огромные логи в Postfix

0

2

Стал замечать, что логи в Postfix забиваются со скорость 1Gb в день. Вот этим.

Nov 12 10:50:54 mail postfix/error[8145]: 7C1CC3A36A: to=<cailiangpao@yahoo.com.tw>, relay=none, delay=559703, delays=557983/1718/0/1.5, dsn=4.4.2, status=deferred (delivery temporarily suspended: lost connection with mx-tw.mail.gm0.yahoodns.net[27.123.206.55] while sending RCPT TO)
Nov 12 10:50:54 mail postfix/error[8053]: 1A2772C6E0: to=<joviyehtw@yahoo.com.tw>, relay=none, delay=577787, delays=576065/1718/0/4.1, dsn=4.4.2, status=deferred (delivery temporarily suspended: lost connection with mx-tw.mail.gm0.yahoodns.net[27.123.206.55] while sending RCPT TO)
Nov 12 10:50:54 mail postfix/error[8511]: 1D1F929CB2: to=<dennis661203@yahoo.com.tw>, relay=none, delay=581604, delays=579880/1719/0/5.1, dsn=4.4.2, status=deferred (delivery temporarily suspended: lost connection with mx-tw.mail.gm0.yahoodns.net[27.123.206.55] while sending RCPT TO)
Nov 12 10:50:54 mail postfix/error[8390]: 1B664265D4: to=<play2001@yahoo.com.tw>, relay=none, delay=580009, delays=578290/1718/0/1.3, dsn=4.4.2, status=deferred (delivery temporarily suspended: lost connection with mx-tw.mail.gm0.yahoodns.net[27.123.206.55] while sending RCPT TO)
Nov 12 10:50:54 mail postfix/error[8117]: 1008E340A2: to=<h0918283314@yahoo.com.tw>, relay=none, delay=566975, delays=565827/1136/0/12, dsn=4.4.2, status=deferred (delivery temporarily suspended: lost connection with mx-tw.mail.gm0.yahoodns.net[203.188.197.119] while sending RCPT TO)
Nov 12 10:50:54 mail postfix/smtpd[7128]: too many errors after RCPT from unknown[192.168.8.88]
Nov 12 10:50:54 mail postfix/smtpd[7128]: disconnect from unknown[192.168.8.88]

Почтовик стоит за натом. cat /etc/postfix/main.cf

mydestination = localhost. localhost.localdomain
mynetworks = 127.0.0.0/8, 192.168.8.0/24
mynetworks_style = host
myorigin = $myhostname
mailbox_size_limit = 0
inet_interfaces = all
inet_protocols = ipv4
smtpd_banner = $myhostname ESMTP
biff = no
append_dot_mydomain = no
readme_directory = no

smtpd_use_tls = yes
smtpd_tls_cert_file=/etc/postfix/certificate/smtpd.pem
smtpd_tls_key_file=/etc/postfix/certificate/smtpd.key
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
smtpd_tls_loglevel = 0
smtpd_tls_received_header = yes

virtual_alias_domains =
virtual_alias_maps = proxy:mysql:/etc/postfix/mysqlconf/virtual_forwardings.cf, mysql:/etc/postfix/mysqlconf/virtual_email2email.cf
virtual_mailbox_domains = proxy:mysql:/etc/postfix/mysqlconf/virtual_domains.cf
virtual_mailbox_maps = proxy:mysql:/etc/postfix/mysqlconf/virtual_mailboxes.cf
virtual_mailbox_base = /home/vmail
virtual_uid_maps = static:5000
virtual_gid_maps = static:5000

smtpd_sasl_auth_enable = yes
smtpd_sasl_authenticated_header = yes
smtpd_sasl_local_domain = $myhostname
smtpd_sasl_security_options = noanonymous
smtpd_sasl_type = dovecot
smtpd_sasl_path = private/auth
broken_sasl_auth_clients = yes

smtpd_delay_reject = yes

smtpd_client_restrictions =
    permit_mynetworks,
    permit_sasl_authenticated,
    permit

smtpd_helo_restrictions =
    permit_mynetworks,
    permit_sasl_authenticated,
    reject_invalid_helo_hostname,
    reject_non_fqdn_helo_hostname,
    reject_unknown_helo_hostname,
    permit

smtpd_sender_restrictions =
    permit_mynetworks,
    reject_non_fqdn_sender,
    permit_sasl_authenticated,
    permit

smtpd_recipient_restrictions =
    reject_non_fqdn_recipient,
    reject_unknown_recipient_domain,
    reject_unlisted_recipient,
    permit_mynetworks,
    permit_sasl_authenticated,
    reject_unknown_sender_domain,
    reject_rbl_client sbl.spamhaus.org,
    reject_rbl_client dnsbl-1.uceprotect.net,
    reject_rbl_client dnsbl.sorbs.net,
    reject_rbl_client ix.dnsbl.manitu.net,
    reject_rbl_client bl.spamcop.net,
    reject_rbl_client access.redhawk.org,
    reject_rbl_client bl.deadbeef.com,
    reject_rbl_client dnsbl.cyberlogic.net,
    reject_rbl_client dul.ru,
    reject_rbl_client korea.services.net,
    reject_unknown_client_hostname,
    reject_unauth_pipelining,
    reject_unauth_destination,
    permit

smtpd_data_restrictions =
    permit_mynetworks,
    permit_sasl_authenticated,
    reject_unauth_pipelining,
    permit

smtpd_end_of_data_restrictions =
    permit_mynetworks,
    permit_sasl_authenticated,
    reject_multi_recipient_bounce,
    permit

proxy_read_maps = $local_recipient_maps $mydestination $virtual_alias_maps $virtual_alias_domains $virtual_mailbox_maps $virtual_mailbox_domains $relay_recipient_maps $relay_domains $canonical_maps $sender_canonical_maps $recipient_canonical_maps $relocated_maps $transport_maps $mynetworks $virtual_mailbox_limit_maps
virtual_transport = dovecot


alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases

Я понял, что через меня пытаются отправлять почту. Как изменить ситуацию? Уберал 192.168.8.0/24 не помогло.

Ссылка

←	openwrt + wirtualbox проблема с сетью

Нарезка iSCSI+LVM под виртуалки

→

А если настроить fail2ban, чтобы банить подобных товарищей?

anonymous
(12.11.14 11:29:23 MSK)

Ответ на: комментарий от anonymous 12.11.14 11:29:23 MSK

а как отправляют через меня? Тысячи писем от разных адресатов.

ilovemoney
(12.11.14 11:35:14 MSK) автор топика

Ссылка

Nov 12 10:50:54 mail postfix/smtpd[7128]: too many errors after RCPT from unknown[192.168.8.88]

mynetworks = 127.0.0.0/8, 192.168.8.0/24

кто такой 192.168.8.88 вы уже конечно узнали ?

~~zaharov~~ ★
(12.11.14 11:38:11 MSK)

Ответ на: комментарий от zaharov 12.11.14 11:38:11 MSK

это адрес моего шлюза.

ilovemoney
(12.11.14 11:39:06 MSK) автор топика

Ответ на: комментарий от zaharov 12.11.14 11:38:11 MSK

На шлюзе написано правило

iptables -t nat -A PREROUTING --dst Внешний адрес -p tcp --dport 25 -j DNAT --to-destination 192.168.8.87
iptables -I FORWARD 1 -i eth0 -o eth1 -d 192.168.8.87 -p tcp -m tcp --dport 25 -j ACCEPT
iptables -t nat -A POSTROUTING --dst 192.168.8.87 -p tcp --dport 25 -j SNAT --to-source 192.168.8.88
iptables -t nat -A OUTPUT --dst Внешний адрес -p tcp --dport 25 -j DNAT --to-destination 192.168.8.87

ilovemoney
(12.11.14 11:41:20 MSK) автор топика

Ответ на: комментарий от ilovemoney 12.11.14 11:39:06 MSK

то есть, вашему шлюзу разрешено слать через ваш почтовый сервер почту?

у вас во всех restrictions есть запись permit_mynetworks

либо я не внимательно читал ваш конфиг, либо у меня для вас плохие новости

~~zaharov~~ ★
(12.11.14 11:47:32 MSK)

Ответ на: комментарий от zaharov 12.11.14 11:47:32 MSK

Разрешено, без этого разрешения я не получал почту из вне. Почтовик за натом.

ilovemoney
(12.11.14 11:50:51 MSK) автор топика

Ответ на: комментарий от zaharov 12.11.14 11:47:32 MSK

Сейчас я убрал строчку 192.168.8.0/24 оставил только 127.0.0.0/8 ничего не изменилось

Nov 12 11:54:06 mail postfix/error[12072]: CA4CE31BDA: to=<117a@yahoo.com.tw>, relay=none, delay=573135, delays=570951/2179/0/5, dsn=4.4.2, status=deferred (delivery temporarily suspended: lost connection with mx-tw.mail.gm0.yahoodns.net[203.188.197.119] while sending RCPT TO)
Nov 12 11:54:06 mail postfix/error[11215]: CF4D92BDC0: to=<sh20301@yahoo.com.tw>, relay=none, delay=582239, delays=580055/2176/0/8.4, dsn=4.4.2, status=deferred (delivery temporarily suspended: lost connection with mx-tw.mail.gm0.yahoodns.net[203.188.197.119] while sending RCPT TO)
Nov 12 11:54:06 mail postfix/error[11406]: 065C14AB48: to=<gerundial@yahoo.com.tw>, relay=none, delay=548341, delays=546736/1601/0/3.6, dsn=4.4.2, status=deferred (delivery temporarily suspended: lost connection with mx-tw.mail.gm0.yahoodns.net[27.123.206.55] while sending RCPT TO)
Nov 12 11:54:06 mail postfix/error[11395]: C72884855C: to=<master3044@yahoo.com.tw>, relay=none, delay=551365, delays=549181/2179/0/4.5, dsn=4.4.2, status=deferred (delivery temporarily suspended: lost connection with mx-tw.mail.gm0.yahoodns.net[203.188.197.119] while sending RCPT TO)

ilovemoney
(12.11.14 11:57:38 MSK) автор топика

Ответ на: комментарий от ilovemoney 12.11.14 11:50:51 MSK

нельзя что бы шлюз был в mynetworks

mynetworks (default: see "postconf -d" output)

    The list of "trusted" remote SMTP clients that have more privileges than "strangers".

    In particular, "trusted" SMTP clients are allowed to relay mail through Postfix.

http://www.postfix.org/postconf.5.html#mynetworks

~~zaharov~~ ★
(12.11.14 12:03:49 MSK)

Ссылка

Ответ на: комментарий от ilovemoney 12.11.14 11:41:20 MSK

iptables -t nat -A POSTROUTING --dst 192.168.8.87 -p tcp --dport 25 -j SNAT --to-source 192.168.8.88

Этой строкой вы превращаете все IP лезущие к вам на сервер в 192.168.8.88 и большинство ваших reject_ попросту не действуют.

Сделайте чтобы оно работало только для локальной сети --src 192.168.8.88/24 типа

rubic ★
(12.11.14 12:12:52 MSK)

Ответ на: комментарий от ilovemoney 12.11.14 11:57:38 MSK

С какого айпи соединяется клиент который шлет эти письма? 192.168.8.88?

Постификс точно перезапускал после изменеия конфига ?

закоментируй mynetworks совсем, это разрешит слать почту только самому почтовому серверу и больше никому.

Ну и очистить все эти спамерские письма из очереди если они там есть, а я думаю они там есть

~~zaharov~~ ★
(12.11.14 12:18:01 MSK)

Ответ на: комментарий от rubic 12.11.14 12:12:52 MSK

как лезут через меня чьи-то письма?

ilovemoney
(12.11.14 12:18:09 MSK) автор топика

Ссылка

Ответ на: комментарий от zaharov 12.11.14 12:18:01 MSK

Nov 12 09:46:32 mail postfix/qmgr[3038]: 9956A64B14: from=<nozbocovvwh@anet.net.tw>, size=5262, nrcpt=35 (queue active)
Nov 12 09:46:32 mail postfix/qmgr[3038]: 2CFAB21FC4: from=<zxcrbfdwub@yahoo.com.tw>, size=6166, nrcpt=20 (queue active)
Nov 12 09:46:32 mail postfix/smtp[3554]: 273152E749: to=<carman20hk@yahoo.com.hk>, relay=mx-apac.mail.gm0.yahoodns.net[106.10.166.54]:25, delay=570238, delays=570235/0.44/1.6/0.23, dsn=4.7.0, status=deferred (host mx-apac.mail.gm0.yahoodns.net[106.10.166.54] said: 421 4.7.0 [TS01] Messages from 188.244.44.30 temporarily deferred due to user complaints - 4.16.55.1; see http://postmaster.yahoo.com/421-ts01.html (in reply to MAIL FROM command))
Nov 12 09:46:32 mail postfix/qmgr[3038]: 05FCE476EE: from=<xuiltajqzqgi@163.com>, size=6181, nrcpt=13 (queue active)
Nov 12 09:46:32 mail postfix/qmgr[3038]: 2DAF02AF89: from=<lcrilxscppq@sfilc.com>, status=expired, returned to sender
Nov 12 09:46:32 mail postfix/qmgr[3038]: 2D8923ABD6: from=<skjblpmdfnbf@sfilc.com>, size=6167, nrcpt=52 (queue active)
Nov 12 09:46:33 mail postfix/smtpd[3130]: connect from unknown[192.168.8.88]
Nov 12 09:46:33 mail postfix/qmgr[3038]: 1BC1958C9B: from=<pklwfkholhp@yahoo.com.tw>, size=5384, nrcpt=43 (queue active)
Nov 12 09:46:33 mail postfix/qmgr[3038]: 2EB122DD65: from=<shilldvzbu@pchome.com.tw>, size=6149, nrcpt=8 (queue active)
Nov 12 09:46:33 mail postfix/qmgr[3038]: 286544B3CD: from=<fbslsirvvqry@hotmail.com>, size=6175, nrcpt=40 (queue active)
Nov 12 09:46:33 mail postfix/qmgr[3038]: 23110337A7: from=<mfckykf@yahoo.com.tw>, size=5251, nrcpt=35 (queue active)
Nov 12 09:46:33 mail postfix/qmgr[3038]: 2B6254C809: from=<fexnuta@pcome.com.tw>, size=6172, nrcpt=43 (queue active)
Nov 12 09:46:33 mail postfix/qmgr[3038]: 288D3279C6: from=<duwwtlp@mail2000.com.tw>, status=expired, returned to sender
Nov 12 09:46:33 mail postfix/qmgr[3038]: 2D62231BED: from=<przffbzklz@gmail.com>, size=6138, nrcpt=37 (queue active)
Nov 12 09:46:33 mail postfix/qmgr[3038]: AE73945B27: from=<nulnuwqkzifl@ms96.url.com.tw>, size=6185, nrcpt=37 (queue active)
Nov 12 09:46:33 mail postfix/qmgr[3038]: CEF6C3C391: from=<kaysdvjdvwwo@yam.com>, status=expired, returned to sender

ilovemoney
(12.11.14 12:20:12 MSK) автор топика

Ответ на: комментарий от ilovemoney 12.11.14 12:20:12 MSK

комментируем mynetworks

очистка почтовой очереди

рестрат постфикса

результат ?

~~zaharov~~ ★
(12.11.14 12:24:15 MSK)

Ответ на: комментарий от zaharov 12.11.14 12:24:15 MSK

долго отрабатывает postsuper -d ALL жду=)

ilovemoney
(12.11.14 12:27:54 MSK) автор топика

Ссылка

Ответ на: комментарий от zaharov 12.11.14 12:24:15 MSK

теперь вот такой выхлоп

Nov 12 12:34:53 mail postfix/smtpd[4800]: NOQUEUE: reject: RCPT from unknown[192.168.8.88]: 504 5.5.2 <МОИ ВНЕШНИЙ АДРЕС>: Helo command rejected: need fully-qualified hostname; from=<actkzq@pchome.com.tw> to=<wendy10034@yahoo.com.tw> proto=SMTP helo=<МОИ ВНЕШНИЙ АДРЕС>
Nov 12 12:34:54 mail postfix/smtpd[4794]: NOQUEUE: reject: RCPT from unknown[192.168.8.88]: 504 5.5.2 <МОИ ВНЕШНИЙ АДРЕС>: Helo command rejected: need fully-qualified hostname; from=<nxmoqeok@yam.com> to=<like0928093366@yahoo.com.tw> proto=SMTP helo=<МОИ ВНЕШНИЙ АДРЕС>

ilovemoney
(12.11.14 12:36:22 MSK) автор топика

Ответ на: комментарий от ilovemoney 12.11.14 11:50:51 MSK

Разрешено, без этого разрешения я не получал почту из вне. Почтовик за натом.

Не надо делать двойной nat (DNAT + SNAT) — достаточно только DNAT

~~sdio~~ ★★★★★
(12.11.14 12:36:44 MSK)

Ответ на: комментарий от ilovemoney 12.11.14 12:36:22 MSK

Поздравляю, теперь в рассылке спама вы не принимаете участия.

Внутри сети 192.168.8.0/24 есть клиенты которые должны слать почту через ваш сервер ?

~~zaharov~~ ★
(12.11.14 12:42:54 MSK)

Ответ на: комментарий от sdio 12.11.14 12:36:44 MSK

Он вместо Split-horizon DNS сделал SNAT, чтоб из локальной сети ходить за почтой на внешний адрес шлюза. Другого объяснения нет.

rubic ★
(12.11.14 12:54:33 MSK)

Ответ на: комментарий от zaharov 12.11.14 12:42:54 MSK

нет, только почтовик, клиенты по https заходят на roudcube

ilovemoney
(12.11.14 13:15:51 MSK) автор топика

Ссылка

Ответ на: комментарий от rubic 12.11.14 12:54:33 MSK

подскажите пожалуйсто, как настроить iptables у меня все правила работают подобным образом, http ssh и тд.

ilovemoney
(12.11.14 13:19:48 MSK) автор топика

Ответ на: комментарий от ilovemoney 12.11.14 13:19:48 MSK

руководствовался этим маном http://www.it-simple.ru/?p=2250

ilovemoney
(12.11.14 13:20:47 MSK) автор топика

Ссылка

Ответ на: комментарий от rubic 12.11.14 12:54:33 MSK

Убрал в Iptables

iptables -t nat -A POSTROUTING --dst 192.168.8.87 -p tcp --dport 25 -j SNAT --to-source 192.168.8.88
iptables -t nat -A OUTPUT --dst Внешний адрес -p tcp --dport 25 -j DNAT --to-destination 192.168.8.87

Все работает вроду хорошо, но каждую секунду спамит сообщениями

Nov 12 14:45:31 mail postfix/smtpd[3363]: NOQUEUE: reject: RCPT from 114-24-8-165.dynamic.hinet.net[114.24.8.165]: 504 5.5.2 <внешний IP>: Helo command rejected: need fully-qualified hostname; from=<bnlewaylxz@yahoo.com.tw> to=<ellerbe@yahoo.com.tw> proto=SMTP helo=<внешний IP>
Nov 12 14:45:31 mail postfix/smtpd[3363]: NOQUEUE: reject: RCPT from 114-24-8-165.dynamic.hinet.net[114.24.8.165]: 504 5.5.2 <внешний IP>: Helo command rejected: need fully-qualified hostname; from=<bnlewaylxz@yahoo.com.tw> to=<ward_zabac@yahoo.com.tw> proto=SMTP helo=<внешний IP>
Nov 12 14:45:31 mail postfix/smtpd[3324]: NOQUEUE: reject: RCPT from 114-24-8-165.dynamic.hinet.net[114.24.8.165]: 504 5.5.2 <внешний IP>: Helo command rejected: need fully-qualified hostname; from=<eyvxwcanipg@yahoo.com.tw> to=<didi_mickey@yahoo.com.tw> proto=SMTP helo=<внешний IP>

ilovemoney
(12.11.14 14:49:08 MSK) автор топика

Ответ на: комментарий от ilovemoney 12.11.14 14:49:08 MSK

Это нормально. Происходит из-за reject_non_fqdn_helo_hostname и не имеет отношения к 114-24-8-165.dynamic.hinet.net. Просто в HELO он представляется как какой-нибудь localhost или server, в общем не FQDN.

rubic ★
(12.11.14 14:55:01 MSK)