https://opennet.ru/openforum/vsluhforumID1/95352.html Добрый день.<br>Что есть: сервер на ОС FreeBSD 9.2, почтовый сервер Exim 4.82 с авторизацией пользователей через AD.<br>Со вчерашнего дня заметил в почте "возвраты" с других почтовых адресов с проблемой "невозможно доставить сообщение", причём с адресов, которым я ничего не отправлял. <br>Например: <br>"A message that you sent could not be delivered to one or more of its<br>recipients. This is a permanent error. The following address(es) failed:<br><br> dj-t.point@freenet.de<br> SMTP error from remote mail server after RCPT TO:&lt;dj-t.point@freenet.de&gt;:<br> host mx.freenet.de [195.4.92.211]: 550 unrouteable address<br>... "<br>Стал рытсья в логах сквида и действительно с моего адреса отправляются письма на непонятные адреса. Впопыхах решил, что это на моей машине вирус завёлся и, естественно, проверился несколькими антивирусами (хотя и так штатный есть), а также настроил Exim так, чтобы не мог отсылать почту без аутентификации (каюсь, все остальные пользователи ЛС могут отправлять письма без аутентификации). Проверил на своём https://opennet.ru/openforum/vsluhforumID1/95352.html#11 Mon, 27 Jan 2014 13:24:21 GMT &gt; отлично, рукопожимаю :D <br><br>Спасибо, не ожидал.<br><br>&gt; вот так например, fail для пустой строки замены ...<br><br>И ещё раз спасибо, всё гениальное просто. Потестирую такой вариант (у меня мысли крутились в направлении: в первом поиске запомнить результат в какую-то переменную, затем сравнить её с пустой строкой и, если переменная не равна пустой строке, то в ldapauth подставить значение этой переменной).<br><br><br><br> https://opennet.ru/openforum/vsluhforumID1/95352.html#10 Mon, 27 Jan 2014 13:15:56 GMT отлично, рукопожимаю :D<br><br>&gt; ещё оптимизировать это условие.<br><br>вот так например, fail для пустой строки замены -&gt;избавляемся от дополнительной проверки<br><br>server_condition = ${if ldapauth {user=${quote_ldap:${lookup ldapdn <br> {ldap:///ou=people,o=company?dn?sub?(mail=$1)}}} <br> pass=$2 ldap:///}{yes}fail}<br><br> https://opennet.ru/openforum/vsluhforumID1/95352.html#9 Mon, 27 Jan 2014 05:14:11 GMT &gt; есть какие-то успехи в этом деле?<br><br>Если это действительно кому-то интересно, то да - успехи есть.<br>С помощью exim -be -d стал смотреть как раскрываются строки в моём аутентификаторе. И понял, что, во-первых: с таким синтаксисом поиск (lookup ldap) не всегда работает успешно, а во-вторых: если после неудачного поиска возвращается пустое значение (user=""), то ldapauth возвращает "истина" в любом случае.<br>Соответственно, я сперва добился чтобы гарантированно работал поиск в LDAP. Вот в таком варианте у меня заработало (заменил lookup ldap на lookup ldapdn, заменил имя домена на IP-адрес контроллера домена, добавил к параметру LDAP baseDN):<br><br>LDAP_AUTH = user="cn=пользователь, который может искать в AD,cn=Users,dc=corp,dc=ххххх,dc=ru" pass="пароль"<br>LDAP_URL = ldap://IP-адрес контроллера домена:389/dc=corp,dc=ххххх,dc=ru<br>lookup ldapdn{LDAP_AUTH LDAP_URL?dn?sub?(&#124;(otherMailbox=$auth2)(mail=$auth2))<br><br>если пользователь есть в AD возвращает "DN-пользователя", если нет - пустую строку.<br><br>Далее объединил https://opennet.ru/openforum/vsluhforumID1/95352.html#8 Fri, 24 Jan 2014 15:22:52 GMT есть какие-то успехи в этом деле?<br> https://opennet.ru/openforum/vsluhforumID1/95352.html#7 Mon, 20 Jan 2014 13:25:12 GMT &gt; да, вижу... а пароли где хранятся и в каком виде?<br><br>Пароли, если можно так выразиться, хранятся в AD. Для аутентификации Exim делает LDAP запрос:<br><br>plain_ldap:<br> driver = plaintext<br> public_name = PLAIN<br><br> server_prompts = :<br><br> server_condition = ${if ldapauth {user="${lookup ldap {user=LDAP_AD_BINDDN \<br> pass=LDAP_AD_PASS \<br> ldap://мой домен:389/?dn?sub?(otherMailbox=$auth2)}}" \<br> pass=${quote_ldap:$auth3} \<br> ldap://мой домен:389/}{yes}{no}}<br><br> <br> server_advertise_condition = ${if eq{$tls_cipher}{}{no}{yes}}<br> server_set_id = $auth2<br> https://opennet.ru/openforum/vsluhforumID1/95352.html#6 Mon, 20 Jan 2014 12:29:39 GMT да, вижу... а пароли где хранятся и в каком виде?<br> https://opennet.ru/openforum/vsluhforumID1/95352.html#5 Mon, 20 Jan 2014 06:38:15 GMT Решил временно совсем заблокировать отправку писем с моего почтового адреса. Для этого поменял немного конфиг.<br>было:<br># Принимаем сообщения от тех, кто аутентифицировался:<br>accept authenticated = *<br> logwrite = " $sender_helo_name " "$sender_address"<br><br># запрещаем отправку некоторым пользователям (см. список user_need_auth)<br>deny message = "Need authorization"<br> log_message = Need authorization (auth:&lt;$authenticated_id&gt;, sender:&lt;$sender_address&gt;, host:&lt;$sender_host_address&gt;)<br> condition = ${lookup{$sender_address}wildlsearch{/usr/local/etc/exim/user_need_auth}{yes}{no}}<br><br>стало:<br># запрещаем отправку некоторым пользователям (см. список user_need_auth)<br>deny message = "Need authorization"<br> log_message = Need authorization (auth:&lt;$authenticated_id&gt;, sender:&lt;$sender_address&gt;, host:&lt;$sender_host_address&gt;)<br> condition = ${lookup{$sender_address}wildlsearch{/usr/local/etc/exim/user_need_auth}{yes}{no}}<br><br># Принимаем сообщения от тех, кто аутентифицировался https://opennet.ru/openforum/vsluhforumID1/95352.html#4 Mon, 20 Jan 2014 04:41:54 GMT &gt; разрешена пересылка писем снаружи на любые адреса (открытый релей)?<br><br>Нет, разрешена только отправка писем от пользователей локальных сетей без авторизации. Для себя сделал принудительную проверку авторизации, о чём сказано в первом посте.<br><br><br> https://opennet.ru/openforum/vsluhforumID1/95352.html#3 Mon, 20 Jan 2014 04:40:10 GMT &gt; Вы из мира можете отправить письмо использую тот же самый адрес отправителя <br>&gt; и получателя? Если да, то скорее всего дело не в авторизации. <br><br>Я был уверен что это невозможно, сейчас буду проверять.<br><br>Проверил телнетом с другого хоста:<br>telnet "мой почтовый сервер" 25<br>Trying IP моего почтового сервера...<br>Connected to "мой почтовый сервер".<br>Escape character is '^]'.<br>220 mail.kio.ru, ESMTP EXIM 4.82<br>EHLO "мой домен"<br>250-"мой почтовый сервер" Hello "мой домен" [212.33.212.232]<br>250-SIZE 134217728<br>250-8BITMIME<br>250-PIPELINING<br>250-STARTTLS<br>250 HELP<br>MAIL FROM:"мой почтовый адрес"<br>250 OK<br>RCPT TO:"мой почтовый адрес на gmail.com"<br>550 "Need authorization"<br><br>Тот же самый ответ, если я представлюсь не "мой домен" а любой другой (EHLO абракадабра.com)<br><br>Да и в логе EXIM'а видно, что при отправке спама с моего адреса используется аутентификация (приведу ещё раз). <br>2014-01-17 15:16:48 1W47Pp-000MCh-C5 &lt;= мой адрес@мой домен.ru H=(Galina) [91.65.34.20]:52373 I=[IP-адрес моего почтового сервера]:25 P=esm