OpenForum RSS: smtpd_*_restrictions. Помогите пожалуйста разобраться https://mobile.opennet.me/openforum/vsluhforumID1/94207.html Всем добрый день<br><br>Прошу, чтобы кто-нибудь помог разобраться с применением smtpd_*_restrictions.<br><br>1. Вопрос первый<br><br>Я знаю, что порядок расположения ограничений в разделах smtpd_*_restrictions играет важную роль. Это и понятно, - если получен reject или OK, то дальнейшие правила не применяются.<br><br>Также, как я понял, не играет роли, как располагать правила - каждый в своем разделе или все пихнуть в smtpd_recipient_restrictions - все равно будет играть роль порядок расположения правил. Но, нагляднее располагать каждое ограничение в "своем" разделе. При этом надо включать опцию:<br><br> smtpd_delay_reject = yes<br><br><br>Чтобы Postfix, принимая письмо, дошел до smtpd_recipient_restrictions и применил правила оттуда.<br><br>По такой логике запись вида:<br><br>++++++++++++++++++++++<br>smtpd_client_restrictions =<br>smtpd_helo_restrictions =<br>smtpd_sender_restrictions =<br>smtpd_recipient_restrictions =<br> permit_mynetworks,<br> permit_sasl_authenticated,<br> reject_unauth_destination,<br> reject_unauth_pipelining,<br> check_client smtpd_*_restrictions. Помогите пожалуйста разобраться (mr brightside) https://mobile.opennet.me/openforum/vsluhforumID1/94207.html#26 Sat, 05 Jan 2013 22:30:33 GMT &gt; Попробую переписать собственные ограничения, выложу здесь =) <br><br>Как и обещал, выкладываю конфиг.<br><br>Несколько примечаний:<br><br>1. Привел также опции, которые касаются ограничений перед самими ограничениями<br>2. Все, что идет до permit_mynetworks и permit_saslauthentificated влияет на работу как "своих" клиентов, так и не моих. Таким образом, есть определенный набор опций, которые должны соблюдать все. Если попадётся валидный отправитель, то он сможет оповестить меня через исключенные из проверок аккаунты и я занесу его в соответствующие мапы исключений с параметром ОК<br><br>[code]<br>strict_rfc821_envelopes = yes<br>disable_vrfy_command = no<br>smtpd_helo_required = yes<br>smtp_always_send_ehlo = yes<br>smtp_never_send_ehlo=no<br>smtpd_delay_reject = yes<br>smtpd_reject_unlisted_sender = yes<br>smtpd_reject_unlisted_recipient = yes<br>address_verify_sender = &lt;&gt;<br>allow_percent_hack=no<br>allow_untrusted_routing = no<br>resolve_null_domain = no<br>resolve_numeric_domain = no<br><br>smtpd_recipient_restrictions =<br> <br> #Может быть письмо отпр smtpd_*_restrictions. Помогите пожалуйста разобраться (mr brightside) https://mobile.opennet.me/openforum/vsluhforumID1/94207.html#25 Wed, 02 Jan 2013 22:28:35 GMT &gt; Что Вас смущает? (я как то уже потерялся)...<br><br>Гектор Зажигайло ранее ответил на мои вопросы<br><br>&gt; Проверки КОГДА они срабатывают. Не заморачивайтесь сейчас<br>&gt; доп флагами, которые вы включаете.<br>&gt; <br>&gt; Пришла команда RCPT TO запустились проверки из <br>&gt; smtpd_recipient_restrictions в том порядке, в <br>&gt; каком они там указаны и всё. Не надо никаких "на уровне"<br><br>Я запустался в том, как правильней указать рестрикшены.<br><br>dalay_checks отклыдвает проверки до RCPT TO, - и вот тут меня смущал факт наличия 7 групп для разбиваения проверок и схемой их управления.<br><br>Я колебался между указанием всего в "своем" разделе или указанием всего в одном разделе - recipient_restrictions.<br><br>Если раскидать ограничения по "своим" разделам, то управление оными усложняется, потому что они все равно применятся в том порядке, в котором они идут. Раз ограничения применяются "КОГДА", то логичней их кинуть в recipient_restrictions в нужном порядке - как и приведенный в книге пример.<br><br>Я просто не понимал ПОЧЕМУ этого нигде так не объяс smtpd_*_restrictions. Помогите пожалуйста разобраться (Loly) https://mobile.opennet.me/openforum/vsluhforumID1/94207.html#24 Wed, 02 Jan 2013 13:54:05 GMT &gt; Читал <br><br>Из таблиц понятен порядок проверки рестрикшинсов:<br><br>_1 smtpd_client_restrictions<br>_2 smtpd_helo_restrictions<br>_3 smtpd_etrn_restrictions<br>_4 smtpd_sender_restrictions<br>_5 smtpd_recipient_restrictions<br>_6 smtpd_data_restrictions<br>_7 smtpd_end_of_data_restrictions<br><br><br>Что Вас смущает? (я как то уже потерялся)...<br> smtpd_*_restrictions. Помогите пожалуйста разобраться (mr brightside) https://mobile.opennet.me/openforum/vsluhforumID1/94207.html#23 Wed, 02 Jan 2013 11:14:45 GMT &gt; The Book of Postfix (Ральф Гильдебрандт, Патрик Кеттер) <br>&gt; Глава 7, в часности Таблицы 7.1 и 7.2 должны помочь Вам.<br><br>Читал<br><br>Более того, я сюда оттуда примеры копировал =)<br> smtpd_*_restrictions. Помогите пожалуйста разобраться (Loly) https://mobile.opennet.me/openforum/vsluhforumID1/94207.html#22 Wed, 02 Jan 2013 09:58:38 GMT The Book of Postfix (Ральф Гильдебрандт, Патрик Кеттер)<br>Глава 7, в часности Таблицы 7.1 и 7.2 должны помочь Вам.<br><br> smtpd_*_restrictions. Помогите пожалуйста разобраться (ALex_hha) https://mobile.opennet.me/openforum/vsluhforumID1/94207.html#21 Tue, 01 Jan 2013 14:44:43 GMT &gt;&gt; с таким подходом вам надо не использовать интернет и linux вообще :) <br>&gt; А я linux и не использую :-) Не агритесь вы так. Я <br>&gt; обожаю экзимку! С Новым Годом !<br><br>и не думал, не являюсь слепым поклонником ни первого ни второго :)<br><br> smtpd_*_restrictions. Помогите пожалуйста разобраться (Гектор Зажигайло) https://mobile.opennet.me/openforum/vsluhforumID1/94207.html#20 Mon, 31 Dec 2012 15:00:01 GMT &gt; с таким подходом вам надо не использовать интернет и linux вообще :) <br><br>А я linux и не использую :-) Не агритесь вы так. Я обожаю экзимку! С Новым Годом !<br><br> smtpd_*_restrictions. Помогите пожалуйста разобраться (DeadLoco) https://mobile.opennet.me/openforum/vsluhforumID1/94207.html#19 Mon, 31 Dec 2012 14:20:19 GMT &gt;&gt;&gt; в нём периодически обнаруживают такие уязвимости, с которыми лучше не сталкиваться<br>&gt;&gt; Вы не могли бы привести пример хотя бы трех таких уязвимостей с <br>&gt; Нее, не мог бы. <br><br>Какое-то из двух ваших утверждений является ложью, не так ли? <br><br>&gt; Последний раз, когда я решился посмотреть (исключительно из <br>&gt; любопытсва. Postfix отличный сервер и полностью меня устраивает) в сторону Exim'а <br>&gt; в нём нашли такое: <br>&gt; http://www.exim.org/lurker/message/20101207.215955.bb32d4f2.en.html <br><br>Дебиан-релейтед дырку ставим в вину экзиму? Ню-ню... Плохой, плохой экзим!<br> smtpd_*_restrictions. Помогите пожалуйста разобраться (ALex_hha) https://mobile.opennet.me/openforum/vsluhforumID1/94207.html#18 Mon, 31 Dec 2012 12:47:46 GMT &gt; Я мальчишка избалованный, привык, что привилегии root'а - это только мои <br>&gt; привилегии. И мои заказчики точно не будут ждать третьей уязвимости и <br>&gt; не будут анализировать невозможность устранения этих уязвимостей штатными средствами <br>&gt; "обновления софтов". Мне просто перестанут деньги платить.<br><br>с таким подходом вам надо не использовать интернет и linux вообще :) В ядре ведь тоже находят уязвимости, а то вдруг вам тоже перестанут деньги платить<br>