🚀 go-pugleaf

W dniu 06.05.2020 o 14:07, LFC pisze:
> Zastanawiam sie nad użyciem tej opcji w sendmail.mc, ale mam pewne
> wątpliwości.
> Pytanie do znających sendmaila - czy nie spowoduje to szkód, bo z tego,
> co zdążyłem się zorientować, to nawet niektóre banki i instytucje nie
> mają rdns.

Takie info pisałem na swojej stronie jakieś 10 lat temu.
Od tego czasu wiele wody upłynęło i stosuję teraz:

http://www.postfix.org/postconf.5.html#reject_unknown_client_hostname

Bo jak duzi gracze zaczęli odrzucać pocztę z powodu braku revDNS i
niepoprawnego HELO to jakoś wszyscy się nauczyli poprawnie konfigurować
systemy pocztowe :)
--
Pozdrawiam
Lemat

W dniu 2020-05-06 o 14:07, LFC pisze:
> Zastanawiam sie nad u¿yciem tej opcji w sendmail.mc, ale mam pewne w±tpliwo¶ci.
> Pytanie do znaj±cych sendmaila - czy nie spowoduje to szkód, bo z tego, co zd±¿y³em siê zorientowaæ, to nawet niektóre banki i instytucje nie maj± rdns.

Kwestia gustu i lokalnych warunków.
Ja mam t± opcjê i dodatkowo tnê jeszcze wszystkie revDNSy czysto numeryczne i wygl±daj±ce na dynamiczne.

> I pytanie dodatkowe, bo nie znalaz³em w do tej pory prze¶ledzonych howto i informacjach nt. definowania filtrów:
>
> define(`confMILTER_MACROS_CONNECT', `t, b, j, _, {daemon_name}, {if_name}, {if_addr}')dnl> define(`confMILTER_MACROS_HELO', `s, {tls_version}, {cipher}, {cipher_bits}, {cert_subject}, {cert_issuer}')dnl
> define(`confMILTER_MACROS_ENVFROM', `i, {auth_authen}')dnl
> define(`confMILTER_MACROS_ENVRCPT', `{greylist}')dnl
> >
> Mam tak w sendmail.mc wpisane dawno temu z jakich¶ howto w odniesieniu do dwóch pierwszych definicji, gdy uruchamia³em spamassassina, a potem clamava.
> Za chiñskiego boga nie mogê znale¼æ, co oznaczaj± te oznaczenia: t, b, j, _, s, i w tych funkcjach milterów.

Pojedyncze litery maj± to samo znaczenie, co wpisy w nawiasach {} - s± to makra.
np:
t=time
dÚte
j=official canonical name
_=user@host/zale¿nie od warunków
s= The sender host's name

> W dokumentacji sendmaila nie pisze, w róznych opisach nic o tym te¿ nie pisz±.

Makra sendmaila:
The BAT, 3rd Edition, Section 21.9. Alphabetized sendmail Macros
https://docstore.mik.ua/orelly/other/Sendmail_3rd/1565928393_sendmail3-chp-21-sect-9.html
Pe³na specyfikacja definicji makr miltrów:
https://docstore.mik.ua/orelly/other/Sendmail_3rd/1565928393_ch24-94199.html

> Zastanowi³em siê nad spraw± przy okazji odpalania greylista, bo te definicje wystêpuj± w jego howto bez tych wszystkich t,b,s, za to w MACROS_HELO jest przywo³ywane na pierwszym miejscu makro {verify}, którego nie wpisa³em w definicjê filtra.
> Greylist i tak dzia³a bardzo dobrze, ale gdy uruchamia filtrowanie to daje komunikat:
> smfi_getsymval failed for {daemon_port}, using default smtp port.
> Dziwne bo makro {daemon_port} nie jest wywo³ywane w ¿adnej z 4 definicji
> conMILTER_MACROS, chyba, ze wynika to z opcji sendmaila "no_default_msa".
>
> By³oby fajnie zakumaæ, co to za opcje  i jak tego u¿ywaæ, ale w ¿adnym zapytaniu wujka google na temat konfiguracji sendmaila  i/lub milterów do niego nie znalaz³em takiej informacji.

Wszystkie powy¿sze informacje by³y w pierwszej dziesi±tce wyników
https://www.google.com/search?q=sendmail+confMILTER_MACROS

>
> LFC
>
>

Pozdro

Lemat <#@lemat.priv.pl> pisze:
> W dniu 06.05.2020 o 14:07, LFC pisze:
>> Zastanawiam sie nad użyciem tej opcji w sendmail.mc, ale mam pewne
>> wątpliwości.
>> Pytanie do znających sendmaila - czy nie spowoduje to szkód, bo z
>> tego, co zdążyłem się zorientować, to nawet niektóre banki i
>> instytucje nie mają rdns.
>
> Takie info pisałem na swojej stronie jakieś 10 lat temu.
> Od tego czasu wiele wody upłynęło i stosuję teraz:
>
> http://www.postfix.org/postconf.5.html#reject_unknown_client_hostname
>
> Bo jak duzi gracze zaczęli odrzucać pocztę z powodu braku revDNS i
> niepoprawnego HELO to jakoś wszyscy się nauczyli poprawnie
> konfigurować systemy pocztowe :)

A co to było jak serwery zaczęły sprawdzać czy domena w "MAIL FROM:"
ma rekordy DNS :-)

--
Andrzej A. Filip

W dniu 06.05.2020 o 15:50, Andrzej A. Filip pisze:
> Lemat <#@lemat.priv.pl> pisze:
> A co to było jak serwery zaczęły sprawdzać czy domena w "MAIL FROM:"
> ma rekordy DNS :-)
>

A wyobraź sobie, że duzi gracze na rynku (Cisco, Proofpoint/Cloudmark
etc.) oferujący pudełkowe rozwiązania antyspamowe mają problem z takimi
opcjami?
Takimi opcjami, które ja uważałem za konieczne 15 lat temu.

--
Pozdrawiam
Lemat

W dniu 2020-05-06 o 15:41, Piotr Lechowicz pisze:

>
> Kwestia gustu i lokalnych warunków.
> Ja mam t± opcjê i dodatkowo tnê jeszcze wszystkie revDNSy czysto
> numeryczne i wygl±daj±ce na dynamiczne.
>

Nie chcia³bym, ¿eby pojawi³y siê k³opoty z poczt± z niektórych
instytucji i banków, które nie maja rev

>
> Wszystkie powy¿sze informacje by³y w pierwszej dziesi±tce wyników
> https://www.google.com/search?q=sendmail+confMILTER_MACROS
>

Jako¶ przegapi³em, choæ by³em na tej stronie, Sendmail 3rd O'rellego,
ale jako¶ mi siê nie odemknê³a w³a¶ciwa klapka. Tak siê zafiksowa³em na
tym, ¿e to jakie¶ opcje, ¿e pomin±³em te informacje. O to mi chodzi³o -
lista makr, choæ nie wyja¶nia mi
smfi_getsymval failed for {daemon_port}, using default smtp port,
ale i tak jest nie¼le, bo greylist dzia³a OK.
Tak, czy owak dziêki. Jeden problem wiêcej rozkminiony.
Tak przy okazji, znasz jak±¶ recepte na samodzielne zmiany has³a przez
userów shellowych poczty, oczywi¶cie oprócz shella.
Kiedy¶ dawno temu by³a taka ma³a aplikacja w formie stronki www
epassword, czy jako¶ tak przez któr± mo¿na by³o dokonaæ samodzielnie
zmiany has³a, ale to by³o jeszcze w czasach wczesnych RedHatów. U¿ywa³em
tego, gdy serwer pracowa³ jeszcze na RH 7, ale projekt zosta³ porzucony
i na nowszych distro ju¿ siê nie instalowa³.

LFC

On 06.05.2020 15:12, Lemat wrote:
> W dniu 06.05.2020 o 14:07, LFC pisze:
>> Zastanawiam sie nad użyciem tej opcji w sendmail.mc, ale mam pewne
>> wątpliwości.
>> Pytanie do znających sendmaila - czy nie spowoduje to szkód, bo z
>> tego, co zdążyłem się zorientować, to nawet niektóre banki i
>> instytucje nie mają rdns.
>
> Takie info pisałem na swojej stronie jakieś 10 lat temu.
> Od tego czasu wiele wody upłynęło i stosuję teraz:
>
> http://www.postfix.org/postconf.5.html#reject_unknown_client_hostname
>
> Bo jak duzi gracze zaczęli odrzucać pocztę z powodu braku revDNS i
> niepoprawnego HELO to jakoś wszyscy się nauczyli poprawnie konfigurować
> systemy pocztowe :)

Ja od początku odrzucałem brak ptra i błędy w helo. W logach jest
tysiące rejectów tygodniowo i zapewniam, że nie ma tam nic wartościowego.
Usiłują spamować z komórek i kart sim ale to im się nie udaje dzięki tym
mechanizmom.

W dniu 2020-05-06 o 21:34, LFC pisze:
> Tak przy okazji, znasz jak±¶ recepte na samodzielne zmiany has³a przez userów shellowych poczty, oczywi¶cie oprócz shella.
> Kiedy¶ dawno temu by³a taka ma³a aplikacja w formie stronki www epassword, czy jako¶ tak przez któr± mo¿na by³o dokonaæ samodzielnie zmiany has³a, ale to by³o jeszcze w czasach wczesnych RedHatów. U¿ywa³em tego, gdy serwer pracowa³ jeszcze na RH 7, ale projekt zosta³ porzucony i na nowszych distro ju¿ siê nie instalowa³.

Via webmail.

W squirrelmail jest do tego dedykowany plugin i dzia³a³ ¶wietnie do momentu zmiany domy¶lnego hashowania hase³ w Centos 6.4 oraz przej¶cia z PHP 5.6 na nowsze wersje.
Autor squirrelmail ma aktualnizacjê na te problemy, ale ¿yczy sobie za ni± real $.

Z powy¿szych powodów (oraz ogólnie aktualno¶ci, estetyki i dostêpu z mobilek) przeszed³em na RoundCube.
Jestem na etapie szukania dostêpnych mechanizmów zmiany hase³ w tym systemie, bo mocno mi (userom) tego brakuje.

PL

W dniu środa, 6 maja 2020 21:40:02 UTC+2 użytkownik LFC napisał:
> W dniu 2020-05-06 o 15:41, Piotr Lechowicz pisze:
> 
> > 
> > Kwestia gustu i lokalnych warunków.
> > Ja mam tą opcję i dodatkowo tnę jeszcze wszystkie revDNSy czysto 
> > numeryczne i wyglądające na dynamiczne.
> > 
> 
> Nie chciałbym, żeby pojawiły się kłopoty z pocztą z niektórych 
> instytucji i banków, które nie maja rev

Trzeba tego pilnować, najlepiej jakimś skryptem i w razie potrzeby reagować. Mam spore doświadczenie z serwerem, gdzie przychodzi mnóstwo maili z poddomen gov.pl i sytuacje, kiedy jest tam problem z revDNS są na porządku dziennym. Czasem ktoś to poprawi szybko, czasem trwa to długo - a poczta musi krążyć. W instytucji publicznej nie bardzo możesz odrzucić maila np. na temat przetargu tylko dlatego, że ktoś miał niedokonfigurowany serwer pocztowy itp. itd.

Andrzej

W dniu czwartek, 7 maja 2020 13:00:02 UTC+2 użytkownik LFC napisał:
> >>
> >> Nie chciałbym, żeby pojawiły się kłopoty z pocztą z niektórych
> >> instytucji i banków, które nie maja rev
> >
> > Trzeba tego pilnować, najlepiej jakimś skryptem i w razie potrzeby reagować. Mam spore doświadczenie z serwerem, gdzie przychodzi mnóstwo maili z poddomen gov.pl i sytuacje, kiedy jest tam problem z revDNS są na porządku dziennym. Czasem ktoś to poprawi szybko, czasem trwa to długo - a poczta musi krążyć. W instytucji publicznej nie bardzo możesz odrzucić maila np. na temat przetargu tylko dlatego, że ktoś miał niedokonfigurowany serwer pocztowy itp. itd.
> >
> > Andrzej
> >
> 
> Właśnie dlatego nie dodałem tej opcji bo sprawdziłem pobieżnie 
> największe banki, w tym ten w kórym firma ma konto i któreś gov i 
> częściowo wyszła dupa zimna.
No nie całkiem - możesz tą regułą dawać odpowiedź nie 5xx a 4xx i jak zobaczysz w logach taką sytuację, to możesz np. dopisać takie IP do hosts. 

Ale żeby to sprawnie działało, to trzeba to sobie oskryptować, żeby to automat sprawdzał logi i pokazywał tylko to, co może być ciekawe.

Andrzej

W dniu 07.05.2020 o 11:48, goo-mlyny@ciach.net pisze:


>>
>> Nie chciałbym, żeby pojawiły się kłopoty z pocztą z niektórych
>> instytucji i banków, które nie maja rev
>
> Trzeba tego pilnować, najlepiej jakimś skryptem i w razie potrzeby reagować. Mam spore doświadczenie z serwerem, gdzie przychodzi mnóstwo maili z poddomen gov.pl i sytuacje, kiedy jest tam problem z revDNS są na porządku dziennym. Czasem ktoś to poprawi szybko, czasem trwa to długo - a poczta musi krążyć. W instytucji publicznej nie bardzo możesz odrzucić maila np. na temat przetargu tylko dlatego, że ktoś miał niedokonfigurowany serwer pocztowy itp. itd.
>
> Andrzej
>

Właśnie dlatego nie dodałem tej opcji bo sprawdziłem pobieżnie
największe banki, w tym ten w kórym firma ma konto i któreś gov i
częściowo wyszła dupa zimna.

LFC

LFC <longinf@mpwikzdw.com.pl> pisze:
> W dniu 07.05.2020 o 11:48, goo-mlyny@ciach.net pisze:
>
>
>>>
>>> Nie chciałbym, żeby pojawiły się kłopoty z pocztą z niektórych
>>> instytucji i banków, które nie maja rev
>>
>> Trzeba tego pilnować, najlepiej jakimś skryptem i w razie potrzeby
>> reagować. Mam spore doświadczenie z serwerem, gdzie przychodzi
>> mnóstwo maili z poddomen gov.pl i sytuacje, kiedy jest tam problem z
>> revDNS są na porządku dziennym. Czasem ktoś to poprawi szybko,
>> czasem trwa to długo - a poczta musi krążyć. W instytucji publicznej
>> nie bardzo możesz odrzucić maila np. na temat przetargu tylko
>> dlatego, że ktoś miał niedokonfigurowany serwer pocztowy itp. itd.
>
> Właśnie dlatego nie dodałem tej opcji bo sprawdziłem pobieżnie
> największe banki, w tym ten w kórym firma ma konto i któreś gov i
> częściowo wyszła dupa zimna.

Można "statycznie" mapować adres IP na kraj (bez zapytań internetowych).
Można to połączyć w "revDNS wymagany o ile kraj jest spoza listy".
Najprościej będzie to zrobić w miltrze najlepiej takim jak MIMEDefang
(filtr oparty na skrypcie perl-a).

W samym sendmail.cf też się da się to zrobić ale będzie wymagać małego
rzeźbienia.  AFAIR kiedyś co takiego promowałem w oparciu o mapowanie
adres_IP->kraj na podstawie zapytań DNS.

--
Andrzej A. Filip

On 07.05.2020 11:48, goo-mlyny@ciach.net wrote:
> W dniu środa, 6 maja 2020 21:40:02 UTC+2 użytkownik LFC napisał:
>> W dniu 2020-05-06 o 15:41, Piotr Lechowicz pisze:
>>
>>>
>>> Kwestia gustu i lokalnych warunków.
>>> Ja mam tą opcję i dodatkowo tnę jeszcze wszystkie revDNSy czysto
>>> numeryczne i wyglądające na dynamiczne.
>>>
>>
>> Nie chciałbym, żeby pojawiły się kłopoty z pocztą z niektórych
>> instytucji i banków, które nie maja rev
>
> Trzeba tego pilnować, najlepiej jakimś skryptem i w razie potrzeby reagować. Mam spore doświadczenie z serwerem, gdzie przychodzi mnóstwo maili z poddomen gov.pl i sytuacje, kiedy jest tam problem z revDNS są na porządku dziennym. Czasem ktoś to poprawi szybko, czasem trwa to długo - a poczta musi krążyć. W instytucji publicznej nie bardzo możesz odrzucić maila np. na temat przetargu tylko dlatego, że ktoś miał niedokonfigurowany serwer pocztowy itp. itd.

Na polspam.pl jest whitelista z adresami gov.ppl, bankami i takimi tam
co na pewno nie spamują.