH enterprise 3. Перепробовал всё, даже очищал базу доступа access. В
>>>>>>итоге добился только того, что при коннекте через telnet на 25
>>>>>>порт при попытке указать rcpt to: она говорит relay denied, всё
>>>>>>ОК, НО, если отправлять через Bat!, в нём указать мой SMTP,
>>>>>>снять галочку SMTP аутентификация, письма идут налево направо, вписывай кого хочешь,
>>>>>>собственно прямая дорога в BlackList.
>>>>>
>>>>>поиск по форуму и чтение документации sendmail, все уже расписывалось
>>>>
>>>>Временами полезно самому иногда прочитать документацию и сделать поиск по сайту, чтобы
>>>>понять, что все статьи на эту тему одинаковы, и полны чуши,
>>>>к тому же, я ищу ответ на вопрос, который не рассматривался
>>>>в документации на данном сайте.
>>>
>>>пилите дальше:
>>>
>>>http://www.sendmail.org/~ca/email/auth.html
>>>
>>># less /path/sendmail-sources/cf/README - раздел SMTP AUTHENTICATION
>>>
>>>временами полезно учиться правильно формировать запрос для поиска
>>
>>временами и у меня голову сводит недавняя контузия... но если ты не
>
>мне вас пожалеть?! лечись если контуженный, отдыхай и тд и тп...
>
>>заметил, у человека аунтификация работает, но все равно релей открыт :(
>
>если кто-то хочет что-то сделать, именно хочет, пусть приобретает знания,
>есть такая поговорка "смотрю в книгу, а вижу ..."
>
>>если не уверен, то давай попросим запустить:
>>
>>sendmail -d0.1 -bv root
>>
>>что выдаст?
>
>вероятно фсЁ что связано с открытым релеем ;)


Вот не понимаю, вроде умные люди должны здесь сидеть. Так нет, большинству просто по клаве постучать хочется... и показать "мы блин самые умные, любите нас", а не за что любить, не добры и не терпеливы вы!

Вам бы не хэндбук читать, а книжку какую-нить по социологии...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

16. "Принудительная аутентификация в SendMail"  
Сообщение от lavr email on 06-Окт-06, 15:18 
>>>>>>>  Вобщем такая ситуация, есть почтовый сервер на базе MTA sendmail
>>>>>>>8.12.... Я прикрутил к нему SASL2, если в почтовом клиенте поставить
>>>>>>>галочку SMTP авторизация, то SASL работает прекрасно, если в sasldb2 нет
>>>>>>>указанного пользователя, то Relay запрещён, НО!!!, главная проблема в том, что
>>>>>>>я не знаю как заставить sendmail принудительно авторизоваться при отправке через
>>>>>>>SMTP. Если нужны конфиги, то они, впринципе, можно считать стандартные. Система
>>>>>>>RH enterprise 3. Перепробовал всё, даже очищал базу доступа access. В
>>>>>>>итоге добился только того, что при коннекте через telnet на 25
>>>>>>>порт при попытке указать rcpt to: она говорит relay denied, всё
>>>>>>>ОК, НО, если отправлять через Bat!, в нём указать мой SMTP,
>>>>>>>снять галочку SMTP аутентификация, письма идут налево направо, вписывай кого хочешь,
>>>>>>>собственно прямая дорога в BlackList.
>>>>>>
>>>>>>поиск по форуму и чтение документации sendmail, все уже расписывалось
>>>>>
>>>>>Временами полезно самому иногда прочитать документацию и сделать поиск по сайту, чтобы
>>>>>понять, что все статьи на эту тему одинаковы, и полны чуши,
>>>>>к тому же, я ищу ответ на вопрос, который не рассматривался
>>>>>в документации на данном сайте.
>>>>
>>>>пилите дальше:
>>>>
>>>>http://www.sendmail.org/~ca/email/auth.html
>>>>
>>>># less /path/sendmail-sources/cf/README - раздел SMTP AUTHENTICATION
>>>>
>>>>временами полезно учиться правильно формировать запрос для поиска
>>>
>>>временами и у меня голову сводит недавняя контузия... но если ты не
>>
>>мне вас пожалеть?! лечись если контуженный, отдыхай и тд и тп...
>>
>>>заметил, у человека аунтификация работает, но все равно релей открыт :(
>>
>>если кто-то хочет что-то сделать, именно хочет, пусть приобретает знания,
>>есть такая поговорка "смотрю в книгу, а вижу ..."
>>
>>>если не уверен, то давай попросим запустить:
>>>
>>>sendmail -d0.1 -bv root
>>>
>>>что выдаст?
>>
>>вероятно фсЁ что связано с открытым релеем ;)
>
>
>Вот не понимаю, вроде умные люди должны здесь сидеть. Так нет, большинству
>просто по клаве постучать хочется... и показать "мы блин самые умные,
>любите нас", а не за что любить, не добры и не
>терпеливы вы!
>
>Вам бы не хэндбук читать, а книжку какую-нить по социологии...

вы все еще handbook видимо читаете, желаю успехов

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

18. "Принудительная аутентификация в SendMail"  
Сообщение от pal email(ok) on 06-Окт-06, 15:31 
>>>>>>>>  Вобщем такая ситуация, есть почтовый сервер на базе MTA sendmail
>>>>>>>>8.12.... Я прикрутил к нему SASL2, если в почтовом клиенте поставить
>>>>>>>>галочку SMTP авторизация, то SASL работает прекрасно, если в sasldb2 нет
>>>>>>>>указанного пользователя, то Relay запрещён, НО!!!, главная проблема в том, что
>>>>>>>>я не знаю как заставить sendmail принудительно авторизоваться при отправке через
>>>>>>>>SMTP. Если нужны конфиги, то они, впринципе, можно считать стандартные. Система
>>>>>>>>RH enterprise 3. Перепробовал всё, даже очищал базу доступа access. В
>>>>>>>>итоге добился только того, что при коннекте через telnet на 25
>>>>>>>>порт при попытке указать rcpt to: она говорит relay denied, всё
>>>>>>>>ОК, НО, если отправлять через Bat!, в нём указать мой SMTP,
>>>>>>>>снять галочку SMTP аутентификация, письма идут налево направо, вписывай кого хочешь,
>>>>>>>>собственно прямая дорога в BlackList.
>>>>>>>
>>>>>>>поиск по форуму и чтение документации sendmail, все уже расписывалось
>>>>>>
>>>>>>Временами полезно самому иногда прочитать документацию и сделать поиск по сайту, чтобы
>>>>>>понять, что все статьи на эту тему одинаковы, и полны чуши,
>>>>>>к тому же, я ищу ответ на вопрос, который не рассматривался
>>>>>>в документации на данном сайте.
>>>>>
>>>>>пилите дальше:
>>>>>
>>>>>http://www.sendmail.org/~ca/email/auth.html
>>>>>
>>>>># less /path/sendmail-sources/cf/README - раздел SMTP AUTHENTICATION
>>>>>
>>>>>временами полезно учиться правильно формировать запрос для поиска
>>>>
>>>>временами и у меня голову сводит недавняя контузия... но если ты не
>>>
>>>мне вас пожалеть?! лечись если контуженный, отдыхай и тд и тп...
>>>
>>>>заметил, у человека аунтификация работает, но все равно релей открыт :(
>>>
>>>если кто-то хочет что-то сделать, именно хочет, пусть приобретает знания,
>>>есть такая поговорка "смотрю в книгу, а вижу ..."
>>>
>>>>если не уверен, то давай попросим запустить:
>>>>
>>>>sendmail -d0.1 -bv root
>>>>
>>>>что выдаст?
>>>
>>>вероятно фсЁ что связано с открытым релеем ;)
>>
>>
>>Вот не понимаю, вроде умные люди должны здесь сидеть. Так нет, большинству
>>просто по клаве постучать хочется... и показать "мы блин самые умные,
>>любите нас", а не за что любить, не добры и не
>>терпеливы вы!
>>
>>Вам бы не хэндбук читать, а книжку какую-нить по социологии...
>
>вы все еще handbook видимо читаете, желаю успехов


Нет, социологию читаю ;)
и желаю всего самого наилучшего

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "Принудительная аутентификация в SendMail"  
Сообщение от OptimusPrime email(ok) on 06-Окт-06, 14:28 
Pal - спасибо тебе огромное, я твой конфиг воткнул, всё работает, значит проблема была в слишком "густом" конфиге, ты окончил мои 5-недельные мучения. =) Если нужна будет какая помощь или что пиши на мыло или в асю.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "Принудительная аутентификация в SendMail"  
Сообщение от pal email(ok) on 06-Окт-06, 14:39 
>Pal - спасибо тебе огромное, я твой конфиг воткнул, всё работает, значит
>проблема была в слишком "густом" конфиге, ты окончил мои 5-недельные мучения.
>=) Если нужна будет какая помощь или что пиши на мыло
>или в асю.
Не мне спасибо, а форуму. Ты сам все сделал.
А теперь потихоньку можно и "догружать" конфиг и проверять когда же все рухнет... ;)
Так узнаешь где была проблема...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "Принудительная аутентификация в SendMail"  
Сообщение от OptimusPrime email(ok) on 06-Окт-06, 14:44 
>>Pal - спасибо тебе огромное, я твой конфиг воткнул, всё работает, значит
>>проблема была в слишком "густом" конфиге, ты окончил мои 5-недельные мучения.
>>=) Если нужна будет какая помощь или что пиши на мыло
>>или в асю.
>Не мне спасибо, а форуму. Ты сам все сделал.
>А теперь потихоньку можно и "догружать" конфиг и проверять когда же все
>рухнет... ;)
>Так узнаешь где была проблема...

Уже в процессе =)


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру