| |
| |
| |
| 4.6, DeadLoco (ok), 12:27, 16/01/2014 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]
| +3 +/– |
 Дистро-специфичные извращения никакого отношения к экзиму не имеют. Блок параметров, блок ацлей, блок роутеров, блок транспортов - все. Чистенько, аккуратненько, прямолинейно и очевидно. Ну а что в комплекте с нескучными обойчиками часто идет винегрет из мелко покрошеных инклудов - то печаль линуксоидов, а не экзима.
| | |
|
| |
| |
| 5.22, Andrey Mitrofanov (?), 16:21, 16/01/2014 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]
| +/– |
>> Если б ещё не remote root раз в несколько лет... :-(
> ну,, последний "root" был только для любителей настраивать всё к чему руки
> дотянулись следуя партийному инструктажу с сайта лисяры.
И да, oldstable был ниуязвим! За неимением. DKIM-а, не exim-f, если кто не понял.
Но да, лисярщикам -- наше с кисточкой за фиксинг нашего нового oldstable-а.
| | |
|
|
|
|
| 1.19, Адекват (ok), 14:46, 16/01/2014 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]
| +1 +/– |
 И все-таки хочеться _штатной_ проверки spf, желательно включаемой и выключаемой возможности проверки соответствия значения helo.
А так же возможности включить проверки соответствия значения helo и dns-имени по ip адресу с которого пришло письмо.
а вообще smtp - такой древний костыль, который обрастает другими мини-костылями, а мини-костыли своими микро-костылями, что просто вах.
smtp сохраняет свой изначальный SHIT - отправку и получения почты без авторизации.
Существует куча restrictions, которые не дают 100% гарантии того, что вам не придет спам.
Потому что там идет проверка _наличия_ helo и максимум - соответствия FQDN.
Но простейший баш-скрипт позволит отправить письмо (от имени mail.ru, потому что у этих и прочих ***дарастов очень лояльные spf) и получить жертве, при условии что у вас провайдер выдает ip с записью в обратной зоне dns.
а таких сейчас не мало.
Итого - основой всех проблем является не почтовые сервера, а сам протокол smtp.
Проблему спама можно было бы решить давно (не знаю как именно, но знаю что можно), переделкой стандартов SMTP, но видимо наличие спама - кому-то выгодно.
Да что я говорю - просто обязательная проверка spf и жесткие ограничения на стороне ВСЕХ почтовых серверов по spf - и все, спама не было бы вообще.
Если у какого-нить mail.ru появился новый ip для smtp-релея то добавить его к валидным spf - дело пяти мину.
К слову у моего postfix разрешения в spf для одного ip и для всего остального - жесткий минус, так что МНОЙ уже никто не сможет представиться.
| | |
| |
| 2.27, Etch (?), 16:49, 16/01/2014 [^] [^^] [^^^] [ответить] [↓] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]
| +/– | |
> И все-таки хочеться _штатной_ проверки spf
+1, но только чтобы настраивалась гибко. Не, я конечно сделал у себя блокировку не только fail, но и softfail, и даже neutral блокирую для определённых доменов... А для некоторых доменов даже по отсутствию spf-записи блокировку сделал, но для всего этого пришлось нехило накостылить в стандартном перловом скрипте.
Кстати, по моей статистике на данный момент уже около 45% доменов имеют spf-записи, так что его проверка даёт ощутимый эффект. Вот данные, полученые из логов постфикса с предварительной группировкой по доменам (правда, сюда не попало то, что отсеялось по RBL и другим проверкам, которые срабатывают раньше):
276 fail
558 neutral
3822 none
1466 pass
185 permerror
632 softfail
106 temperror
| | |
| |
| 3.29, Адекват (ok), 16:58, 16/01/2014 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]
| +/– |
> +1, но только чтобы настраивалась гибко. Не, я конечно сделал у себя
> блокировку не только fail, но и softfail, и даже neutral блокирую
> для определённых доменов... А для некоторых доменов даже по отсутствию spf-записи
> блокировку сделал, но для всего этого пришлось нехило накостылить в стандартном
> перловом скрипте.
Круто, молодец что осилил перл, а я вот не стал разбираться, перл не умею вообще.
| | |
|
| 2.31, Pahanivo (ok), 19:02, 16/01/2014 [^] [^^] [^^^] [ответить] [↑] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]
| +/– |
 > Да что я говорю - просто обязательная проверка spf и жесткие ограничения
> на стороне ВСЕХ почтовых серверов по spf - и все, спама
> не было бы вообще.
ололо ...
вы забыли про еще одно не мене слабое звено smtp - долбануто-рукажопый легион юзерастов
один сломаный ящик на авторизацию отправки - и вуаля - спам с легальным spf )) да и спамботом вроде никто не запрещал им себе ставить ))
| | |
| |
| |
| |
| 5.49, Etch (?), 21:58, 16/01/2014 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]
| +/– |
> Это понятно. Непонятен энтузиазм товарища насчёт SPF.
> Тогда б уж DKIM + ADSP пиарил... ;-)
Так ведь нормальная эффективная технология, вот и вселяет энтузиазм.
А чем DKIM лучше? Распространён слабо, для антиспама подходит только в сочетании с ADSP, который вообще почти не встречается в реальной жизни. И даже с ADSP остаётся уязвимость вида "отправили одно спам-письмо самим себе и затем рассылаем подписанные копии откуда хотим".
DKIM хорошо приспособлен только для подтверждения факта прохода через конкретный почтовик, чтобы нельзя было подделать письмо от Васи и сказать что это он его тебе отправил с гмыла.
| | |
| |
| |
| 7.55, Etch (?), 23:28, 16/01/2014 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]
| +/– |
> Вот тем и лучше, что подтверждает происхождение письма и его достоверность за
> счет DKIM,
Прекрасно, только при чём тут антиспам?
> а также поведение принимающих его серверов следуя политике прописанной
> в ADSP.
Хорошая попытка, но спамеры со своих доменов всё ещё могут отправлять спам через ботнеты. Если в SPF есть возможность блокировать записи вида +ip4:5.0.0.0/8, то в DKIM+ADSP зацепиться незачто.
> Но, опять же, не панацея. | | |
|
| |
| 7.60, Etch (?), 23:49, 16/01/2014 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]
| +/– |
>> "отправили одно спам-письмо самим себе и затем рассылаем подписанные копии откуда хотим"
> Вот это недопонял...
Заводим ящик на гмейл, отправляем с него нужное письмо самим себе. Затем берём это письмо со всеми заголовками и рассылаем через ботнеты. Конверт SMTP-протокола не обязан совпадать с заголовками From и To в самом письме, так что все почтовые сервера будут думать, что это письмо отправил сам гмейл. Конечно, это при условии отсутствия проверки (или отсутствия) SPF-записи.
| | |
|
|
|
|
|
| |
| 3.42, Etch (?), 20:48, 16/01/2014 [^] [^^] [^^^] [ответить] [↓] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]
| +1 +/– |
>> Если у какого-нить mail.ru появился новый ip для smtp-релея то добавить его
>> к валидным spf - дело пяти мину.
> и что дальше? Приехали вы в другую страну, в крупную организацию и
> хотите отправить почту от имени mail.ru, а 25/587 порт в мир
> закрыты, только внутренний корпоративный smtp релей. По вашей логике все идут
> лесом в таком случае.
Зайдёт через браузер и отправит. А за открытый релей вообще надо по рукам давать, ибо первый же вирус в локалке вполне заслуженно занесёт этот релей во всевозможные чёрные списки.
| | |
| |
| 4.56, ALex_hha (ok), 23:28, 16/01/2014 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]
| –1 +/– |
 >>> Если у какого-нить mail.ru появился новый ip для smtp-релея то добавить его
>>> к валидным spf - дело пяти мину.
>> и что дальше? Приехали вы в другую страну, в крупную организацию и
>> хотите отправить почту от имени mail.ru, а 25/587 порт в мир
>> закрыты, только внутренний корпоративный smtp релей. По вашей логике все идут
>> лесом в таком случае.
> Зайдёт через браузер и отправит.
очень удобно? веб тоже может быть зафильтрован :D
> А за открытый релей вообще надо по рукам давать, ибо первый же вирус в локалке вполне заслуженно занесёт этот релей во всевозможные чёрные списки.
а никто не сказал что он открытый, он с аутентификацией и что дальше?
| | |
|
| 3.74, Адекват (ok), 09:19, 17/01/2014 [^] [^^] [^^^] [ответить] [↑] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]
| +/– | |
> это и многое другое уже давно есть в exim из коробки ;)
Уточню - возможность взять значение helo, затем ip с которого пришло письмо, затем этот ip преобразовать в доменное имя и сравнить это имя со значением в helo ?
> как вы себе представляете отправку почту с авторизацией на незнакомый домен?
Ну если представлять, то примерно так - после получения письма, ваш почтовик должен обратиться к отправителю и спросить "ты мне сейчас посылал письмо вот с таким id ?"
и тот должен ответить "да" или "нет".
> 100% дают только в морге, фильтрация спама это не задача МТА как
> такового.
Конечно, а я про что :) ?
> а зачем принимать решение только по одному критерию - наличие/отсутствию spf записи?
Не только но и в том числе, может я не четко выразился, у меня проверка spf стоит одной из последних.
> как вы ловко приплели spf к smtp, даже не знаю что и
> сказать
Было бы не плохо если проверка spf была бы штатной, невыключаемой фишкой smtp, так же как и запрос MAIL FROM. А указание spf записи - такой же обязательной штукой, как и указание доменного имени для почтовика.
> не поспоришь! Вам надо идти в политику, они тоже не знаю что
Тоже так думаю, не важно что я говорю, важно КАК я это говорю.
Шутка, шутка.
>> Если у какого-нить mail.ru появился новый ip для smtp-релея то добавить его
>> к валидным spf - дело пяти мину.
> и что дальше? Приехали вы в другую страну, в крупную организацию и
> хотите отправить почту от имени mail.ru, а 25/587 порт в мир
> закрыты, только внутренний корпоративный smtp релей. По вашей логике все идут
> лесом в таком случае.
Зачем в корпоративной сети слать почту от имени mail.ru ?
> Я смогу представиться и отправить на сервер, который не делает проверки SFP
Вот, и чья проблема в этом случае? что у вас будет спам от имени моего сервера :) ?
| | |
|
|
| |
| 2.23, Andrey Mitrofanov (?), 16:27, 16/01/2014 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]
| +/– | |
> Гуру, объясните, пожалуйста, что это за тест с использованием повторного реконнекта?
Это специальная *удобная* опция для ускорения хождения на костылях!
***грейлистинг (или это как-то по-другому называется) с _не_приёмом_ соединения с первой попытки с конкр.ip клиента, а только со второго -- решает больщую часть бот-нет спамеров, но может задерживить прием с исходящих (гугль), у которых _несколько_ [одновременно/попеременно] шлющих наружу ip.
| | |
| |
| 3.26, asavah (ok), 16:48, 16/01/2014 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]
| +/– |
 дык есть список исключений greylist-а, забил туда всех известных "неадекватов" и всё пашет.
хотя на сегодняшний день спамеры тоже умные пошли, грэйлистинг умеют, не раз в логах видел, приходится особо надоедливых по домену банить, хотя это тоже им пох, домены нонче дёшевы, а amavisd/spamassasin не всё режут (ессно пока спам в "базы" не попадёт)
| | |
| |
| 4.33, Аноним (-), 20:04, 16/01/2014 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]
| +1 +/– | |
> Уже представил как какая-то фирма лишилась выгодного контракта, потому что письмо с контрактом попало в грейлистинг.
Метод основан на том, что практически любой нормальный почтовик спокойно отнесется к отлупу и повторит попытку (в отличие от самп-бота, который просто перейдет к следующему хосту).
Если фирма наняла убунтоадмина за полставки, и он, бездумно следуя нагугленному мануалу от такого же убунтоадмина, взял и отключил retry, это уже проблема конкретной фирмы. Нефиг экономить на спич^Wадминах.
| | |
| 4.46, Mila (??), 21:11, 16/01/2014 [^] [^^] [^^^] [ответить] [↑] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]
| +/– |
>>с _не_приёмом_ соединения с первой попытки с конкр.ip
> Уже представил как какая-то фирма лишилась выгодного контракта, потому что письмо с
> контрактом попало в грейлистинг.
А вот грейлистинг, как и все пилюли, нельзя применять бездумно. Специфику организации учитывать надо.
Там где задержки нежелательны я использовал policyd 1.8X, там есть очень классная штука, спаммтраппинг, по-моему. Смысл таков: в Инете "свечу" нужные мне ящики. Потихоньку на эти ящики начинает валить спам, адреса отправителей заносятся в блэклист.
Может случится так, что из сети контрагентов валил спам и попал в блэклист, а потом не прошло валидное письмо, но это уже их проблемы :-).
| | |
|
| 3.40, ALex_hha (ok), 20:37, 16/01/2014 [^] [^^] [^^^] [ответить] [↑] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]
| +/– |
>> Гуру, объясните, пожалуйста, что это за тест с использованием повторного реконнекта?
> Это специальная *удобная* опция для ускорения хождения на костылях!
> ***грейлистинг (или это как-то по-другому называется) с _не_приёмом_ соединения с первой
> попытки с конкр.ip клиента, а только со второго -- решает больщую
> часть бот-нет спамеров, но может задерживить прием с исходящих (гугль), у
> которых _несколько_ [одновременно/попеременно] шлющих наружу ip.
при грамотной настройке не будет никаких задержек, просто не надо грейлистить всех подряд без разбора ;)
| | |
| |
| 4.52, Mila (??), 23:19, 16/01/2014 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]
| +1 +/– |
>>> Гуру, объясните, пожалуйста, что это за тест с использованием повторного реконнекта?
>> Это специальная *удобная* опция для ускорения хождения на костылях!
>> ***грейлистинг (или это как-то по-другому называется) с _не_приёмом_ соединения с первой
>> попытки с конкр.ip клиента, а только со второго -- решает больщую
>> часть бот-нет спамеров, но может задерживить прием с исходящих (гугль), у
>> которых _несколько_ [одновременно/попеременно] шлющих наружу ip.
> при грамотной настройке не будет никаких задержек, просто не надо грейлистить всех
> подряд без разбора ;)
Все равно будут.Проверено опытом. Вы все домены всех контрагентов в белый список не внесете.
| | |
| |
| 5.53, ALex_hha (ok), 23:25, 16/01/2014 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]
| +/– |
>>>> Гуру, объясните, пожалуйста, что это за тест с использованием повторного реконнекта?
>>> Это специальная *удобная* опция для ускорения хождения на костылях!
>>> ***грейлистинг (или это как-то по-другому называется) с _не_приёмом_ соединения с первой
>>> попытки с конкр.ip клиента, а только со второго -- решает больщую
>>> часть бот-нет спамеров, но может задерживить прием с исходящих (гугль), у
>>> которых _несколько_ [одновременно/попеременно] шлющих наружу ip.
>> при грамотной настройке не будет никаких задержек, просто не надо грейлистить всех
>> подряд без разбора ;)
> Все равно будут.Проверено опытом. Вы все домены всех контрагентов в белый
> список не внесете.
ну разве что единичные случаи ;)
| | |
| |
| |
| 7.78, ALex_hha (ok), 13:31, 17/01/2014 [^] [^^] [^^^] [ответить] [↓] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]
| +/– |
> У меня была одна проблема с грейлистингом, почтовый сервер посольство Англии не
> повторял отправку. Шеф из за этого сильно злой был =)
> Пришлось "хорошо" настроенный почтовик Английского посольства, добавлять в белый список.
> А ведь Англия жэ...
> Как так!
а что, по вашему в Англии/США/Германии/etc... нет криворуких админов? ;)
| | |
|
|
|
|
|
|
| |
| 2.69, Аноним (-), 02:06, 17/01/2014 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]
| +/– | |
> exim более гибкий MTA, адекватно его лучше использловать на шлюзах.
Напуркуа на шлюзе гибкость?!?!?
На шлюзе должна стоять железка которая мрёт только с дэйтаценром расплавренном ядрЁнной бомбой. -> postfix и ничего другого!
> А вот для связки с dovecot, postfix подходит лучше, так конфиги по синтаксису схожи.
А вот внутри часто просят него нить странного. Тут можно и есим, то что он чибче я и не спорю.
IMNHO.
| | |
|
| |
| 2.35, DeadLoco (ok), 20:16, 16/01/2014 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]
| +3 +/– | |
> по синтаксу конфига exim-a можно пару докторских защитить
Да бросьте. У экзима тривиальнейший синтаксис конфига. То-есть, реально простейший возможный. Но вот то, что отдельные умельцы злоупотребляют инклудами и городят иерархию включений мелких файликов в десять этажей, да еще и скриптуют совершенно статичные вещи - это проблемы совсем не экзима.
| | |
|
| |
| 2.71, mcshel (ok), 06:25, 17/01/2014 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]
| +5 +/– |
 Согласен, все кто минусует и пишит посты "postfix forever", вы сначала попробуйте сам exim, просмотрите MAN и сами поймете насколько это гибкий и удобный MTA. Я думаю многие, кто переходили на exim сначала использовали postfix и я в том числе.
Если представить, так:
- sendmail(очень гибкий, но сложный в настройке)
- postfix(средней гибкости, но прост в настройке), то
- exim (очень гибкий и немного сложнее в настройке, чем postfix), т.е. он находится где-то между ними.
| | |
|
|
