fatal 7 Zgłoś post Napisano Kwiecień 6, 2012 (edytowany) Witam, wiem, że temat autoryzacji w qmailu był poruszany wiele razy, ale mam pytanie, na które nie moge znaleźć odpowiedzi. Mianowicie: mam serwer pocztowy oparty na qmailu + jms patches autoryzacja działa, wszystko działa lecz jak odpale sobie telnet i dam coś takiego: telnet moj.serwer.pl 25 helo cos mail from: test@jakasdomena.pl rcpt to: isniejaca@moj.serwer.pl data test . quit mail dochodzi do isniejaca@moj.serwer.pl teraz zastanawia mnie to jak przed tym zabezpiecza się np. wp.pl kiedy próbuję zrobić to samo, ale na serwerze smtp.wp.pl po wydaniu polecenia mail from: test@jakasdomena.pl otrzymuje odpowiedź: 553 SMTP I don't accept mail from your domain / Nie obslugujemy twojej domeny Czy istnieje patch do qmaila, który robiłby to co na wp.pl Pozdrawiam Edytowano Kwiecień 6, 2012 przez osa (zobacz historię edycji) Udostępnij ten post Link to postu Udostępnij na innych stronach
Gość adamszendzielorz Zgłoś post Napisano Kwiecień 6, 2012 (edytowany) [...] autoryzacja działa, wszystko działa lecz jak odpale sobie telnet i dam coś takiego: telnet moj.serwer.pl 25 helo cos mail from: test@jakasdomena.pl rcpt to: isniejaca@moj.serwer.pl data test . quit mail dochodzi do isniejaca@moj.serwer.pl I to jest prawidlowa reakcja! To generalnie nie ma nic wspolnego z mechanizmem autoryzacji - aby dokonac autoryzacji wydajesz komende zamiast HELO - EHLO, a potem komende AUTH z rodzajem autoryzacji. Tym niemniej - Twoj serwer musi przeciez przyjmowac poczte dla Twoich domen z zewnatrz, od innych serwerow. Bez autoryzacji przeciez! FROM nie jest standardowo przez qmaila sprawdzany, sprawdzany jest RCPT TO - jezeli laczysz sie bez autoryzacji i w RCPT TO podasz domene ktora obsluguje Twoj serwer (jest w control/rcpthosts) to serwer powinien te poczte przyjac (i z tego co widze robi to poprawnie). Dopiero jezeli w RCPT TO podasz obca domene (ktora nie jest w control/rcpthosts) - powinien zwrocic blad i zamknac polaczenie. Dopiero jezeli wczesniej sie poprawnie zautoryzujesz - kiedy w RCPTO TO pojawi sie obca domena - serwer ja przyjmie poprawnie (i bedzie probowal dostarczyc "w swiat"). teraz zastanawia mnie to jak przed tym zabezpiecza się np. wp.pl Nie zabezpiecza sie - przeciez serwer WP musi przyjac poczte dla uzytkownikow @wp.pl - jezeli nie on, to kto mialby to zrobic ?? :-) kiedy próbuję zrobić to samo, ale na serwerze smtp.wp.plpo wydaniu polecenia mail from: test@jakasdomena.pl otrzymuje odpowiedź: Czy istnieje patch do qmaila, który robiłby to co na wp.pl To jak pisalem wczesniej nie ma nic wspolnego z autoryzacja - to dodatkowy modul/plugin/patch ktory poprostu sprawdza pole FROM i decyduje czy przyjmowac od tego nadawcy maila, czy nie. Administruje qmailem od 12 lat i wiem, ze to dosyc zakrecony soft (mimo tego bardzo go lubie;) - musisz niestety liczyc sie z tym ze aby dobrze go skonfigurowac - trzeba go uzbroic w kilka dodatkow. Czesto jedna latka gryzie sie z druga i trzeba recznie grzebac w kodzie. Musisz szukac laty do qmail-smtpd ktora juz w trakcie trwania sesji dokonuje sprawdzenia czy z danego adresu FROM chcesz przyjmowac poczte, czy nie. Ja osobiscie nie uzywam zadnej - pole FROM to przeciez "pic na wode fotomontaz" - mozesz tam podac cokolwiek SPF sprawdzam juz dalej - qmail-scannerem polaczonym ze spamassassinem. Uzywam tylko latek sprawdzajacych pole RCPT TO w sesji SMTP - tj. przyjmuje poczte tylko dla rzeczywiscie istniejacych kont/adresow (do tego tez trzebabylo napisac swoje skrypty bo cala poczta przyjmowana jest na oddzielnych serwerach ktore znaly tylko domeny dla ktorych maja przyjmowac poczte). Przy duzych serwerach taka latka to jednak mus - dzieki niej odrzucanych jest nieraz po kilka tysiecy polaczen na minute Pozatym RFC nakazuje. Zapomnialem jeszcze dodac ze mozesz skorzystac z prostego control/badmailfrom, za manem qmail-smtpd: badmailfrom Unacceptable envelope sender addresses. qmail-smtpd will reject every recipient address for a message if the envelope sender address is listed in, or matches a POSIX regular expression pattern listed in, badmailfrom. A line in badmailfrom may be of the form @host, meaning every address at host. For more information, please have a look at doc/README.qregex. To z latki qregex (ja uzywam qregex-starttls-2way-auth). Edytowano Kwiecień 6, 2012 przez adamszendzielorz (zobacz historię edycji) Udostępnij ten post Link to postu Udostępnij na innych stronach