СПАМ через postfix

Пустые адреса (<>) используются службами доставки сообщений. Например, чтобы уведомить другую сторону, что его письмо не доставлено по каким-то причинам (например, по причине не существования пользователя).

Не могу понять, что за клиент, за которым закрепилась очередь 3A4DD5400A ? Перед этим должен быть «connect from...».
Вы пользуетесь внешней антиспам-системой?

Я делал настройку по инструкции: http://www.drivermania.ru/articles/nastraivaem-pochtovij-server-na-debian.html все до раздела «Защищайтесь, сударь».

Вот еще выдержка из свежих логов:

Mar 16 06:32:56 <myhost> postfix/smtpd[32721]: lost connection after DATA (0 bytes) from unknown[124.199.182.11]
Mar 16 06:32:56 <myhost> postfix/smtpd[32721]: disconnect from unknown[124.199.182.11]
Mar 16 06:33:35 <myhost> postfix/qmgr[30151]: 6A2FA54025: from=<>, size=8202, nrcpt=1 (queue active)
Mar 16 06:33:35 <myhost> postfix/qmgr[30151]: 83D135401C: from=<>, size=3095, nrcpt=1 (queue active)
Mar 16 06:33:35 <myhost> postfix/qmgr[30151]: C0AAC54010: from=<>, size=5314, nrcpt=1 (queue active)
Mar 16 06:33:39 <myhost> postfix/smtp[32724]: 6A2FA54025: lost connection with gbrsecurity.telesp.net.br[200.171.222.88] while receiving the initial server greeting
Mar 16 06:33:43 <myhost> cyrus/ctl_cyrusdb[32727]: checkpointing cyrus databases
Mar 16 06:33:43 <myhost> cyrus/ctl_cyrusdb[32727]: done checkpointing cyrus databases
Mar 16 06:33:45 <myhost> postfix/smtp[32724]: 6A2FA54025: to=<ugidux8818@telesp.net.br>, relay=gbrsecurity02.telesp.net.br[200.171.222.87]:25, delay=63236, delays=63227/0.01/9.8/0, dsn=4.4.2, status=deferred (lost connection with gbrsecurity02.telesp.net.br[200.171.222.87] while receiving the initial server greeting)
Mar 16 06:33:55 <myhost> postfix/smtp[32725]: 83D135401C: to=<fefepyb@uam.org.ua>, relay=none, delay=199585, delays=199564/0.01/21/0, dsn=4.4.3, status=deferred (Host or domain name not found. Name service error for name=uam.org.ua type=MX: Host not found, try again)
Mar 16 06:34:05 <myhost> postfix/smtp[32726]: connect to embarqhsd.net[64.45.201.2]:25: Connection timed out
Mar 16 06:34:05 <myhost> postfix/smtp[32726]: C0AAC54010: to=<qayesaja6973@embarqhsd.net>, relay=none, delay=246099, delays=246069/0.01/30/0, dsn=4.4.1, status=deferred (connect to embarqhsd.net[64.45.201.2]:25: Connection timed out)


У нас в сети на многих компах живет вирус KIDO, удалить его везде не получается по разным причинам. Может это связано с ним? Если да, то как закрыть мне доступ на отправку мыла вот всяким левым адресам этими службами доставки? может их вообще можно как-то закрыть?

Не могу понять, что за клиент, за которым закрепилась очередь 3A4DD5400A ?

Дело в том, что и я не могу понять что это за клиент. Я поднял логи за последние 3 дня и везде этот и другие идентификаторы и один и тот же адрес мыла привязан к ним, т.е. везде аналогичные логи. connect from вроде бы не связаны, вот еще пример:

Mar 16 07:03:11 <myhost> postfix/smtpd[401]: connect from unknown[180.215.194.88]
Mar 16 07:03:14 <myhost> postfix/smtpd[401]: NOQUEUE: reject: RCPT from unknown[180.215.194.88]: 450 4.7.1 Client host rejected: cannot find your hostname, [180.215.194.88]; from=<qjefwys@bosequipment.com> to=<info@<myhost>> proto=ESMTP helo=<sailesh-f7cd30b>
Mar 16 07:03:14 <myhost> postfix/smtpd[401]: NOQUEUE: reject: RCPT from unknown[180.215.194.88]: 450 4.7.1 Client host rejected: cannot find your hostname, [180.215.194.88]; from=<qjefwys@bosequipment.com> to=<risp@<myhost>> proto=ESMTP helo=<sailesh-f7cd30b>
Mar 16 07:03:14 <myhost> postfix/smtpd[401]: NOQUEUE: reject: RCPT from unknown[180.215.194.88]: 450 4.7.1 Client host rejected: cannot find your hostname, [180.215.194.88]; from=<qjefwys@bosequipment.com> to=<gorisp@<myhost>> proto=ESMTP helo=<sailesh-f7cd30b>
Mar 16 07:03:14 <myhost> postfix/smtpd[401]: lost connection after DATA (0 bytes) from unknown[180.215.194.88]
Mar 16 07:03:14 <myhost> postfix/smtpd[401]: disconnect from unknown[180.215.194.88]
Mar 16 07:03:35 <myhost> postfix/qmgr[30151]: 9D6E454016: from=<>, size=14510, nrcpt=1 (queue active)
Mar 16 07:03:35 <myhost> postfix/qmgr[30151]: 3A4DD5400A: from=<>, size=10162, nrcpt=1 (queue active)
Mar 16 07:03:35 <myhost> postfix/qmgr[30151]: 5D8FC5401F: from=<>, size=3438, nrcpt=1 (queue active)
Mar 16 07:03:35 <myhost> postfix/smtp[503]: 3A4DD5400A: to=<gukudoq2867@verizon.net>, relay=relay.verizon.net[206.46.232.11]:25, delay=8862, delays=8862/0.01/0.58/0, dsn=4.0.0, status=deferred (host relay.verizon.net[206.46.232.11] refused to talk to me: 571 Email from <myip> is currently blocked by Verizon Online's anti-spam system. The email sender or Email Service Provider may visit http://www.verizon.net/whitelist and request removal of the block. 100315)
Mar 16 07:03:36 <myhost> postfix/smtp[501]: 9D6E454016: to=<Reinaldoprivat@eventio.ch>, relay=mail.eventio.ch[212.103.68.12]:25, delay=214505, delays=214503/0.01/0.89/0.15, dsn=4.0.0, status=deferred (host mail.eventio.ch[212.103.68.12] said: 451 http://www.barracudanetworks.com/reputation/?pr=1&ip=<myip> (in reply to RCPT TO command))

Проследил 1 почтовый адрес: fefepyb@uam.org.ua

Вот первое упоминание в логах:

Mar 13 23:07:28 <myhost> postfix/smtpd[21306]: connect from unknown[41.196.82.54]
Mar 13 23:07:29 <myhost> postfix/smtpd[21306]: 5B3D454001: client=unknown[41.196.82.54]
Mar 13 23:07:30 <myhost> postfix/cleanup[21309]: 5B3D454001: message-id=<200957880911.98506.fefepyb@uam.org.ua>
Mar 13 23:07:30 <myhost> postfix/qmgr[2987]: 5B3D454001: from=<fefepyb@uam.org.ua>, size=929, nrcpt=1 (queue active)
Mar 13 23:07:30 <myhost> postfix/local[21310]: warning: database /etc/aliases.db is older than source file /etc/aliases
Mar 13 23:07:30 <myhost> cyrus/master[21312]: about to exec /usr/lib/cyrus/bin/lmtpd
Mar 13 23:07:30 <myhost> cyrus/lmtpunix[21312]: executed
Mar 13 23:07:30 <myhost> cyrus/lmtpunix[21312]: accepted connection
Mar 13 23:07:30 <myhost> cyrus/lmtpunix[21312]: lmtp connection preauth'd as postman
Mar 13 23:07:30 <myhost> cyrus/lmtpunix[21312]: verify_user(user.sales) failed: Mailbox does not exist
Mar 13 23:07:30 <myhost> postfix/lmtp[21311]: 5B3D454001: to=<sales@<myhost>>, relay=<myhost> [/var/run/cyrus/socket/lmtp], delay=1.5, delays=1.5/0/0.01/0.01, dsn=5.1.1, status=bounced (host <myhost> [/var/run/cyrus/socket/lmtp] said: 550-Mailbox unknown. Either there is no mailbox associated with this 550-name or you do not have authorization to see it. 550 5.1.1 User unknown (in reply to RCPT TO command))
Mar 13 23:07:30 <myhost> postfix/cleanup[21309]: 83D135401C: message-id=<20100313210730.83D135401C@<myhost>>
Mar 13 23:07:30 <myhost> postfix/bounce[21313]: 5B3D454001: sender non-delivery notification: 83D135401C
Mar 13 23:07:30 <myhost> postfix/qmgr[2987]: 83D135401C: from=<>, size=3095, nrcpt=1 (queue active)
Mar 13 23:07:30 <myhost> postfix/qmgr[2987]: 5B3D454001: removed
Mar 13 23:07:30 <myhost> postfix/smtpd[21306]: disconnect from unknown[41.196.82.54]
Mar 13 23:08:00 <myhost> postfix/smtp[21301]: 83D135401C: to=<fefepyb@uam.org.ua>, relay=none, delay=30, delays=0.01/0/30/0, dsn=4.4.3, status=deferred (Host or domain name not found. Name service error for name=uam.org.ua type=MX: Host not found, try again)
Mar 13 23:08:30 <myhost> cyrus/master[2574]: process 21312 exited, status 0



Т.е. я так понял ситуация такая - пришло письмо с адреса fefepyb@uam.org.ua на наш адрес, но наш почтовик отсек письмо, т.к. такого user'a нет в почте. И теперь почтовик постоянно отправляет ответ на fefepyb@uam.org.ua с отчетом о недоставке. Тогда другой вопрос - могут ли эти отправки стать причиной того, что наш адрес занесен в черные списки СПАМ?

Может подскажете, каким образом закрыть возможность postfix'у отвечать на те письма, которые были присланы с левых адресов на несуществующий наш ящик?

postfix'у отвечать на те письма, которые были присланы с левых адресов на

несуществующий наш ящик?

local_recipient_maps не должен быть пустым

>Т.е. я так понял ситуация такая - пришло письмо с адреса fefepyb@uam.org.ua на наш адрес, но наш почтовик отсек письмо, т.к. такого user'a нет в почте. И теперь почтовик постоянно отправляет ответ на fefepyb@uam.org.ua с отчетом о недоставке.
Это нормальное поведение почтовика.

покажите master.cf

Это нормальное поведение почтовика.

Почта для несуществующих пользователей должна отбрасываться на этапе
приема и никаких bounce при этом не должно отсылаться.
У вас local_recpipient_maps пустой, поэтому принимается почта для несуществующих пользователей , а потом делается ответное сообщение о том что такого пользователя нет.

#
# Postfix master process configuration file. For details on the format
# of the file, see the master(5) manual page (command: «man 5 master»).
#
# Do not forget to execute «postfix reload» after editing this file.
#
# ==========================================================================
# service type private unpriv chroot wakeup maxproc command + args
# (yes) (yes) (yes) (never) (100)
# ==========================================================================
smtp inet n - - - - smtpd
#submission inet n - - - - smtpd
# -o smtpd_tls_security_level=encrypt
# -o smtpd_sasl_auth_enable=yes
# -o smtpd_client_restrictions=permit_sasl_authenticated,reject
# -o milter_macro_daemon_name=ORIGINATING
#smtps inet n - - - - smtpd
# -o smtpd_tls_wrappermode=yes
# -o smtpd_sasl_auth_enable=yes
# -o smtpd_client_restrictions=permit_sasl_authenticated,reject
# -o milter_macro_daemon_name=ORIGINATING
#628 inet n - - - - qmqpd
pickup fifo n - - 60 1 pickup
cleanup unix n - - - 0 cleanup
qmgr fifo n - n 300 1 qmgr
#qmgr fifo n - - 300 1 oqmgr
tlsmgr unix - - - 1000? 1 tlsmgr
rewrite unix - - - - - trivial-rewrite
bounce unix - - - - 0 bounce
defer unix - - - - 0 bounce
trace unix - - - - 0 bounce
verify unix - - - - 1 verify
flush unix n - - 1000? 0 flush
proxymap unix - - n - - proxymap
proxywrite unix - - n - 1 proxymap
smtp unix - - - - - smtp
# When relaying mail as backup MX, disable fallback_relay to avoid MX loops
relay unix - - - - - smtp
   -o smtp_fallback_relay=
# -o smtp_helo_timeout=5 -o smtp_connect_timeout=5
showq unix n - - - - showq
error unix - - - - - error
retry unix - - - - - error
discard unix - - - - - discard
local unix - n n - - local
virtual unix - n n - - virtual
lmtp unix - - - - - lmtp
anvil unix - - - - 1 anvil
scache unix - - - - 1 scache
#
# ====================================================================
# Interfaces to non-Postfix software. Be sure to examine the manual
# pages of the non-Postfix software to find out what options it wants.
#
# Many of the following services use the Postfix pipe(8) delivery
# agent. See the pipe(8) man page for information about ${recipient}
# and other message envelope options.
# ====================================================================
#
# maildrop. See the Postfix MAILDROP_README file for details.
# Also specify in main.cf: maildrop_destination_recipient_limit=1
#
maildrop unix - n n - - pipe
flags=DRhu user=vmail argv=/usr/bin/maildrop -d ${recipient}
#
# See the Postfix UUCP_README file for configuration details.
#
uucp unix - n n - - pipe
flags=Fqhu user=uucp argv=uux -r -n -z -a$sender - $nexthop!rmail ($recipient)
#
# Other external delivery methods.
#
ifmail unix - n n - - pipe
flags=F user=ftn argv=/usr/lib/ifmail/ifmail -r $nexthop ($recipient)
bsmtp unix - n n - - pipe
flags=Fq. user=bsmtp argv=/usr/lib/bsmtp/bsmtp -t$nexthop -f$sender $recipient
scalemail-backend unix   -   n   n   -   2   pipe
flags=R user=scalemail argv=/usr/lib/scalemail/bin/scalemail-store ${nexthop} ${user} ${extension}
mailman unix - n n - - pipe
flags=FR user=list argv=/usr/lib/mailman/bin/postfix-to-mailman.py
${nexthop} ${user}

local_recipient_maps не должен быть пустым

каким образом должна выглядеть эта опция в настройках? есть пример структуры списка локальных адресов? это мне нужно все локальные адреса загонять в файл?

Сделал
local_recipient_maps = regexp:/etc/postfix/myusers

файл myusers

admin@<myhost>
inform@<myhost>
...

В итоге вся почта, которая приходит извне просто отсекается. Что-то не так. Мне нужно чтобы отсекалась только та почта, которая идет с ответом о недоставке с пустого адреса.

Сделал

local_recipient_maps = hash:/etc/postfix/myusers

потом команду postmap /etc/postfix/myusers

файл myusers

admin@<myhost> admin
inform@<myhost> inform
....

всеравно лезет почта с from=<>
Ну что еще не так?!

есть пример структуры списка локальных адресов?

А в main.cf разве нет ?

А в чем выше у меня ошибка? почему нет никаких изменений в логах?!

C теми вопросами, которые у Вас возникают, рекомендация только одна - читать долго и вдумчиво документацию по postfix, да и вобще по linux. Ну честно, стыдно должно быть задавать столько глупых вопросов не утруждая себя поиском и чтением нуу просто вобще. Особенно, если это относится к вашей профессиольной деятельности.

Да я уже 2-й день только и делаю что читаю... нахожу примеры , конфиги разные. Для меня это деятельность не является основной, и столкнулся с этими проблемами 1-й раз. Вы увидели ошибку в конфиге? Ну так скажите где, зачем хаять.. Я делаю так как советуют тут. Сказали local_recipient_maps, пожалуйста, сделал.

Ведь я задал абсолютно простой вопрос. Мне дали ответ:

Почта для несуществующих пользователей должна отбрасываться на этапе

приема и никаких bounce при этом не должно отсылаться.

Значит почта с пустых адресов не должна идти, но я не знаю как ее отбросить и поиски в сети ответа не дали! Ну если Вам сложно помочь, то я и не прошу Вас. Может помогут те, кто с этим сталкивался и когда-то тоже был в похожей ситуации.

smtpd_recipient_restrictions =
...
reject_unverified_recipient
...
не?

http://rutracker.org/forum/viewtopic.php?t=1237736
«Пустой адрес» (<>) - это специальный служебный адрес, использующийся для служебных сообщений. Я это уже писал.

«Во первых, никогда не блокируйте пустого отправителя конверта (<>). Этот адрес принадлежит MAILER DAEMON, почтовый сервер использует его при отправке возвратов и уведомлений о состоянии. Если заблокировать этот адрес, то удаленные серверы не смогут сообщить вашим пользователям о том, что с отправленными ими сообщениями возникли проблемы.» (с)

http://rutracker.org/forum/viewtopic.php?t=1237736

local_recipient_maps по умолчанию содержит значение, подходящее вам, если вы только не используете какие-то не NSS-овские хранилище учёток. Например, LDAP, *SQL. Так что, если это ваш случай (вы не используете внешние БД), то просто уберите local_recipient_maps из main.conf

#postconf local_recipient_maps
#postconf -d local_recipient_maps

В итоге вся почта, которая приходит извне просто отсекается. Что-то не так. Мне нужно чтобы отсекалась только та почта, которая идет с ответом о недоставке с пустого адреса.

Для таких админов имеется спец. черная база, rfc-ignorant называется
http://www.rfc-ignorant.org/tools/submit_form.php?table=dsn

>Почта для несуществующих пользователей должна отбрасываться на этапе приема и никаких bounce при этом не должно отсылаться.

Пруф?

>Для таких админов имеется спец. черная база
Да не забивайте человеку моск. Сначала бы ему понять, что он хочет.

markevichus, спасибо.

теперь объясню кратко предысторию. 2 дня возвращается письмо с ошибкой - хост в black list. начинаю копать логи почтовика. вижу что с адреса <> идет почта на левые адреса, которые возвращают ошибку в связи с блокировкой моего хоста. закрываю 25-й порт на всякий случай, т.к. в сети есть зараженный ПК. убираю хост из black list, иду спокойно домой, прихожу утром - смотрю в 6 утра хост помещен в тот же black list. При этом всю ночь работали только 2 ПК - почтовый сервак и мой ПК, который напичкан антивирусниками и чист. Снова смотрю логи и вижу что с адреса <> идет почта на левые адреса всю ночь и потом возврат с ошибкой в связи с попаданием в этот самый black list!, в который собственно мой хост утром и попал. Т.к. сталкиваюсь с таким первый раз, то конечно я подумал что тут связь именно с этими письмами. Если не с этим, то с чем?! Откуда попадание в black list с полностью закрытым серваком?! Вот отсюда возникла эта тема. Извиняюсь если особо нервных привел в ярость. На ошибках учатся, буду дальше искать решение проблемы, т.к. она не решена.

если я правильно понял, проблема с хроническим попаданием вашего смтп сервера в блеклисты. ее и надо решать (об этом читайте ниже). согласен с markevichus, что адрес <> блокировать не следует, это не какой-то левый пустой адрес, а адрес самого смтп сервера.

рассмотрим ситуацию с письмом с адреса fefepyb@uam.org.ua. письмо пришло на несуществующий адрес в вашем домене, postfix не знал ничего о локальных ящиках (не был настроен local_recipient_maps), поэтому он принял письмо, закрыл смтп сессию и попытался отдать письмо cyrus'у (это ваш pop3/imap сервер). в cyrus'е такого ящика нет, поэтому postfix'у пришлось сгенерировать bounce сообщение. но так как домен uam.org.ua не функционирует (в этом можно убедиться командой «dig mx uam.org.ua»), то bounce сообщение останется лежать в исходящей очереди и postfix периодически будет делать попытки его доставить. очевидно, что данное bounce сообщение в очереди никак не связано с попаданием смтп сервера в черные списки. единственный минус - письмо занимает место в очереди и логи засоряются сообщениями о безуспешных попытках его доставить, не более того. но если хотите, чтобы логи дальше не засорялись, можно удалить это письмо из очереди (как - посмотрите в доках к postfix'у).

после настройки local_recipient_maps, postfix будет знать какие адреса существуют в вашем домене, и как уже написал выше vlb, postfix будет отвергать письма на несуществующие адреса уже во время смтп сессии, и генерировать bounce ему уже не нужно.
при такой настройке надо позаботиться, чтобы адреса в local_recipient_maps и ящики в cyrus'е были синхронизированы. то есть добавляя ящик в cyrus, надо и добавить адрес и в local_recipient_maps.

чтобы не париться с синхронизацией, некоторые настраивают postfix и cyrus так, чтобы они брали список адресов/ящиков из общего места - из ldap/*sql/etc.

насчет попадания смтп в черные списки. когда вы исключаете свой смтп из черного списка, обычно можно посмотреть письмо с заголовками и/или лог смтп сессии, которые были причиной попадания сервера в черный список. вот это и надо проанализировать и поправить настройки софта/cети. общие рекомендации - запретить open relay, на файрволле зафильтровать клиентским машинам выход по внешний мир по 25/tcp, ограничить число исходящих писем в единицу времени и т.п.

anonymous, спасибо. Доходчиво объяснили. В принципе я уже разобрался, порт закрыл давно и теперь буду уже следить за почтовиком.

>> Почта для несуществующих пользователей должна отбрасываться на этапе приема и никаких bounce при этом не должно отсылаться.

Пруф?

Логика. В этом случае боунс - проблема передающего сервера.

>> local_recipient_maps не должен быть пустым

каким образом должна выглядеть эта опция в настройках? есть пример структуры

списка локальных адресов? это мне нужно все локальные адреса загонять в файл?

Есть ещё вариант отказаться от использования Postfix в пользу Sendmail или Exim: они умеют спрашивать от доступности ящика у Cyrus Imap. Описание есть тут: http://anfi.homeunix.org/personal/ . Вообще, может быть, можно обучить и Postfix, но этого я не знаю.