#!/bin/sh
# Файл конфигурации: /usr/local/etc/exim/configure# Имя хоста. Используется в EHLO.
# Фигурирует в других пунктах, если они не
заданы -
# типа qualify_domain и прочих..
# Если тут ничё не установлено (строка
закомметрована)
# то используется то, что вернёт функция
uname()
primary_hostname = mydomain.ua
# Вводим данные для подключения к MySQL
серверу.
# словечко `hide`, вначале, означает, что при
# вызове проверки конфига командой
# exim -bV config_file эти данные не будут
отображаться.
# Если без него - то будут показаны...
Формат записи:
# хост/имя_бд/пользователь/пароль
hide mysql_servers = localhost/exim/root/gfhjkm123
# Делаем список локальных доменов. Далее
этот
# список будет фигурировать в виде
+local_domains
# В данном случае домены выбираются из БД
MySQL. Также
# можно их просто перечислить через
двоеточие. Есть интересная
# возможность, можно указать юзер@[хост] -
lissyara@[222.222.4.5]
domainlist local_domains = ${lookup mysql{SELECT `domain` \
FROM `domain` WHERE \
`domain`='${domain}' AND \
`active`='1'}}
# делаем список доменов с которых
разрешены релеи.
# Далее этот список будет в виде +relay_to_domains
# Можно использовать символы
подстановки, типа:
# .... = *.my.domen.su : !spam.my.domen.su : first.su
# тогда пропускается всё, что похоже на
*.my.domen.su, но
# от spam.my.domen.su релеится почта не будет.
domainlist relay_to_domains = ${lookup mysql{SELECT `domain` \
FROM `domain` WHERE \
`domain`='${domain}' AND \
`active`='1'}}
# Составляем список хостов с которых
разрешён неавторизованый
# релей. Обычно в нём находятся локальные
сети, и локалхост...
# ЛокалХост в двух видах был внесён
сознательно - пару раз
# сталкивался с кривым файлом /etc/hosts -
результатом было
# непонимание `localhost` но пониманием 127.0.0.1/8
hostlist relay_from_hosts = localhost:127.0.0.0/8:10.0.15.0/24
# Вводим названия acl`ов для проверки
почты. (В общем-то, это
# необязательно, если вы делаете открытый
релей, или хотите
# принимать вообще всю почту с любого
хоста для любых
# получателей... Тока потом не жалуйтесь
что у Вас спам
# и провайдер выкатывает немеряный счёт
:))
acl_smtp_rcpt = acl_check_rcpt
#acl_smtp_data = acl_check_data
# Прикручиваем антивирус - при условии,
что exim собран
# с его поддержкой. В качестве антивиря
юзаем ClamAV,
# ибо - ПО должно быть свободным! :)
# Итак, указываем местоположение сокета
clamd.
#av_scanner = clamd:/var/run/clamav/clamd
# Адрес куда слать на проверку спама
(SpamAssasin), но я
# это не юзаю. Не так много у меня спама...
# spamd_address = 127.0.0.1 783
# Имя домена добавляемое для локальных
отправителей (реальных
# юзеров системы) т.е. почта отправляемая
от root, будет от
# root@домен_указанный_здесь. Если пункт
незадан, то используется
# имя хоста из `primary_hostname`. Логичней было бы
написать здесь
# lissyara.su, но мне удобней иначе:
qualify_domain = mydomain.ua
# Имя хоста для ситуации, обратной
предыдущей, - это имя домена
# добавляемое к почте для системных
юзеров, ну и вообще для почты
# пришедшей на адрес типа `root`, `lissyara`, & etc...
Если этот
# пункт незадан то используется значение
полученное из
# предыдущего пункта - `qualify_domain`
qualify_recipient = mydomain.ua
# А это как раз кусок вышеописанного
анахронизма - про почту в
# виде user@[222.222.222.222] - принимать её или нет.
По дефолту
# (когда строка закомментирована)
значение - false. Если захотите
# поставить true то надо будет добавить в
список доменов
# комбинацию @[] - она означает `все
локальные адреса`
allow_domain_literals = false
# Пользователь от которого работает exim
exim_user = mailnull
# группа в кторой работает exim
exim_group = mail
# запрещаем работу доставки под юзером root
- в целях безопасности
never_users = root
# Тоже анахронизм (на самом деле, не такой
уж анахронизм, но все давно
# забили на ident и закрыли файрволлом
tcp:113...) Это проверка - Ваш
# хост спрашивает у удалённого, с
которого было подключение, а кто
# собстно ко мне подключился на такой-то
порт? Если на удалённом хосте
# работает identd - он может ответить (а может
и не ответить - как
# настроить), скажет UID пользователя от
которого установлено
# соединение, тип ОС, и имя пользователя.
Теперь, понимаете, почему
# у всех оно зарублено и файрволлами
позакрыто? :) Это же палево :)
# Тока на мой взгляд, если на сервере всё
настроено правильно -
# то вовсе это и не страшно.
# Короче - если хостс поставить * то будет
проверять все. Таймаут -
# если поставить 0 то не будет ждать
ответа ни от кого. По
# вышеописанным причинам - отключаем
#rfc1413_hosts = *
rfc1413_query_timeout = 0s
# Если сообщение было недоставлено, то
генерится соощение
# об ошибке. Если сообщение об ошибке не
удалось доставить
# то оно замораживается на указанный в
этом пункте срок,
# после чего снова попытка доставить его.
При очередной
# неудаче - сообщение удаляется.
ignore_bounce_errors_after = 45m
# Замороженные сообщения, находящиеся в
очереди, дольше
# указанного времени удаляются и
генерится сообщение
# об ошибке (при условии, что это не было
недоставленное
# сообщение об ошибке :))
timeout_frozen_after = 15d
# собсно на этом штатный конфиг кончился,
но
# меня-то это не устраивает... Поэтому
пошли пункты,
# почёрпнутые из других источников.
# список адресов, через запятую, на
которые засылаются
# сообщения о замороженных сообщениях (о
замороженых
# уведомлениях о заморозке, сообщения не
генерятся. - я
# надеюсь эта строка понятна :))
freeze_tell = admin@mydomain.ua
# Список хостов, почта от которых
принимается, несмотря
# на ошибки в HELO/EHLO
helo_accept_junk_hosts = 10.0.15.0/24
# Через какое время повторять попытку
доставки
# замороженного сообщения
auto_thaw = 1h
# Приветствие сервера
smtp_banner = "$primary_hostname, ESMTP EXIM $version_number"
# Максимальное число одновременных
подключений по
# SMTP. Рассчитывать надо исходя из
нагрузки на сервер
smtp_accept_max = 50
# максимальное число сообщений
принимаемое за одно соединение
# от удалённого сервера (или
пользователя). C числом 25
# я имел проблемы тока один раз - когда у
меня три дня лежал
# инет и после его подъёма попёрли
мессаги. Но у меня не так
# много почты - всего 30 пользователей.
smtp_accept_max_per_connection = 25
# чё-то про логи и борьбу с флудом - я так
понимаю -
# максимальное число сообщений
записываемых в логи
smtp_connect_backlog = 30
# максимальное число коннектов с одного
хоста
smtp_accept_max_per_host = 20
# Ход ладьёй - для увеличения
производительности,
# директория `spool` внутри, разбивается на
# директории - это ускоряет обработку
split_spool_directory = true
# Если у сообщения много адресатов на
удалённых хостах,
# то запускатеся до указанного числа
максимально число
# параллельных процессов доставки
remote_max_parallel = 15
# при генерации сообщения об ошибке
прикладывать
# не всё сообщение, а кусок (от начала)
указанного
# размера (иногда полезно и целиком - в
таком случае
# просто закомментируйте эту строку)
return_size_limit = 70k
# размер сообщения. У меня стоит
относительно большой
# размер (`относительно` - потому, что на
большинстве
# хостов оно ограничено 2-5-10мб, либо стоит
анлим.)
message_size_limit = 24M
# разрешаем неположенные символы в HELO
(столкнулся
# с этим случайно - имя фирмы состояло из
двух слов
# и какой-то раздолбай домен обозвал
my_firme_name
# прям с подчёркиваниями... Виндовые
клиенты при
# соединении радостно рапортовали о себе
# `vasya.my_firme_name` ну а экзим их футболил :))
helo_allow_chars = _
# Принудительная синхронизация. Если
отправитель
# торопится подавать команды, не
дождавшись ответа,
# то он посылается далеко и надолго :)
Немного,
# спам режется.
smtp_enforce_sync = true
# Выбираем, что мы будем логировать
# + - писать в логи,
# - - Не писать в логи.
# +all_parents - все входящие?
# +connection_reject - разорваные соединения
# +incoming_interface - интерфейс (реально - IP)
# +lost_incoming_connections - потеряные входящие
# соединения
# +received_sender - отправитель
# +received_recipients - получатель
# +smtp_confirmation - подтверждения SMTP?
# +smtp_syntax_error - ошибки синтаксиса SMTP
# +smtp_protocol_error - ошибки протокола SMTP
# -queue_run - работа очереди (замороженные
мессаги)
log_selector = \
+all_parents \
+connection_reject \
+incoming_interface \
+lost_incoming_connection \
+received_sender \
+received_recipients \
+smtp_confirmation \
+smtp_syntax_error \
+smtp_protocol_error \
-queue_run
# Убираем собственную временную метку
exim`a из логов, её ставит
# сам syslogd - нефига дублировать
syslog_timestamp = no
# system filter
# А тут у начальства заскок - желание
контролировать всё.
# Вот и пришлось сделать копию всей почты.
# Вот тока в IT отделе, как выяснилось,
никто никому не пишет :)
#system_filter = /usr/local/etc/exim/copy_mail.conf
begin acl
# Эти правила срабатывают для каждого
получателя
acl_check_rcpt:
# принимать сообщения которые пришли с
локалхоста,
# не по TCP/IP
accept hosts = :
#accept authenticated = *
# Запрещаем письма содержащие в
локальной части
# символы @; %; !; /; |. Учтите, если у вас было
# `percent_hack_domains` то % надо убрать.
# Проверяются локальные домены
deny message = "Недопустимые символы в
адресе"
domains = +local_domains
local_parts = ^[.] : ^.*[@%!/|]
# Проверяем недопустимые символы для
# нелокальных получателей:
deny message = "Недопустимые символы в
адресе"
domains = !+local_domains
local_parts = ^[./|] : ^.*[@%!] : ^.*/\\.\\./
# Принимаем почту для постмастеров
локальных доменов без
# проверки отправителя (я
закомментировал, т.к. это -
# основной источник спама с мой ящик).
# accept local_parts = postmaster
# domains = +local_domains
# Запрещщаем, если невозможно проверить
отправителя
# (отсутствует в списке локальных
пользователей)
# У себя я это закоментил, по причине, что
некоторые
# железяки (принтеры, & etc) и программы
(Касперский, DrWEB)
# умеют слать почту, в случае проблем но
не умеют ставить
# нужного отправителя. Такие письма эта
проверка не пускает.
# require verify = sender
# Запрещщаем тех, кто не обменивается
приветственными
# сообщениями (HELO/EHLO)
deny message = "HELO/EHLO обязано быть по SMTP RFC"
condition = ${if eq{$sender_helo_name}{}{yes}{no}}
# Принимаем сообщения от тех, кто
аутентифицировался:
# Вообще, большинство конфигов в рунете -
это один и тот же
# конфиг написанный Ginger, в котором этот
пункт расположен
# внизу. Но при таком расположении
рубятся клиенты с adsl,
# ppp, и прочие зарезанные на последующих
проверках. Но это
# жа неправильно! Этом мои пользователи
из дома! Потому
# я это правило расположил до проверок.
accept authenticated = *
# Рубаем нах, тех, кто подставляет свой IP в
HELO
deny message = "Не надо пихать свой IP в
качестве HELO!"
hosts = *:!+relay_from_hosts
condition = ${if eq{$sender_helo_name}\
{$sender_host_address}{true}{false}}
# Рубаем тех, кто в HELO пихает мой IP (2500 за
месяц!)
deny condition = ${if eq{$sender_helo_name}\
{$interface_address}{yes}{no}}
hosts = !127.0.0.1 : !localhost : *
message = "Это мой IP-адрес! Пшёл
прочь!"
# Рубаем тех, кто в HELO пихает только цифры
# (не бывает хостов ТОЛЬКО из цифр)
deny condition = ${if match{$sender_helo_name}\
{\N^\d+$\N}{yes}{no}}
hosts = !127.0.0.1:!localhost:*
message = "В HELO не могут быть тока
цифры!"
# Рубаем хосты типа *adsl*; *dialup*; *pool*;....
# Нормальные люди с таких не пишут. Если
будут
# проблемы - уберёте проблемный пункт (у
меня клиенты
# имеют запись типа asdl-1233.zone.su - я ADSL
убрал...)
deny message = "Не нравится мне Ваш хост..."
condition = ${if match{$sender_host_name} \
{adsl|dialup|pool|peer|dhcp} \
{yes}{no}}
# Рубаем тех, кто в блэк-листах. Серваки
перебираются
# сверху вниз, если не хост не найден на
первом, то
# запрашивается второй, и т.д. Если не
найден ни в одном
# из списка - то почта пропускается.
deny message = "host in blacklist - $dnslist_domain \n
$dnslist_text"
dnslists = proxies.blackholes.easynet.nl : \
cbl.abuseat.org : \
bl.spamcop.net : \
dyna.rbl.ukr.net : \
spamsrc.rbl.ukr.net : \
sbl-xbl.spamhaus.org : \
#deny message = "host in blacklist - $dnslist_domain \n
$dnslist_text"
# dnslists = opm.blitzed.org : \
# proxies.blackholes.easynet.nl : \
# cbl.abuseat.org : \
# bl.spamcop.net : \
# bl.csma.biz : \
# dynablock.njabl.org : \
# Задержка. (это такой метод борьбы со
спамом,
# основанный на принципе его рассылки)
На этом рубается
# почти весь спам. Единственно - метод
неприменим на
# реально загруженных MTA - т.к. в
результате ему
# приходится держать много открытых
соединений.
# но на офисе в сотню-две человек -
шикарный метод.
#
# более сложный вариант, смотрите в
статье по exim и
# курьер имап. Т.к. там метод боле умный
(просто правил
# больше :), то можно и на более
загруженные сервера ставить)
warn
# ставим дефолтовую задержку в 20
секунд
set acl_m0 = 20s
warn
# ставим задержку в 0 секунд своим
хостам и
# дружественным сетям (соседняя
контора :))
hosts = +relay_from_hosts : 213.234.195.226/28
set acl_m0 = 0s
warn
# пишем в логи задержку (если оно вам
надо)
logwrite = Delay $acl_m0 for $sender_host_name \
[$sender_host_address] with HELO=$sender_helo_name. Mail \
from $sender_address to $local_part@$domain.
delay = $acl_m0
# Проверка получателя в локальных
доменах.
# Если не проходит, то проверяется
следующий ACL,
# и если непрошёл и там - deny
accept domains = +local_domains
endpass
message = "В этом домене нет такого
пользователя"
verify = recipient
# Проверяем получателя в релейных
доменах
# Опять-таки если не проходит ->
следующий ACL,
# и если непрошёл и там - deny
accept domains = +relay_to_domains
endpass
message = "Мой сервер не знать
маршрут на этот хост..."
verify = recipient
# Разрешаем почту от доменов в списке
relay_from_hosts
accept hosts = +relay_from_hosts
# Если неподошло ни одно правило - чувак
явно ищет
# открытый релей. Пшёл прочь. :)
deny message = "Свободен. Это тебе не
ОпенРелей."
# Тут идут ACL проверяющие содержимое
(тело) письма.
# Без них будут пропускаться все
сообщения.
acl_check_data:
# Проверяем письмо на вирусы
#deny malware = *
#message = "In e-mail found VIRUS - $malware_name"
# Если есть необходимость - тут проверки
на спам
# Пропускаем остальное
accept
# чё делаем с почтой
begin routers
# Поиск маршрута к хосту в DNS. Если маршрут
не найден в DNS -
# то это `унроутабле аддресс`. Не
проверяются локальные
# домены, 0.0.0.0 и 127.0.0.0/8
#dnslookup:
# driver = dnslookup
# domains = ! +local_domains
# transport = remote_smtp
# ignore_target_hosts = 0.0.0.0 : 127.0.0.0/8
# no_more
send_to_smart_host:
driver = manualroute
route_list = !+local_domains mail.alkar.net
transport = remote_smtp
system_aliases:
driver = redirect
allow_fail
allow_defer
data = ${lookup mysql{SELECT `goto` FROM `alias` WHERE \
`address`='${quote_mysql:$local_part@$domain}' OR \
`address`='${quote_mysql:@$domain}'}}
userforward:
driver = redirect
allow_fail
allow_defer
data = ${lookup mysql{SELECT userfwd FROM exim.mailbox \
WHERE (username='${quote_mysql:$local_part@$domain}' AND
domain='${domain}')}}
unseen
mysqluser:
driver = accept
condition = ${if eq{}{${lookup mysql{SELECT `maildir` FROM `mailbox` \
WHERE
`username`='${quote_mysql:$local_part@$domain}'}}}{no}{yes}}
transport = mysql_delivery
# начинаются транспорты - как доставляем
почту
begin transports
# Доставка на удалённые хосты - по SMTP
remote_smtp:
driver = smtp
mysql_delivery:
driver = appendfile
check_string = ""
create_directory
delivery_date_add
directory = ${lookup mysql{SELECT CONCAT('/var/mail/exim/', `maildir`)
\
FROM `mailbox` WHERE `username`='${local_part}@${domain}'}}
directory_mode = 770
envelope_to_add
group = mail
maildir_format
maildir_tag = ,S=$message_size
message_prefix = ""
message_suffix = ""
mode = 0600
address_file:
driver = appendfile
delivery_date_add
envelope_to_add
return_path_add
# Имя программы
address_pipe:
driver = pipe
return_output
# Транспорт для автоответов
address_reply:
driver = autoreply
# Начинаются повторы недоставленных
писем.
begin retry
# Этот кусок я не трогал. Думаю
разработчики лучше знают,
# какие тут должны быть цифирьки. Если же
вы это знаете
# лучше их - меняйте. Хотя... А какого, если
Вы такой
# умный, читаете этот мануал? Может ну, их,
цифирьки, а? :)
# Address or Domain Error Retries
# ----------------- ----- -------
* * F,2h,15m; G,16h,1h,1.5; F,4d,6h
# преобразование адресов. У меня такого
нету.
begin rewrite
# Секция авторизации при отправке писем.
Ввиду того,
# что почтовых клиентов много, и все всё
делают
# по-своему, то и механизмов авторизации
три...
begin authenticators
# А вот по какому методу авторизуется
оутглюк - я уже и
# не помню... Хотя в своё время долго
ковырялся,
# пока настроил... Толь plain, толь login...
auth_plain:
driver = plaintext
public_name = PLAIN
server_condition = ${lookup mysql{SELECT `username` FROM \
`mailbox` WHERE `username` = \
'${quote_mysql:$1}' AND `password` = \
'${quote_mysql:$2}'}{yes}{no}}
server_prompts = :
server_set_id = $2
# Вроде по этому оутглюк, а по предыдущему
нетскейп.
auth_login:
driver = plaintext
public_name = LOGIN
server_condition = ${lookup mysql{SELECT `username` FROM \
`mailbox` WHERE `username` = \
'${quote_mysql:$1}' AND `password` = \
'${quote_mysql:$2}'}{yes}{no}}
server_prompts = Username:: : Password::
server_set_id = $1
# А так авторизуется "Летучая Мышь" - TheBat!
auth_cram_md5:
driver = cram_md5
public_name = CRAM-MD5
server_secret = ${lookup mysql{SELECT `password` FROM \
`mailbox` WHERE `username` \
= '${quote_mysql:$1}'}{$value}fail}
server_set_id = $1
Вариант для распечатки
OpenNET: Виртуальная конференция (Public)
(??) on 11-Авг-09, 20:28 
