Administrace komentářů

Pokud víte, jak server zabezpečit, pak nechápu, o čem je tahle celá diskuze – to, na co se ptáte, je totiž pouhý zlomeček toho, co musíte pro zabezpečení toho serveru vědět.

Já netvrdím, že budete spam rozesílat schválně. Ale ona věta "až to bude fungovat, zabezpečím to" je přesně to, o čem mluvím. Nastavení SMTP totiž neznamená jenom jej zprovoznit, aby odesílal maily, ale také to třeba znamená nastavit ho tak, aby odesílal co nejméně zpráv při chybách, ale zároveň žádnou podstatnou chybu nezamlčel. I když vám bude server poštu odesílat správně, stačí maličkost v konfiguraci, a při jakékoli chybě vám server vygeneruje klidně stovky chybových e-mailů a bude se je pokoušet doručit na nějaké nesmyslné adresy. A onou jakoukoli chybou klidně může být přerušení spojení třeba se Seznamem, které prostě nastávat bude.

Jak problém vyřešit jsem pro bystré už psal, tak ještě jednou polopatě:

Z dynamicky přidělované IP adresy se nepokoušejte rozesílat e-maily přímo na cílové servery (dle MX záznamu, tzv. smart host), nebude vám to fungovat – spousta serverů blokuje komunikaci z takových IP adres, protože z nich přichází pouze spam. Takže v tomto případě radím: nedělejte to, nejde to, a to z důvodů, které nemůžete ovlivnit (tedy pokud nepřesvědčíte správce e-mailových serverů na celém světě, že přijímat e-maily z dynamicky přidělovaných IP adres je dobré a mají to povolit; a pokud snad z takové IP adresy chodí spam, nemají jí dávat na blacklist, protože příště jí třeba dostanete vy). Různé "rady" zde ohledně DNS nemají nic společného s realitou, jediné, co se u odesílajícího serveru může kontrolovat, je reverzní záznam dané IP adresy (zda existuje, případně se podle jeho tvaru "odhaduje", zda jde o dynamicky přidělovanou IP adresu - což je jeden ze způsobů, jak dynicky přidělované IP adresy rozpoznávají moulové). Reverzní záznam s žádným dynamickým DNS nepořídíte, reverzní záznam IP adresy spravuje její "majitel", tedy váš ISP.

Takže zbývá možnost posílat e-maily přes relay. Tedy budete v Postfixu nastavovat úplně to samé, co byste nastavoval ve svém poštovní klientovi (třeba Thunderbird), jenom to bude daleko složitější a nejspíš se vám podaří server nakonfigurovat tak, že bude odesílat spoustu chybových hlášek. Nepředpokládám, že by si to Seznam nebo kyslíci nechali dlouho líbit, tak vás alespoň odstřihnou a bude pokoj. Opakuji ještě jednou, následující nastavení používá úplně stejnou cestu, jakou by použil váš poštovní klient – pokud tedy jemu bude trvat doručování dlouho, bude trvat dlouho i tímto způsobem, navíc se ale nejspíš vygeneruje několik e-mailů s chybovou hláškou. Pokud budou špatně nastavené názvy v postfixu, i tyto chybové e-maily vygenerují další chybové e-maily. Jejich počet roste lineárně nebo exponenciálně, záleží na tom, zda se k jedné chybě generuje jen jedno hlášení, nebo se chyba hlásí opakovaně. Ale věřte, že chybové hlášky dokáže mailový server generovat sakra rychle. (Jediný DoS útok na server, který jsem zažil, byl DoS "útok" sám na sebe, když mail server na Novellu zahltil sám sebe chybovými e-maily.)

Tak tedy nastavení Postfixu, aby používal nadřazený relay server:

1. Zjistěte si SMTP server vašeho ISP, nejlépe od technické podpory onoho ISP. Pokud vyžadují autentizaci jménem a heslem, zjistěte si i to. Je to SMTP server, který máte nejblíž, komunikace s ním bude tudíž nejrychlejší. Nepokoušejte se tam propašovat SMTP server Seznamu, to je jediný a pravý důvod vašich problémů – ten server je daleko a je přetížený, proto s ním máte problémy.
2. Nakonfigurujte následující parametry Postfixu:

   relayhost = smtp.server.isp  # SMTP server vašeho ISP
   smtp_sasl_auth_enable=yes    # povolení autentizace jménem a heslem vůči SMTP serveru
   smtp_sasl_password_maps=dbm:/etc/postfix/sasl_client # mapa mapující jméno domény nebo hosta na dvojici jméno:heslo pro autentuzaci

Pokud SMTP server vyžaduje autentizaci jménem a heslem, musíte nakonfigurovat i ony řádky smtp_sasl_* (pokud se autentizujete jen tím, že máte IP adresu z rozsahu ISP, stačí jen relayhost). Samozřejmě proto musíte mít Postfix s podporou SASL, vytvořit si příslušnou mapu…

Nebo taky můžete údaje získané v bodu 1. na pár kliknutí vyplnit v Thunderbirdu, Evolutionu nebo něčem podobném. Bude to řádově jednodušší a výsledný efekt bude výrazně lepší i pro vás – nebudete svou schránku nebo cizí servery obtěžovat chybovými zprávami, nebudete muset řešit, jestli není chyba v konfiguraci vašeho serveru.

Opravdu mám rád ty dotazy, kde se podaří křížovým výslechem tázajícího zjistit, co vlastně chce, a poradí se mu nějaký rozumný způsob, jak to udělat, případně důvod, proč to vůbec nedělat a problém vyřešit jinak. Ale tázající trvá na tom, že mu musíme poradit, jak to má udělat tak blbě, jak si on vymyslel. Zatím vždycky to dopadlo tak, že po několika dnech bojů tázající zjistil, že tím jeho způsobem to opravdu nejde. Myslíte, že budete první, kdo tohle pravidlo prolomí?