Dotaz: Vlastní SMTP server

Tak jsem si o tom přečetl a ... není.

# grep mx -i /etc/ddclient.conf 
mx=moje_domena.tld
backupmx=yes

Právě jsem si to ověřil. Také posílám z jiné adresy, která je z dyndns.org a nesedí to s reverzní od poskytovatele (akorát mám upc). Mail na seznam prošel bez problémů.

myhostname = jardasmid.homeftp.org
mydomain = jardasmid.homeftp.org

# /etc/postfix/main.cf
# See /usr/share/postfix/main.cf.dist for a commented, more complete version
 
smtpd_banner = $myhostname ESMTP
biff = no
 
# appending .domain is the MUA's job.
append_dot_mydomain = no
 
# Uncomment the next line to generate "delayed mail" warnings
#delay_warning_time = 4h
 
myhostname = notebook.domena.net
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
mydestination = notebook, notebook.domena.net, localhost.localdomain, localhost
relayhost =
mynetworks = 127.0.0.0/8
mailbox_command = 
mailbox_size_limit = 0
recipient_delimiter = +

queue_directory = /var/spool/postfix
command_directory = /usr/sbin
daemon_directory = /usr/libexec/postfix
mail_owner = postfix
myhostname = b80.ol.ntw.fcanet.cz
myorigin = $myhostname
inet_interfaces = all
mydestination = $myhostname, localhost
unknown_local_recipient_reject_code = 550
mynetworks = 10.0.0.0/24, 127.0.0.0/8
relayhost = [194.228.30.71]
in_flow_delay = 1s
alias_database = hash:/etc/aliases
header_checks = regexp:/etc/postfix/body_checks.txt
body_checks = regexp:/etc/postfix/body_checks.txt
debug_peer_level = 2
debugger_command =
	 PATH=/bin:/usr/bin:/usr/local/bin:/usr/X11R6/bin
	 xxgdb $daemon_directory/$process_name $process_id & sleep 5
sendmail_path = /usr/sbin/sendmail.postfix
newaliases_path = /usr/bin/newaliases.postfix
mailq_path = /usr/bin/mailq.postfix
setgid_group = postdrop
html_directory = no
manpage_directory = /usr/share/man
sample_directory = /usr/share/doc/postfix-2.3.3/samples
readme_directory = /usr/share/doc/postfix-2.3.3/README_FILES

Jak jseš u telekomu tak se vykašli na svůj smtp a použij ten od telekomu.

Případně si můžeš pořídit vlastní aby jsi mohl odesílat emaily i jak nejseš připojený a nastav to aby je předával SMTP tvému poskytovateli a jak se připojíš tak je postfix odešle.

KMail mi vyhodí: Není možné se spojit s hostitelem smtp.seznam.cz. Server mám nastavený na smtp.seznam.cz, port 25, zaškrtnuto server vyžaduje autorizaci.

Tak tak!

Jenže já nemám dinamické IP, leda tak dynamické. Možná tomu hovno rozumím, ale Vy zrovna tak, jinak byste místo těch keců poradil, jak to zprovoznit. Kdyz mi reknete, jaky ma muj ISP smtp server, tak se klidne k nemu pripojim. Mam pausalni pripojeni od O2 za 800 Kč měsíčně, dostal jsem akorát číslo 971503322 a jméno a heslo quick, quick. Ale není so stejné, jako bych si na netu zaregistroval ucen na quicku, protoze pres tohle cislo se pripoji pouze ten, kdo ma ten pausal a i kdyz to jede pres quick, pochybuju, ze budu moci pristoupit na jejich smtp, když nemůžu na seznam. Je to předražené, ale u nás prostě nic jiného není. Pokud se někdy uchýlím k rozesílání spamu, budete první na seznamu (vtip).

Pokud víte, jak server zabezpečit, pak nechápu, o čem je tahle celá diskuze – to, na co se ptáte, je totiž pouhý zlomeček toho, co musíte pro zabezpečení toho serveru vědět.

Já netvrdím, že budete spam rozesílat schválně. Ale ona věta "až to bude fungovat, zabezpečím to" je přesně to, o čem mluvím. Nastavení SMTP totiž neznamená jenom jej zprovoznit, aby odesílal maily, ale také to třeba znamená nastavit ho tak, aby odesílal co nejméně zpráv při chybách, ale zároveň žádnou podstatnou chybu nezamlčel. I když vám bude server poštu odesílat správně, stačí maličkost v konfiguraci, a při jakékoli chybě vám server vygeneruje klidně stovky chybových e-mailů a bude se je pokoušet doručit na nějaké nesmyslné adresy. A onou jakoukoli chybou klidně může být přerušení spojení třeba se Seznamem, které prostě nastávat bude.

Jak problém vyřešit jsem pro bystré už psal, tak ještě jednou polopatě:

Z dynamicky přidělované IP adresy se nepokoušejte rozesílat e-maily přímo na cílové servery (dle MX záznamu, tzv. smart host), nebude vám to fungovat – spousta serverů blokuje komunikaci z takových IP adres, protože z nich přichází pouze spam. Takže v tomto případě radím: nedělejte to, nejde to, a to z důvodů, které nemůžete ovlivnit (tedy pokud nepřesvědčíte správce e-mailových serverů na celém světě, že přijímat e-maily z dynamicky přidělovaných IP adres je dobré a mají to povolit; a pokud snad z takové IP adresy chodí spam, nemají jí dávat na blacklist, protože příště jí třeba dostanete vy). Různé "rady" zde ohledně DNS nemají nic společného s realitou, jediné, co se u odesílajícího serveru může kontrolovat, je reverzní záznam dané IP adresy (zda existuje, případně se podle jeho tvaru "odhaduje", zda jde o dynamicky přidělovanou IP adresu - což je jeden ze způsobů, jak dynicky přidělované IP adresy rozpoznávají moulové). Reverzní záznam s žádným dynamickým DNS nepořídíte, reverzní záznam IP adresy spravuje její "majitel", tedy váš ISP.

Takže zbývá možnost posílat e-maily přes relay. Tedy budete v Postfixu nastavovat úplně to samé, co byste nastavoval ve svém poštovní klientovi (třeba Thunderbird), jenom to bude daleko složitější a nejspíš se vám podaří server nakonfigurovat tak, že bude odesílat spoustu chybových hlášek. Nepředpokládám, že by si to Seznam nebo kyslíci nechali dlouho líbit, tak vás alespoň odstřihnou a bude pokoj. Opakuji ještě jednou, následující nastavení používá úplně stejnou cestu, jakou by použil váš poštovní klient – pokud tedy jemu bude trvat doručování dlouho, bude trvat dlouho i tímto způsobem, navíc se ale nejspíš vygeneruje několik e-mailů s chybovou hláškou. Pokud budou špatně nastavené názvy v postfixu, i tyto chybové e-maily vygenerují další chybové e-maily. Jejich počet roste lineárně nebo exponenciálně, záleží na tom, zda se k jedné chybě generuje jen jedno hlášení, nebo se chyba hlásí opakovaně. Ale věřte, že chybové hlášky dokáže mailový server generovat sakra rychle. (Jediný DoS útok na server, který jsem zažil, byl DoS "útok" sám na sebe, když mail server na Novellu zahltil sám sebe chybovými e-maily.)

Tak tedy nastavení Postfixu, aby používal nadřazený relay server:

1. Zjistěte si SMTP server vašeho ISP, nejlépe od technické podpory onoho ISP. Pokud vyžadují autentizaci jménem a heslem, zjistěte si i to. Je to SMTP server, který máte nejblíž, komunikace s ním bude tudíž nejrychlejší. Nepokoušejte se tam propašovat SMTP server Seznamu, to je jediný a pravý důvod vašich problémů – ten server je daleko a je přetížený, proto s ním máte problémy.
2. Nakonfigurujte následující parametry Postfixu:

   relayhost = smtp.server.isp  # SMTP server vašeho ISP
   smtp_sasl_auth_enable=yes    # povolení autentizace jménem a heslem vůči SMTP serveru
   smtp_sasl_password_maps=dbm:/etc/postfix/sasl_client # mapa mapující jméno domény nebo hosta na dvojici jméno:heslo pro autentuzaci

Pokud SMTP server vyžaduje autentizaci jménem a heslem, musíte nakonfigurovat i ony řádky smtp_sasl_* (pokud se autentizujete jen tím, že máte IP adresu z rozsahu ISP, stačí jen relayhost). Samozřejmě proto musíte mít Postfix s podporou SASL, vytvořit si příslušnou mapu…

Nebo taky můžete údaje získané v bodu 1. na pár kliknutí vyplnit v Thunderbirdu, Evolutionu nebo něčem podobném. Bude to řádově jednodušší a výsledný efekt bude výrazně lepší i pro vás – nebudete svou schránku nebo cizí servery obtěžovat chybovými zprávami, nebudete muset řešit, jestli není chyba v konfiguraci vašeho serveru.

Opravdu mám rád ty dotazy, kde se podaří křížovým výslechem tázajícího zjistit, co vlastně chce, a poradí se mu nějaký rozumný způsob, jak to udělat, případně důvod, proč to vůbec nedělat a problém vyřešit jinak. Ale tázající trvá na tom, že mu musíme poradit, jak to má udělat tak blbě, jak si on vymyslel. Zatím vždycky to dopadlo tak, že po několika dnech bojů tázající zjistil, že tím jeho způsobem to opravdu nejde. Myslíte, že budete první, kdo tohle pravidlo prolomí?