LINUX.ORG.RU
ФорумAdmin

Exim4 SPF рубит отправку по SMTP

 , , ,


1

1

Добрый день.

У меня проблема. Есть почтовый сервер Exim, на машине планируется держать почту нескольких доменов (пока один). С учетом предыдущего опыта, идут тонны спама на случайные ящики в домене который хостится на сервере, особенно если есть catchall. Для борьбы решил настроить SPF по инструкции https://www.sidn.nl/en/news-and-blogs/hands-on-implementing-spf-dkim-and-dmarc-in-exim (3.3 ACL configuration for SPF) но благодаря условию deny spf = fail : softfail отклоняется любая попытка отправки авторизованным пользователем сообщения по SMTP. SMTP клиенту пишет что моему IP не разрешено отправлять почту от имени этого домена. Закомментировал пару строчек - письмо отправляется успешно, но в заголовке стоит Received-SPF: softfail и бонусом засвечен IP адрес пользователя, подключившегося по SMTP.

Как можно настроить проверку SPF только для доставки почты с других почтовых серверов, при этом пропускать проверку SPF для пользователей, имеющих ящики в этом домене?

У меня проблема. Есть почтовый сервер Exim

Соболезную.

Как можно настроить проверку SPF только для доставки почты с других почтовых серверов, при этом пропускать проверку SPF для пользователей, имеющих ящики в этом домене?

Не знаю как это делается в Exim, но в Postfix последовательность разрешений имеет значение. То есть если вначале разрешить авторизированных пользователей, а затем требовать SPF/DKIM, то от своих пользователей SPF/DKIM требоваться не будет (первую проверку они прошли → прошли все). Ищи как подобное разруливается в Exim.

// Собственно, поэтому я и предпочитаю Postfix — он логичен.

mord0d ★★★★★
()

Посмотри здесь в части

acl_check_mail:
   
  accept authenticated = *
  deny    message       = $sender_host_address is not allowed to send mail from $sender_address_domain
          !acl          = spf_rcpt_acl
          hosts         = !+relay_from_hosts
  accept

я бы обратил внимание на

hosts         = !+relay_from_hosts

и попробовал разные варианты.

Сюда же покурить про конфигурацию ACL https://www.lissyara.su/doc/exim/4.62/the_default_configuration_file/

Twissel ★★★★★
()
Последнее исправление: Twissel (всего исправлений: 1)
Ответ на: комментарий от Twissel

Это я, нуб, забыл accept authenticated = * прописать. Вроде все ок теперь, спасибо. Вообще первый раз капитально перенастраиваю Exim4.

Dima_228
() автор топика
Ответ на: комментарий от Twissel

У master.cf шикарный синтаксис! Ребята упарывались теми же веществами что и я. :3

Но опыт да, решает.

mord0d ★★★★★
()
Ответ на: комментарий от anonymous

Спасибо, всё читали, это я к тому, что всех нюансов в документации не опишут.

Twissel ★★★★★
()
Ответ на: комментарий от suffix

А как же ЧСВ :) ?

С возрастом пройдёт. ^_~

На самом деле принципиальной разницы между postfix и exim не вижу.

Глобально — да. Но конфигурируются они сильно по-разному, и Postfix в логичности конфига уделывает всех (ну кроме DragonFly BSD Mail Agent, но он для небольших (локальных) сетей, так что не в счёт). А по уровню наркомании Sendmail никто не переплюнет!

mord0d ★★★★★
()
Ответ на: комментарий от mord0d
  1. Мне уже за полтинник, предлагаете ещё подождать :) ?

  2. Логичность - это да, но если уж совсем что-то хитровывернутое мультидоменное завернуть надо то в exim это можно сделать (правда придётся потрахаться конкретно) а вот в postfix не всегда (другое дело что это нужно раз в 100 лет)

  3. На счёт Sendmail полностью согласен (было у меня как-то желание разобраться и всё по уму на нём слелать (чисто для ЧСВ) - но признаюсь честно - не осилил :( )

suffix ★★
()
Последнее исправление: suffix (всего исправлений: 1)
Ответ на: комментарий от suffix

за полтинник

Детство играет в известном месте не зависимо от биологического возраста. Человек взрослеет не в день получения паспорта и не мгновенно. ^_~

Это не плохо и не хорошо, это просто факт. У каждого этот процесс индивидуален.

в exim это можно сделать (правда придётся потрахаться конкретно) а вот в postfix не всегда (другое дело что это нужно раз в 100 лет)

Гребля с препятствиями — занятие увлекательное, но можно сделать проще, и проблема в большинстве случаев (не всегда, да) решится сама собой.

На счёт Sendmail полностью согласен (было у меня как-то желание разобраться и всё по уму на нём слелать (чисто для ЧСВ) - но признаюсь честно - не осилил :( )

Sendmail не помогло даже m4 с автогенерацией через Makefile. Он не сложный, он наркоманский (и оттого сложный).

mord0d ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.