The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Почтовая система среднего офиса на базе Postfix и FreeBSD

24.10.2007 16:39

Подготовлена статья о создании почтовой системы для среднего офиса (до 50-100 клиентов) с надежной защитой от вирусов и СПАМа, а также c возможностью безопасного использования из-за пределов корпоративной сети.

  1. Главная ссылка к новости (http://www.sergeysl.ru/freebsd...)
  2. OpenNews: Настройка OpenVPN с шифрованием трафика средствами OpenSSL (X.509 сертификаты)
Лицензия: CC-BY
Тип: яз. русский / Практикум
Короткая ссылка: https://opennet.ru/12521-postfix
Ключевые слова: postfix, mail, spam, virus
Поддержать дальнейшую публикацию новостей на OpenNET.


Обсуждение (146) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, SubGun (ok), 17:24, 24/10/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Сто раз уже описывались и переописывались всякие привязки к почтовому серверу, ничего нового нет в статье.
     
     
  • 2.2, SergeySL (ok), 17:30, 24/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    Я просто попытался собрать все, чем пользуюсь, в одну статью без лишней философии, но с описанием возможных проблем.
     
     
  • 3.9, sash (??), 22:42, 24/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    Скажите, а почему данные spamassassin хранятся в mysql вместо db?

    Почему? Насколько это выгодней? Насколько быстрей?

     
     
  • 4.10, SergeySL (ok), 22:46, 24/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    >Скажите, а почему данные spamassassin хранятся в mysql вместо db?
    >Почему? Насколько это выгодней? Насколько быстрей?

    Изначально я побоялся, что SpamAssassin насоздает огромных таблиц + сервер MySQL уже был + мне кажется базы MySQL быстрее и удобнее в ослуживании. Никто не запрещает использовать bdb. Если MySQL отсутствует, то в небольших масштабах так будет даже разумнее...


     
     
  • 5.53, Answer (?), 16:32, 25/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    bdb гараздо шестрее, но менее удобен чем mysql.
     

  • 1.3, Jelis (ok), 18:35, 24/10/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А почему именно 50-100? Помоемму это и 500-1000 прекрасно потянет, и 5000.
     
     
  • 2.4, SergeySL (ok), 18:42, 24/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    >А почему именно 50-100? Помоемму это и 500-1000 прекрасно потянет, и 5000.

    Я думаю, если больше 50-100, то списки юзеров нужно хранить в MySQL и админить их не из командной строки. А насчет потянуть, скорее всего потянет.

     
     
  • 3.5, B.O.B.A.H. (??), 20:03, 24/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    почему не LDAP?
     
     
  • 4.6, SergeySL (ok), 20:08, 24/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    >почему не LDAP?

    Руки пока не доходили до таких объемов, когда он нужен.

     
  • 4.12, Jelis (ok), 22:58, 24/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    > почему не LDAP?

    А вот скажите зачем тут LDAP нужен? Если, допустим, у нас есть smtp и pop3/imap, и все они прекрасно могут самостоятельно работать с базой (одной и той же). Зачем в данной ситуации нужна еще одна прослойка в виде LDAP'a, который всё равно, к томуже, в конце-концов лезет в базу?

     
     
  • 5.14, Аноним (14), 01:03, 25/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    Пототму что в один прекрасный день Вы захочешь разнести Mail Gateway и pop/imap серверы и тут начнется .... :)
    Но для 50-100 аккаунтов Вы этого захочешь не скоро  - так что все верно автор ответил.
     
     
  • 6.48, ReWire (??), 15:02, 25/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    А если надо с AD завязать?
     
     
  • 7.57, SergeySL (ok), 16:53, 25/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    >А если надо с AD завязать?

    AD хороша в огромных сетях и требует больше персонала для человеческой настройки/поддержки. В небольших объемах я отдаю предпочтение доменам Windows NT.

     
  • 6.50, Jelis (ok), 15:52, 25/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    >Пототму что в один прекрасный день Вы захочешь разнести Mail Gateway и
    >pop/imap серверы и тут начнется .... :)
    >Но для 50-100 аккаунтов Вы этого захочешь не скоро  - так
    >что все верно автор ответил.

    Ни чего не начнёться. База точно так же может быть только на одном сервере (и даже специально выделенном) и коннектиться к ней по сети.

    > А если надо с AD завязать?

    В данном конкретном случае - не надо. Когда надо будет - тогда и прикрутим, зачем сразу лишнюю работу делать? ;-)

     
  • 3.138, leito (?), 07:57, 12/11/2007 [^] [^^] [^^^] [ответить]  
  • +/
    >>А почему именно 50-100? Помоемму это и 500-1000 прекрасно потянет, и 5000.
    >
    >Я думаю, если больше 50-100, то списки юзеров нужно хранить в MySQL
    >и админить их не из командной строки. А насчет потянуть, скорее
    >всего потянет.

    Нада сразу мутить базу пользователей в мускуле... все равно потом переделывать

     
     
  • 4.139, SergeySL (ok), 10:45, 12/11/2007 [^] [^^] [^^^] [ответить]  
  • +/
    >>>А почему именно 50-100? Помоемму это и 500-1000 прекрасно потянет, и 5000.
    >>
    >>Я думаю, если больше 50-100, то списки юзеров нужно хранить в MySQL
    >>и админить их не из командной строки. А насчет потянуть, скорее
    >>всего потянет.
    >
    >Нада сразу мутить базу пользователей в мускуле... все равно потом переделывать

    У меня больше сотни юзеров не будет, поэтому надеюсь обойтись...

     

  • 1.7, Аноним (14), 21:44, 24/10/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Такие материалы нужны всегда! ) Их мало не бывает ) Кому нить понадобится обязательно.
     
  • 1.8, pan_john (?), 22:17, 24/10/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Статья нужнаю. Однако неплохо был бы давать хотя бы краткие расшифровки всех абревиатур (если уж статья действительно рассчитана на новечков)
     
     
  • 2.11, SergeySL (ok), 22:49, 24/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    >Статья нужнаю. Однако неплохо был бы давать хотя бы краткие расшифровки всех
    >абревиатур (если уж статья действительно рассчитана на новечков)

    Так и целой книгой не обойдешься. Нет ни времени, ни желания. + Яндекс, Гугл и т.д. и т.п. пока еще никто не отменял ;)

     

  • 1.13, Sampan (?), 23:50, 24/10/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    И он еще говорит про горе админов и криво нестроенные сереры! А сам чему учит:

    /\.dsl.*\..*\..*/i   REJECT Your message looks like SPAM
    /cable.*\..*\..*/i   REJECT Your message looks like SPAM

    Половина мелких фирм Европы сидит на dsl и cable. Как же я задолбался организовывать НОРМАЛЬНУЮ почту из Австрии и Бельгии в Росиию. И все из-за вот таких "мудрецов". Благо бы сам себе гемор создавал. Дык, учить начинающих лезет.

    Поубывал бы...

     
     
  • 2.15, ws (ok), 01:06, 25/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    Как раз спама больше всего идет от таких dsl и cable!
    Я считаю, что фильтрация по этому критерию правильная. Если серверу фирмы сидящей на dsl надо отсылать письмо, то пускай это делает через сервер своего провайдера или админ прописывает свой почтовый сервер в обратной зоне провайдера.
    Но принимать кучу спама, только ради неправильно настроеных серверов не есть верное решение.
     
     
  • 3.25, ЩекнИтрч (?), 09:16, 25/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    Соглашусь.
     
  • 2.16, demon (??), 01:07, 25/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    Требуйте у провайдера Fixed IP нормальную PTR запись в DNS-ах, или SMTP провайдера пользуйте если объемы не большие. Если вы это не способны организовать, то ваша почта никому не нужна.

    Тоже мне мудрецы австрийско-бельгийские.

     
  • 2.18, SergeySL (ok), 01:09, 25/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    gt оверквотинг удален Наша контора работает в основном с Россией, в которой ос... большой текст свёрнут, показать
     
     
  • 3.22, Sampan (?), 07:55, 25/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    >>Поубывал бы...
    >В последнее время много виртуальных убийц! В воскресенье по НТВ
    >показывали некоего power lord, который познакомился с девочкой через инет, а
    >потом ее убил. Вы не боитесь быть на него похожим!? ;)
    >

    А как у нас с чувством юмора? Я ведь специально написал "поубывал" через Ы из анекдота. Не помогает...

     
     
  • 4.54, SergeySL (ok), 16:33, 25/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    >>>Поубывал бы...
    >>В последнее время много виртуальных убийц! В воскресенье по НТВ
    >>показывали некоего power lord, который познакомился с девочкой через инет, а
    >>потом ее убил. Вы не боитесь быть на него похожим!? ;)
    >>
    >
    >А как у нас с чувством юмора? Я ведь специально написал "поубывал"
    >через Ы из анекдота. Не помогает...

    Нормально. На ночь глядя осталось буковки разглядывать.

     
  • 2.21, dt (??), 05:05, 25/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    А по мне, так лучше чтоб вы задолбались ОРГАНИЗОВЫВАТЬ, чем бы мы задолбались принимать по ~30.000 smtp соединений в день от спаменов.
    Дело не в том на чем сидит фирма, а в том как настроена для неё DNS.
    Так что убей себя ;), привет...
     
     
  • 3.23, Sampan (?), 08:05, 25/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    >А по мне, так лучше чтоб вы задолбались ОРГАНИЗОВЫВАТЬ, чем бы мы
    >задолбались принимать по ~30.000 smtp соединений в день от спаменов.

    Вот в этом и есть основная проблема! Админы берутся решать, что важно, а что нет для бизнеса фирмы. И в статье то-же: "Я предлагаю достаточно жесткую политику защиты от вирусов и СПАМа, которая не исключает потерю некоторых валидных сообщений". Вы попробуйте это сказать хозяину бизнеса. Угадайте с трех раз, как он ответит? На моей практике в 100% случаев бизнесмен выбирает: "пусть пройдет лишних 100 спам писем, но не заблокируется ни одного валидного". И он прав!

     
     
  • 4.24, sh (??), 09:15, 25/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    Угу. Только когда тому же бизнесмену доступно объясняешь, что разговор идёт не о ста и даже не о тысяче писем, тут уже позиция довольно часто меняется.
    И вообще, все ситуации разные. В случае, когда у организации переписка гарантированно происходит только с российскими корреспондентами, то можно смело закрывать всю Корею-Японию-Китай-Тайвань-кто там ещё особо отличившийся...
     
  • 4.26, dt (??), 09:19, 25/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    >Админы берутся решать, что важно, а что нет для бизнеса фирмы

    Здрассьте... Нас обязали принимать решения, и деньги за это платят. Да, решения компромиссные, а иначе и не бывает.
    >"пусть пройдет лишних 100 спам писем, но не заблокируется ни одного валидного"

    Ну, абсолютной истины не бывает, и бизнес бизнесу - рознь.
    Предположим, сессия блокируется с указанием причины и указанием адреса для апелляций.
    А, к примеру, адресное пространство деловой переписки 500 пользователей почтовой системы некоего предприятия, занимающегося материально-товарным производством, можно описать файлом в 25-50 строк. Проверено. А вы говорите 100 писем прочитать, чтоб найти нужное.

     
  • 4.33, Zerot (?), 10:17, 25/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    крупный банк в топах по россии с присутствием в половине регионов - за самодеяте... большой текст свёрнут, показать
     
     
  • 5.36, Open Open (?), 11:49, 25/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    gt оверквотинг удален Всем добрый день Я не поленился и сходил на сайт ИТ сп... большой текст свёрнут, показать
     
     
  • 6.37, Open Open (?), 12:08, 25/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    P.S.: Забыл :Р, извиняюсь - пользователя в процессе ClamAV лучше сделать таким же как пользователь Amavis - при обнослении баз и рестарте, базам будем "проще" прочитаться с диска :), ну конечно если Вы не хотите, чтобы их читали все :). И сортировать процессы по пользователям легче.
     
  • 6.39, uldus (ok), 12:15, 25/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    >"переиндексируются" при обучении. Процессов на Amavis'е можно увеличить до 50 (или
    >как кому), потому что, если они исчерпаются, то письма пойдут в
    >отказ, а это не дело.

    Процессы amavis'а не исчерпаются никогда, будь их хоть 2 :-) Число потоков устанавливается в настройках postfix и больше чем там написано он лить не будет, сообщения просто будут ждать в очереди. Более того, много процессов amavis даже вредно, они только мешать друг другу будут конкурируя за IO и CPU. Пусть лучше несколько писем будут проверены максимально быстро, чем много - но на проверку каждого уйдет больше времени.

     
     
  • 7.41, Open Open (?), 12:53, 25/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    gt оверквотинг удален Отказ в данном случае надо понимать как постановка в оче... большой текст свёрнут, показать
     
     
  • 8.42, uldus (ok), 13:54, 25/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    Ok, не верите на слово, проведите тест, попробуйте создать исскуственный флуд в ... текст свёрнут, показать
     
     
  • 9.47, Open Open (?), 14:58, 25/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    Удачи Вам в искусственном флуде - очень интересно, этим и надо заниматься - нагр... текст свёрнут, показать
     
     
  • 10.81, uldus (ok), 20:35, 25/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    А чем вам Perl не угодил На нем например балансер livejournal com написан Са... текст свёрнут, показать
     
  • 6.88, mcTNT (ok), 00:24, 26/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    В документации к Amavis-new ясно сказано:

    "Going beyond 10 usually brings no more improvements in overall system
    throughput, it just wastes memory."

     
  • 6.106, zerot (?), 22:46, 26/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    спасибо за то, что не поленились сходить и прочитать статью - уже во времена ее ... большой текст свёрнут, показать
     
     
  • 7.109, zerot (?), 23:07, 26/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    ну е еще там, конечно, проверка существования отправителя - благо в Exim она реа... большой текст свёрнут, показать
     
     
  • 8.113, zerot (?), 23:57, 26/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    ну и чтобы завершить тему - не нравится мне манера некоторых редисок плеваться в... большой текст свёрнут, показать
     
  • 5.58, SergeySL (ok), 16:57, 25/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    >крупный банк в топах по россии с присутствием в половине регионов
    >- за самодеятельность типа резать .dsl, японские зоны и т.п. не в
    >меру ретивый админ был уволен, и это правильно, ибо нефиг.
    >- и таки внедрил же я потом свои решения, которые резали больше
    >существенно - без серьёзного риска потери важных писем со всего мира

    Я думаю в крупном банке меньше экономят на железе, софте и ЗП админов ;)

     
  • 4.55, SergeySL (ok), 16:37, 25/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    Хозяин в курсе Он прекрасно понимает, что менеджеры не должны отвлекаться на ра... большой текст свёрнут, показать
     
  • 3.27, uldus (ok), 09:26, 25/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    >А по мне, так лучше чтоб вы задолбались ОРГАНИЗОВЫВАТЬ, чем бы мы
    >задолбались принимать по ~30.000 smtp соединений в день от спаменов.

    Эх... везет же некоторым, у нас 30 тыс. соединений от спамеров в среднем за каждые 10-15 минут :-( В день 3-4 миллиона.

     
     
  • 4.28, dt (??), 09:32, 25/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    :)
    Ну так вы в этом вопросе можете быть законодателями мод: что станете делать - то и другие подхватят...
    А то, есть уже предложения читать всё подряд :) )
     
  • 4.43, Geronimo (?), 14:13, 25/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    Если у вас такое количество спама то стоит присмотреться к хорошим готовым решениям, например www.ironport.com
     
     
  • 5.44, uldus (ok), 14:28, 25/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    >Если у вас такое количество спама то стоит присмотреться к хорошим готовым
    >решениям, например www.ironport.com

    Как показывает практика, зарубежные решения очень плохо фильтруют русскоязычный спам.
    Лучше всего фильтрует Спамоборона и продукт Касперского, главным образом за счет того, что у них хорошая база для набора статистики (yandex.ru и mail.ru).

    PS. Кто-нибудь экспериментировал на предмет заведения штук 10 фейковых доменов используемых как бочки с медем для формирования базы затрояненных IP ? Насколько это эффективно ?

     
     
  • 6.97, dawnshade (?), 10:20, 26/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    >PS. Кто-нибудь экспериментировал на предмет заведения штук 10 фейковых доменов используемых как
    >бочки с медем для формирования базы затрояненных IP ? Насколько это
    >эффективно ?

    реджектить по этим спискам потом нельзя, бо там содержатся все крупные релеи. уже пробовали, максимум накинуть счет в любой из AS систем.

     
     
  • 7.98, uldus (ok), 10:39, 26/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    >>PS. Кто-нибудь экспериментировал на предмет заведения штук 10 фейковых доменов используемых как
    >>бочки с медем для формирования базы затрояненных IP ? Насколько это
    >>эффективно ?
    >
    >реджектить по этим спискам потом нельзя, бо там содержатся все крупные релеи.
    >уже пробовали, максимум накинуть счет в любой из AS систем.

    Точно, я из виду упустил, что современные трояны вполне успешно через меcтный релей научились рассылать.

     
  • 6.107, zerot (?), 22:53, 26/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    в продолжение моих писаний - когда разрабатывали свою схему, я тестировал работу... большой текст свёрнут, показать
     
     
  • 7.108, zerot (?), 22:55, 26/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    убей бог не помню какую - больше 2 лет назад было. Но вычислена она была по отражаемому SA в журнале весу каждого правила
     
  • 7.110, uldus (ok), 23:23, 26/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    А по количеству нормальных писем помеченных как спам Думаю, что при таком пере... большой текст свёрнут, показать
     
     
  • 8.111, zerot (?), 23:45, 26/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    я, в общем то не считаю себя суперпрофессионалом - теоретиком Скорее просто пра... текст свёрнут, показать
     
     
  • 9.112, zerot (?), 23:48, 26/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    да, отфильтрованных ошибочно при таком высоком пороге SA практически не было Мо... текст свёрнут, показать
     
  • 7.135, Timka (??), 21:27, 07/11/2007 [^] [^^] [^^^] [ответить]  
  • +/
    >в продолжение моих писаний - когда разрабатывали свою схему, я тестировал работу
    >каспера и SpamAssassin. После тренировки SA десятком тысяч писем нарытого спама
    >он делал каспера в два раза ко количеству пойманного спама. При
    >этом каспер получал ежедневные обновления баз от разработчика. Единственно я в
    >правилах SA убирал некую опцию про .ru

    Странные вещи вы пишете. Конкретный пример за прошедшие сутки: 2.5 млн сообщений (~26Г)пропущены через KAS. Из них спам - 93% или ~2.25 млн сообщений. Куда тут увеличивать в два раза? Хотите сказать, что при помощи SA довели процент фильтрации спама до 98% и при этом нет ложных срабатываний? Не верю.

     
     
  • 8.136, zerot (??), 23:26, 07/11/2007 [^] [^^] [^^^] [ответить]  
  • +/
    меня эта тема реально утомила - все что хотел, я уже сказал - опираясь на свой п... большой текст свёрнут, показать
     
     
  • 9.137, Timka (??), 19:00, 08/11/2007 [^] [^^] [^^^] [ответить]  
  • +/
    Даже два года назад тогда КАС еще не было, кстати, был spamtest и совсем не от... большой текст свёрнут, показать
     
     
  • 10.140, Zerot (?), 11:11, 12/11/2007 [^] [^^] [^^^] [ответить]  
  • +/
    как то не отпускает эта тема что я могу сказать - есть практический опыт оп... большой текст свёрнут, показать
     
     
  • 11.141, Timka (??), 11:56, 12/11/2007 [^] [^^] [^^^] [ответить]  
  • +/
    можно ставить любые другие фильтры, если не интересует процент ложных срабатыв... большой текст свёрнут, показать
     
     
  • 12.142, Oles (?), 15:22, 12/11/2007 [^] [^^] [^^^] [ответить]  
  • +/
    Или ты автор ПО которое делает анализ Или спам рассылаешь Или продаёшь Зачем ... большой текст свёрнут, показать
     
     
  • 13.143, Timka (??), 22:02, 12/11/2007 [^] [^^] [^^^] [ответить]  
  • +/
    из моих сообщений выше можно понять, кто я уверенность - это хорошо а я вот ув... большой текст свёрнут, показать
     
     
  • 14.144, zerot (??), 11:30, 13/11/2007 [^] [^^] [^^^] [ответить]  
  • +/
    как то не внушают ваши миллионы в сутки, очень часто вы это повторяете пальц... большой текст свёрнут, показать
     
  • 12.145, zerot (??), 11:42, 13/11/2007 [^] [^^] [^^^] [ответить]  
  • +/
    делаю вывод, что вы не инженер В смысле не специалист Вы обратили внимание, чт... текст свёрнут, показать
     
     
  • 13.146, Krivoy (ok), 11:46, 13/11/2007 [^] [^^] [^^^] [ответить]  
  • +/
    Аааа граждане Как отписатся от этой болтовни Ааааааааа ... текст свёрнут, показать
     
  • 13.147, Timka (??), 19:36, 13/11/2007 [^] [^^] [^^^] [ответить]  
  • +/
    пойду утоплюсь но вы, уважаемый, когда в следующий раз будете перечитывать на... текст свёрнут, показать
     
  • 5.62, Аноним (14), 17:33, 25/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    ironport - вообщето говнецо :)
    Если уж захотелось апплаянцес - то лучший (но - подороже) тут: www.borderware.com
     
  • 2.30, Zlobec (?), 09:53, 25/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    А вообще я согласен, фильтровать надо по контенту, а не по месторасположению, адресам и прочей фигне.

    Вот расскажите как в случае с несколькими филиалами настраивать исходящие релеи в офисах если половина умников только от МХ принимают почту? - Релеить все письма из Владивостока в Москву и потом обратно?

     
     
  • 3.32, dt (??), 10:08, 25/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    Согласен, сколько людей столько мнений, и у каждого свои причины..

    >Вот расскажите как в случае с несколькими филиалами настраивать исходящие релеи в офисах если половина умников только от МХ принимают почту? - Релеить все письма из Владивостока в Москву и потом обратно?

    Из этого, я сделал вывод, что вы не очень прониклись вопросом...
    Отправлять можете с любого IP, но с начала будьте добры, зарегестрируйте для него A и PTR в DNS или попросите это сделать своих провайдера и хостмастера.

     
     
  • 4.80, михрютка (?), 19:45, 25/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    :) в некоторых случаях <кхе-кхе гоблинтелеком> оказывается таки проще релеить "из владивостока в москву" благо трафик, уходящий на почту, обычно стоит дешевле нервов, потраченных на уговаривание менеджера и донесение вопроса до админов.
     
  • 3.35, anonymouse (?), 10:52, 25/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    > А вообще я согласен, фильтровать надо по контенту, а не по месторасположению, адресам и прочей фигне.
    >
    > Вот расскажите как в случае с несколькими филиалами настраивать исходящие релеи в офисах если половина умников только от МХ принимают почту? - Релеить все письма из Владивостока в Москву и потом обратно?

    По контенту фильтровать нужно то, что не отсеялось по прочим признакам. Так нагрузка на почтовый сервер значительно ниже будет.

    А НЕСКОЛЬКО филиалов можно в прописать в access-лист, как уже упоминал автор.

     
     
  • 4.46, Geronimo (?), 14:37, 25/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    Фильтровать следует сначала по статистике (всякие внешние базы отправителей, днс блеклист и т.п, только потом по контенту). В хороших готовых системах есть глобальная фильтрация по контенту, и отдельные фильтры по адресату, плюс черные и белые списки конечного пользователя. Все в чем сомневаешся (серое) - в карантин, который конечный пользователь может обслуживать.
     
  • 3.52, Дмитрий Ю. Карпов (?), 16:22, 25/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    Фильтрация по контенту требует слишком много процессороной мощности; поэтому на первый рубеж обороны выставляются запреты доступа и GreyListing. Главное, чего не должен допускать антиспам - это тихъого уничтожения писем, когда ни отправитель, ни получатель не знают, что письмо было уничтожено; причём запреты на уровне SMTP-сессии (в т.ч. по "dsl" в DNS-имени хоста) оповещают отправителя, а вот фильтрация по контенту этого обычно не делает.

    Что же касается филиалов, то их можно прописывать в DNS как MX - например, минский филиал суперпупербанка должен иметь имя minsk.superpuperbank.ru, а их Relay д.б. и MX для жтого адреса.

     
     
  • 4.78, ilia kuliev (?), 19:22, 25/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    Дмитрий, я уже не в первый раз вынужден вам сообщить, что вы безграмотный и само... большой текст свёрнут, показать
     
  • 3.66, Аноним (14), 17:44, 25/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    Да вы сэр с дуба рухнули!?!?!

    Почта м\у филиалами - есть внутренняя - она из сети в нешифрованном виде вообще выходить не должна!!! Россияне вы чего?!

    М\у филиалами - VPN! Значит и днс сервер свой, прописывай чего надо, а вот наружу - через строго определенный список smtp-gateways, которые прописаны как положено в инете.

     
     
  • 4.67, SergeySL (ok), 17:57, 25/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    >Да вы сэр с дуба рухнули!?!?!
    >
    >Почта м\у филиалами - есть внутренняя - она из сети в нешифрованном
    >виде вообще выходить не должна!!! Россияне вы чего?!

    Она в нешифрованном и не выходит. 465й порт. SMTP over TLS ;)

     
  • 3.91, Гость (?), 08:58, 26/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    Хм Наблюдаем почту с филиалов супербанка ру отсутствующих среди МХ-ов его зон... большой текст свёрнут, показать
     
  • 3.103, northbear (??), 18:39, 26/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    >А вообще я согласен, фильтровать надо по контенту, а не по месторасположению,
    >адресам и прочей фигне.
    >
    >Вот расскажите как в случае с несколькими филиалами настраивать исходящие релеи в
    >офисах если половина умников только от МХ принимают почту? - Релеить
    >все письма из Владивостока в Москву и потом обратно?

    Развести почту филиалов на поддомены... И MX на них расписать соответственно.
    Если не хочешь чтобы на филиалы слали почту, постав пару резервных почтовых серверов
    и задери приоритет MX филиалов под потолок.  

     
  • 2.51, FSA (??), 16:17, 25/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    Всё правильно автор делает. Наш почтовый сервер должен принимать соединения либо от своих пользователей, либо от других серверов. Соединения с .dsl. .cable. - это соединения от клиентских машин, а не серверов. А если вы не можете правильно прописать свой сервер в интернете, то пользуйтесь услугами своего провайдера (кстати, он и должен вам помочь с настройкой PTR).
    Принимать тысячи писем спама из-за кривых 2-3 серверов глупо. Назвался сервером, будьте добры соблюдать правила игры, которые продиктованы сложившейся ситуацией со спамом.
     
  • 2.56, Sergey (??), 16:47, 25/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    А кто мешает этим мелким фирмочкам грамотно настроить свои почтовые сервера? Чтобы их МХ не разрешался во всякую лабуду *.dsl.*, *.cable.*? Если сами не могут, пусть попросят кого, или вообще заведут себе ящики в гугле.
     
  • 2.114, don_oles (??), 09:39, 27/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    >Половина мелких фирм Европы сидит на dsl и cable.

    Тебе нужны - ты и работай с ними. А обычному человеку они и нафиг не нужны. Тем более с такими именами. Фирма, блин. Поставить сервак они значит умеют, на динамический адрес наверно даже, а на постоянный адрес с правильным резолвом у них значит ума и денег не хватает.

     

     ....большая нить свёрнута, показать (61)

  • 1.19, SergeySL (ok), 01:15, 25/10/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Еще один момент вдогонку. Попробуйте отправить письмо хотя бы на один серьезный завод или комбинат России, если в имени Вашего сервера присутствует cable, dsl и т.п. ;)
     
  • 1.31, Аноним (14), 10:02, 25/10/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А вообще для 50 человек проще у Гугля почту взять
     
     
  • 2.59, SergeySL (ok), 17:01, 25/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    >А вообще для 50 человек проще у Гугля почту взять

    Несолидно :)))))

     

  • 1.34, Chrome (?), 10:25, 25/10/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Самый простой способ защиты - делать реверс лукап, когда приходит соединение и указывается адрес, с которого отправляют, сервер соединяется с MX для данного сервера и пробивает наличие мыла, с которого пытаются послать почту, делая это от root@domain. При этом на своем сервере вы разрешаете посылать почту вам с ящиков типа root@domain. По такому принципу на начальном этапе соединения отсеивается около 60% спамеров. А если у вас рассылки, то все нормальные рассылки делаются с обратным адресом, который существует.
     
     
  • 2.93, Zlobec (?), 09:30, 26/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    Опять же почему просто всю почту не от маркировать на спам и то что спам отдельно в папочку положить...
     

  • 1.38, от системщика (?), 12:14, 25/10/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    на заметку, в данном случае можно увеичить виртуальное пространство ядра( как известно оно на 32 разрядных 1 Gb, можно повысить до 2Gb,  3Gb отданы под процес пользователя) что даст преимущество для сетевых протоколов(как известно,
    стек находиться в ядре)
    С уважением!
     
     
  • 2.40, uldus (ok), 12:24, 25/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    >на заметку, в данном случае можно увеичить виртуальное пространство ядра( как известно
    >оно на 32 разрядных 1 Gb, можно повысить до 2Gb,  
    >3Gb отданы под процес пользователя) что даст преимущество для сетевых протоколов(как
    >известно,

    От увеличения _только_ виртуального пространства ядра толку ровно ноль.

    И вообще, для почтового сервера не нужно тюнить лишнее, это больше повредит, чем поможет. Дефолтовые настройки (320Мб доступно для буферов ядра) вполне адекватны, и чтобы дойти до их потолка нужна гигантская нагрузка.

     

  • 1.49, gab (??), 15:30, 25/10/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Автору, спасибо. У меня работала точно такая же система только без SA, руки не доходили привязать. Привязал, запустилось, работает.
     
  • 1.61, ingoa (??), 17:30, 25/10/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А как постфикс запускается?
    или очепятка?

    /quota
    >Для того, чтобы Postfix запускался при загрузке операционной системы, необходимо выполнить >требование команды make install  - добавить в файл /etc/rc.conf следующие строки:
    >
    >sendmail_enable="YES"
    >sendmail_flags="-bd"
    >sendmail_pidfile="/var/spool/postfix/pid/master.pid"
    >sendmail_procname="/usr/local/libexec/postfix/master"
    >sendmail_outbound_enable="NO"
    >sendmail_submit_enable="NO"
    >sendmail_msp_queue_enable="NO"

    /quota

     
     
  • 2.64, SergeySL (ok), 17:36, 25/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    >А как постфикс запускается?
    >или очепятка?

    Нормально запускается. Он заменяет sendmail, установленный по умолчанию. Я об этом сказал.

     
     
  • 3.68, ingoa (??), 18:00, 25/10/2007 [^] [^^] [^^^] [ответить]  
  • +/

    >Нормально запускается. Он заменяет sendmail, установленный по умолчанию. Я об этом сказал.
    >

    даже
    postfix_enable="YES"
    не надо писать в rc.conf?

     
     
  • 4.69, SergeySL (ok), 18:02, 25/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    >
    >>Нормально запускается. Он заменяет sendmail, установленный по умолчанию. Я об этом сказал.
    >>
    >
    >даже
    >postfix_enable="YES"
    >не надо писать в rc.conf?

    НЕТ!!! Ставить нужно из портов и все будет ок ;)

     
     
  • 5.74, ingoa (??), 18:09, 25/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    mail# pkg_info -v postfix-2.4.6,1 | less
    ....
    Install notice:
    To enable postfix startup script please add postfix_enable="YES" in
    your rc.conf

    If you not need sendmail anymore, please add in your rc.conf:

    sendmail_enable="NO"
    sendmail_submit_enable="NO"
    sendmail_outbound_enable="NO"
    sendmail_msp_queue_enable="NO"
    ....
    Мне не понятно, как у Вас стартует postfix?

    >>даже
    >>postfix_enable="YES"
    >>не надо писать в rc.conf?
    >
    >НЕТ!!! Ставить нужно из портов и все будет ок ;)

     
  • 3.70, Осторожный (?), 18:03, 25/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    > Нормально запускается. Он заменяет sendmail, установленный по умолчанию. Я об этом сказал.

    postfix из портов давно ставил ?

    Сейчас все делается так:

    В /etc/rc.conf добавить строки:

    sendmail_enable="NO"
    sendmail_submit_enable="NO"
    sendmail_outbound_enable="NO"
    sendmail_msp_queue_enable="NO"
    postfix_enable="YES"

     
     
  • 4.72, SergeySL (ok), 18:06, 25/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    >[оверквотинг удален]
    >
    >Сейчас все делается так:
    >
    >В /etc/rc.conf добавить строки:
    >
    >sendmail_enable="NO"
    >sendmail_submit_enable="NO"
    >sendmail_outbound_enable="NO"
    >sendmail_msp_queue_enable="NO"
    >postfix_enable="YES"

    Давно. Я написал - последняя версия порта для FreeBSD 4.10
    pkg_info | grep postfix
    postfix-2.3.7,1     A secure alternative to widely-used Sendmail

     

  • 1.63, ingoa (??), 17:35, 25/10/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Зачем так?
    Можно просто собрать без опций:

    make -DWITHOUT_OTP=YES -DWITHOUT_NTLM=YES -DWITHOUT_GSSAPI=YES

    /qouta
    >Все лишние (в смысле не используемые нами) возможности Cyrus-SASL2 нужно отключить:
    >cd /usr/local/lib/sasl2
    >mkdir deactivated
    >mv *anonymous* deactivated
    >mv *crammd5* deactivated

    ....
    /skip

     
     
  • 2.65, SergeySL (ok), 17:37, 25/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    >[оверквотинг удален]
    >
    >/qouta
    >>Все лишние (в смысле не используемые нами) возможности Cyrus-SASL2 нужно отключить:
    >>cd /usr/local/lib/sasl2
    >>mkdir deactivated
    >>mv *anonymous* deactivated
    >>mv *crammd5* deactivated
    >
    >....
    >/skip

    Я как дяденька велел в статье + вдруг понадобятся когда-нибудь?
    Тем более много места они не занимают...

     

  • 1.71, ingoa (??), 18:05, 25/10/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А в описании сети не ошибка?
    Может 192.168.0.0/24 ?

    >mydestination = $mydomain
    >my_networks = 127.0.0.1/8, 192.168.0.1/24

     
     
  • 2.73, SergeySL (ok), 18:08, 25/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    >А в описании сети не ошибка?
    >Может 192.168.0.0/24 ?
    >
    >>mydestination = $mydomain
    >>my_networks = 127.0.0.1/8, 192.168.0.1/24

    Именно 192.168.0.0/24.
    Ошибка! Спасибо. Исправил.

     
     
  • 3.75, ingoa (??), 18:11, 25/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    да и к этому
    127.0.0.0/8 то же

     
     
  • 4.76, SergeySL (ok), 18:28, 25/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    >да и к этому
    >127.0.0.0/8 то же

    И это исправил

     
  • 2.82, GateKeeper (ok), 21:01, 25/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    Даже 127.23.4.2/8 - не ошибка, равно как и 192.168.1.253/24. Это, если подумать над тем, что означает число, стоящее после слэша.

    PS: Кто вам сказал, что "адрес сети == первый адрес в диапазоне"?

     
     
  • 3.83, SergeySL (ok), 21:14, 25/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    >Даже 127.23.4.2/8 - не ошибка, равно как и 192.168.1.253/24. Это, если подумать
    >над тем, что означает число, стоящее после слэша.
    >
    >PS: Кто вам сказал, что "адрес сети == первый адрес в диапазоне"?
    >

    Да просто, чтобы все культурно :)

     
  • 3.94, ingoa (??), 09:37, 26/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    Потому что 192.168.0.0/24 это подсеть
    192.168.0.1/24 это конкретный IP в этой подсети
    192.168.0.1/32 это просто IP без привязки к какой-бы то ни было сети

     
  • 3.95, ingoa (??), 09:43, 26/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    >PS: Кто вам сказал, что "адрес сети == первый адрес в диапазоне"?

    если Вы напишете 192.168.0.1/8
    то ваша подсеть определится как 192.0.0.0/8
    А это не всегда то, что вы хотите получить. К примеру, маршрутизация работать не будет


     
     
  • 4.118, GateKeeper (ok), 15:04, 27/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    Если я напишу даже 192.168.200.4/8, то, "/8" как раз и означает маску, определяющую диапазон 192.0.0.0-192.255.255.255. Таким образом, я получу именно то, что написал (а в моём случае - и то, что хотел, ибо прекрасно понимаю, что означает то, что написал). Из _любого_ адреса в диапазоне и битовой маски я всегда могу узнать диапазон. Таким образом, адрес подсети я могу задать _любым_ адресом из её диапазона и её маской.

    PS. Определение адреса подсети есть тут: http://www.island-formoza.ru/tech_bred/dictionary/s.htm#subadr

    PPS. Из этого определения не следует, что адрес подсети - это первый адрес из диапазона, описываемого ею.

     
     
  • 5.122, zerot (??), 20:24, 27/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    ну, работать то это может и будет, т.е. идентифицировать сеть любым адресом и маской вы сможете

    но по авторизованным курсам от Microsoft и Cisco есть соглашение, говорящее, что первый адрес в диапазоне - это адрес подсети, последний - это броадкаст, а второй - это шлюз (хотя последнее и не обязательно)

     
     
  • 6.124, GateKeeper (ok), 00:13, 28/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    В подсети может случиться такое: все до единого адреса из диапазона могут быть адресами хостов. Пример: диалап-сеть. С точки зрения внешних хостов это подсеть. Однако провайдер выдеяет адреса в этой подсети, начиная с первого и до последнего. И провайдер прав. И, что самое ужасное - это работает. А обозначить такую подсеть я могу, к примеру, выданным мне адресом и маской (если мне известна маска).

    А то, о чём Вы говорите - это "часто применяемая практика", не противоречащая RFC, но и не вносящая в RFC никаких корректив. Частный случай, в общем.

     
     
  • 7.132, zerot (??), 15:29, 28/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    неудачный пример
    грамотное решение для модемного пула - разбиение сети, допустим, класса C, на 64 куска, где
    1 адрес подсети
    2 адрес конца провайдера или же клиента
    3 соответственно адрес конца клиента или же провайдера
    4 броадкаст
    хотя реализовывать можно по разному. Насколько я помню, если тому же ifconfig указать не все параметры, он вычислит недостающие по описанному соглашению, а если посмотреть, допустим, netstat -nr, то сети тоже будут именоваться по описанному соглашению
    не в целом я согласен - работать всяко будет
     
     
  • 8.133, Krivoy (ok), 22:26, 28/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    LDAP нужен - оч мало толковых статей по нему для новичков У меня скромна... текст свёрнут, показать
     
  • 3.134, ans (??), 22:50, 31/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    >Даже 127.23.4.2/8 - не ошибка, равно как и 192.168.1.253/24. Это, если подумать
    >над тем, что означает число, стоящее после слэша.
    >
    >PS: Кто вам сказал, что "адрес сети == первый адрес в диапазоне"?
    >

    А разве нет ? :)

     

  • 1.77, неаноним (?), 19:02, 25/10/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Вот такие вот "резальщики" на mail.ru - где они увидели dial-up в моем PTR?
    static-64-83-xx-yy.t1.cavtel.net? (реальные цифры заменены на xx и yy)
     
     
  • 2.79, SergeySL (ok), 19:35, 25/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    >Вот такие вот "резальщики" на mail.ru - где они увидели dial-up в
    >моем PTR?
    >static-64-83-xx-yy.t1.cavtel.net? (реальные цифры заменены на xx и yy)

    Они увидели static

     
     
  • 3.84, cadmi (?), 23:08, 25/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    >>Вот такие вот "резальщики" на mail.ru - где они увидели dial-up в
    >>моем PTR?
    >>static-64-83-xx-yy.t1.cavtel.net? (реальные цифры заменены на xx и yy)
    >
    >Они увидели static

    к сожалению, они увидели "цифра-цифра". у меня была привычка обзывать "сервер-номер-номер.домен.тлд". все было хорошо, пока не понадобилось с одного почту порассылать... уродыбл... со своими регэкспами на цифры. причем ладно бы майл.ру, в городе вокруг клиенты - через одного такие вот борцуны со спамом.

     
     
  • 4.85, SergeySL (ok), 23:14, 25/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    >к сожалению, они увидели "цифра-цифра".

    static-цифра-цифра, хотя может и цифра-цифра.
    >у меня была привычка обзывать "сервер-номер-номер.домен.тлд".

    Не все привычки хороши. Почему не серверномер.домен.тлд, например?


     
     
  • 5.123, cadmi (?), 21:41, 27/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    >Не все привычки хороши. Почему не серверномер.домен.тлд, например?

    потому что есть разные площадки, разные шкафы и т.д. андерстенд?

     
     
  • 6.129, SergeySL (ok), 14:07, 28/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    >потому что есть разные площадки, разные шкафы и т.д. андерстенд?

    Конечно. И, естественно, лучше заложить местонахождение сервера в его имя. Только в том формате, который не доставляет ни кому проблем...

     
  • 2.92, dt (??), 09:29, 26/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    Ваш PTR сгенерирован хостмастером, вроде того:
    $GENERATE 1-255    $.x.y.z.in-addr.arpa.      PTR     static-$-x-y-z.domain.
    а не прописан его заботливыми ручками.
    Вот по этому признаку сгенерированности вы и получаете отлуп.
     

  • 1.86, Аноним (86), 00:10, 26/10/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    а чем грейлисты то плохи, досточтимые доны?
     
     
  • 2.87, Jelis (ok), 00:14, 26/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    >а чем грейлисты то плохи, досточтимые доны?

    Приемлеммо настроенные грейлисты (с приемлеммыми таймаутами) уже пропускают относительно много спама. К сожалению спамеры научились их обходить :-(

     

  • 1.89, anonymous (??), 00:53, 26/10/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Принимать от dsl, не примнимать от dsl. Вот где серым спискам место: принимать, но не сразу.
     
  • 1.90, апр (?), 05:09, 26/10/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Почему он не прикрутил вебморду?и вообще какого там стоит АМАВИС?ведь это перловка грузящая.что сам немог кламав примотать?или хотя б clamsmtpd.вообщем бред это все.ИМХО.
     
     
  • 2.96, SergeySL (ok), 09:51, 26/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    >Почему он не прикрутил вебморду?и вообще какого там стоит АМАВИС?ведь это перловка
    >грузящая.что сам немог кламав примотать?или хотя б clamsmtpd.вообщем бред это все.ИМХО.
    >

    Насчет вебморды - задача такая не ставилась. Перловка стоит для связи с ClamAV и SpamAssassin. Она может еще много чего. Например, хочу со временем Касперского прикрутить к почтовому серверу...

     

  • 1.99, Santa_Claus_rpm (?), 12:55, 26/10/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/

    Чтобы там не гундели, статья хорошая. Спасибо.

    Есть пара дополнений (не поправок), исходя из опыта:

    reject_non_fqdn_hostname - не использовать до permit_mynetworks (для MS Outlook)
    reject_invalid_hostname  - не использовать до permit_mynetworks (проблемы с windows 95)

    В статье permit_mynetworks исп-ся первой строкой, поэтому то что я написал будет актуально, если кто-то захочет "построить" внутренных юзеров и задвинет permit_mynetworks куда пониже.

     
  • 1.100, Santa_Claus_rpm (?), 13:03, 26/10/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Еще вспомнил.
    Для правил

    header_checks
    mime_header_checks

    после REJECT можно указать, например HC_RULE1, чтобы из логов потом можно было понять какое правило сработало. Типа, например:

    /^Content-(Type|Disposition):.*name[[:space:]]*=.*\.com/ REJECT HC_RULE_COM
    /^Content-(Type|Disposition):.*name[[:space:]]*=.*\.exe/ REJECT HC_RULE_EXE

     
     
  • 2.102, SergeySL (ok), 18:24, 26/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    >[оверквотинг удален]
    >Для правил
    >
    >header_checks
    >mime_header_checks
    >
    >после REJECT можно указать, например HC_RULE1, чтобы из логов потом можно было
    >понять какое правило сработало. Типа, например:
    >
    >/^Content-(Type|Disposition):.*name[[:space:]]*=.*\.com/ REJECT HC_RULE_COM
    >/^Content-(Type|Disposition):.*name[[:space:]]*=.*\.exe/ REJECT HC_RULE_EXE

    Мне обычно говорят, что почтовик выдал "... сontent rejected". А что я режу, помню. Обычно это экзешники и любимые песни в mp3/wma :) Тем не менее спасибо за информацию. Обязательно обновлю списки правил.

     

  • 1.115, don_oles (??), 09:58, 27/10/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Вот же блин народ, про "потребности бизнеса" думает. А что на улице творится или с другими - глубоко всё-равно. Вот потому и воняет на улице, потому что все думают про "свой" бизнес и ложили с прибором на других.

    А админа уволили - и хорошо. Зачем хорошему человеку работать в банке, тем более крупном? Сейчас более менее мальски уважающий себя человек в крупном банке работать не будет.

     
     
  • 2.116, zerot (?), 13:09, 27/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    все правильно вы говорите, я тоже прихожу к такому же выводу, что пора делать но... большой текст свёрнут, показать
     
     
  • 3.117, zerot (?), 13:26, 27/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    - еще хочу добавить, что в такой схеме тело письма для большей части спама не принимается в принципе - что здорово экономит вам траффик
    - тело письма принимается только если дошло до фазы антивирусной проверки
    - но есть и обратная сторона - при внедрении предлагаемой схемы количество ретрейнов (попыток подключиться и отправить письмо) увеличивается в 2-3 раза. К этому надо быть готовым. Но, т.к. тело письма при таких попытках не принимается, можно говорить об экономии траффика
    - схему эту я применяю уже лет 5 уже лет, за исключением техники серых списков, которые открыл для себя года 2 назад
     
  • 3.119, XoRe (ok), 17:09, 27/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    2zerot:

    >еще раз говорю - попробуйте, это работает
    >- гретинг пауза - если прошло, то
    >- черный список по IP - если прошло, то
    >-  черный список по доменам (сразу включить всякую срань типа yahoo.com

    А почему сначала пауза, а потом черные списки?
    Если поставить черные списки сразу, то время обработки сокращается на время паузы.
    Плюс экономия трафика на заголовках )
    А если идет алгоритм "не выдержал паузу -> послан в черный список; потом смотрится в черный список - о, а ты там _уже_ есть, дисконнект".
    То можно наверное заменить реакцию "не выдержал паузу -> послан в черный список" на "не выдержал паузу -> послан в черный список, дисконнект".

     
     
  • 4.120, zerot (?), 18:26, 27/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    дело в том, что пауза в черном списке реализована средствами Exim и, насколько я понимаю, стоит раньше ACL с черными списками
    но по сути вы правы. У меня, например, особо злостные спамеры время от времени уводятся в черный список сетевого фильтра, после чего их обращения ваще не доходят до почтовика

     
     
  • 5.125, ТинПу (?), 02:36, 28/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    >У меня, например, особо злостные спамеры время от времени уводятся в черный список
    >сетевого фильтра, после чего их обращения ваще не доходят до почтовика

    Ну дык! Уже давно (и успешно!) первый этап фильтрации - это отбой на фаерволе заблеклистенных IP. zerot - весьма рекомендую, у меня на почте BSD - мне простще - посмотри на spamd, и pfsync.

     
     
  • 6.128, zerot (??), 12:18, 28/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    я посмотрю
    - но что то мне подсказывает, что spamd и pfsync - это аналог spamassassin и формирователь черных списков к нему
    - у меня есть cвои авторские модули, которые формируют черные списки IP по анализу логов почтовика и логов работы серых списков. А куда их прикручивать - к почтовику или сетевому фильтру - это дело совсем несложной техники
    - анализ и формирование блэклиста по контент фильтру - имеет право на жизнь, но контент фильтр может ошибаться,он - последняя линия обороны, по возможности - только предупреждающая пользователя, но не рубящая письма
    в любом случае спасибо
     
  • 4.121, zerot (?), 19:18, 27/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    дело в том, что пауза реализована средствами Exim и, насколько я понимаю, стоит раньше ACL (в терминологии Exim) с черными списками
    но по сути вы правы. У меня, например, особо злостные спамеры время от времени уводятся в черный список сетевого фильтра, после чего их обращения ваще не доходят до почтовика1

     
  • 4.126, zerot (??), 12:12, 28/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    еще
    стал тут разбираться - есть в Exim опция, позволяющая реализовать черные списки по IP до ACL, можно тогда файерволом не заморачиваться
     
     
  • 5.127, don_oles (??), 12:17, 28/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    Друзья!
    Чёрный список фаерволом хорошо. Но увы, тогда в логах вы не увидите какое письмо хотело к вам прийти.
     
     
  • 6.130, SergeySL (ok), 14:08, 28/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    >Друзья!
    >Чёрный список фаерволом хорошо. Но увы, тогда в логах вы не увидите
    >какое письмо хотело к вам прийти.

    Конечно. В чёрные списки частенько попадают огромные бесплатные ресурсы, с которых периодически идет нужная корреспонденция.

     
     
  • 7.131, zerot (??), 15:18, 28/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    тут есть тонкость
    - такие солидные ресурсы. как yandex.ru и т.п. сами ведут борьбу со спамом, и зачастую (в силу своей архитектуры) не заточены под работу с серыми списками, но замечательно отрабатывают по проверке существования отправителя. У таких ресурсов в силу ряда причин спамерам не разгуляться
    - эти ресурсы обычно не попадают в черные списки, а с них идет основная масса писем, приходящаяся на бесплатные ресурсы
    - с другой стороны мелкие публичные сервера, не уделяющие должного антиспам профилактике, могут и должны попадать в черные списки, если их используют спамеры. И задача администратора  конторы, принимающей письма с этих ресурсов - разрешить отправку с отдельных адресов, запрошенных сотрудниками. Публичный же сервис в целом должен оставаться в черном списке (но по имени домена отправителя, а не IP), т.к. это справедливо для предоставляющих некачественный сервис
    - еще раз. Сначала сводим к минимуму поток спама, потом с остальным разбираемся руками. Альтернативы как то не видно, а процесс борьбы со спамом - это процесс постоянный, его нельзя автоматизировать полностью, как нельзя обеспечить 100% фильтрацию спама - можно только оптимизировать алгоритмы борьбы под текущую структуру спама
     
     
  • 8.148, NarkomanLove (??), 00:03, 17/11/2007 [^] [^^] [^^^] [ответить]  
  • +/
    Кто мне может сказать почему при использовании postfixadmin если создать домен ... текст свёрнут, показать
     

  • 1.149, gookk (ok), 04:13, 29/12/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    FreeBsd6.2, pflogsumm-1.1.1,1

    1.Не работает скрипт account.monthly. при запуске ругается (tar: unrecognized option '--remove-files'.
    2. А как можно сделать вывод всего отловленого спама в один файл. Так гораздо легче искать отправителя и получателя за большой отрезок времени.
    3. И еще может кто подскажет , как это все подстроить для приема почты одновременно с двух доменов. Сейчас имеются пользователи : vova@mydomen.ru. Папочки пользователей находятся в /home. Еще имеется старый виндовый сервер , где пользователь называется : vova@mydomen.XXX.su. Как это все обединить ?

    Спасибо!
    Всех с новым годом.

     
     
  • 2.150, SergeySL (ok), 17:48, 30/12/2007 [^] [^^] [^^^] [ответить]  
  • +/
    >FreeBsd6.2, pflogsumm-1.1.1,1
    >1.Не работает скрипт account.monthly. при запуске ругается (tar: unrecognized option '--remove-files'.

    для начала man tar, может в новых версиях тар этот ключ выглядит по-другому
    >2. А как можно сделать вывод всего отловленого спама в один файл. Так гораздо легче искать отправителя и получателя за большой отрезок времени.

    man aliases
    >3. И еще может кто подскажет , как это все подстроить для приема почты одновременно с двух доменов. Сейчас имеются пользователи : vova@mydomen.ru. Папочки пользователей находятся в /home. Еще имеется старый виндовый сервер, где пользователь называется : vova@mydomen.XXX.su. Как это все обединить ?

    man fetchmail

    >Спасибо! >Всех с новым годом.

    Спасибо! С Новым годом :)

     

  • 1.151, deftone (??), 15:33, 18/02/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Сделал всё по статье. Письма принимает, отсылает, но с определённого почтового сервера (www.i.ua) ответом возвращается такое сообщение

    ---------------------------------------------------------------------------

    UNDELIVERABLE MAIL

    Your message to the following recipients cannot be delivered:

    <info@xxx.xxx>:
    xx.xx.xxx [xx.xx.xx.xx]:
    >>> DATA

    <<< 546 Routing loop detected -- too many Received: headers.

    ---------------------------------------------------------------------------

    не пинайте сразу и наставте на правильный путь. Спасибо

     
     
  • 2.152, SergeySL (ok), 08:15, 20/02/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >[оверквотинг удален]
    >
    ><info@xxx.xxx>:
    >xx.xx.xxx [xx.xx.xx.xx]:
    >>>> DATA
    >
    ><<< 546 Routing loop detected -- too many Received: headers.
    >
    >---------------------------------------------------------------------------
    >
    >не пинайте сразу и наставте на правильный путь. Спасибо

    Извините, но Ваш вопрос совершенно неадекватен! На свете существует масса коряво настроенных почтовых серверов. Сообщите админу этого сервера про ошибку. Если интересно, из-за чего может возникать такая ошибка, пользуйтесь переводчиком, гуглом и т.д. и т.п., а не захламляйте форум!

     

  • 1.153, sesms (?), 20:13, 09/06/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    смутило:
    "Естественно, host.domain.com и domain.com нужно заменить на FQDN сервера и домена, а список mynetworks откорректировать в соответствии с конфигурацией сети."....
    FQDN должен точкой заканчиваться..... http://ru.wikipedia.org/wiki/FQDN
     
     
  • 2.154, SergeySL (ok), 20:29, 09/06/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >смутило:
    >"Естественно, host.domain.com и domain.com нужно заменить на FQDN сервера и домена, а
    >список mynetworks откорректировать в соответствии с конфигурацией сети."....
    >FQDN должен точкой заканчиваться..... http://ru.wikipedia.org/wiki/FQDN

    1. Не было времени и желания писать ПОЛНОЕ ДОМЕННОЕ ИМЯ СЕРВЕРА и ПОЛНОЕ ИМЯ ДОМЕНА.
    2. Многие поняли, что имелось ввиду. Кажется '.' на конце ставятся только в hosts и описаниях зон DNS (я вроде больше никогда нигде не ставил).
    3. Это не официальный документ. Просто запись на память (чтобы в следующий раз все быстренько повторить) и попытка помочь начинающим (судя по отзывам, успешная).

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:
    При перепечатке указание ссылки на opennet.ru обязательно



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру