AbcLinuxu:/ Poradna / Linuxová poradna / Postfix - amavisd dkim + ip bypass pomocí check accessu

Štítky: AMaViS, antiviry, bez, cat, e-mail, mail, malware, MTA, nastavení, port, Postfix, pošta, SMTP, SpamAssassin

Dotaz: Postfix - amavisd dkim + ip bypass pomocí check accessu

5.11.2012 11:17 mman
Postfix - amavisd dkim + ip bypass pomocí check accessu

Přečteno: 700×

Odpovědět | Admin

Ahoj. Podle návodu jsem rozjel DKIM v amavisd-new tak, že pomocí check_sender_access rozeznám, jestli je mail vytvářen nebo by měl být jen kontrolován. Funguje to, ale vůbec se mi to nezdá, protože si myslím, že je to špatně. V main.cf mám:

smtpd_sender_restrictions = check_sender_access regexp:/etc/postfix/tag_as_originating.re,
                            permit_mynetworks,
                            permit_sasl_authenticated,
                            check_sender_access regexp:/etc/postfix/tag_as_foreign.re

,kde

cat /etc/postfix/tag_as_foreign.re 
/^/  FILTER amavisfeed:[127.0.0.1]:10024

cat /etc/postfix/tag_as_originating.re 
/^/  FILTER amavisfeed:[127.0.0.1]:10026

V amavisd.conf mám policy pro port 10026:

$interface_policy{'10026'} = 'ORIGINATING';

$policy_bank{'ORIGINATING'} = {  # mail supposedly originating from our users
  originating => 1,  # declare that mail was submitted by our smtp client
  allow_disclaimers => 1,  # enables disclaimer insertion if available
  # notify administrator of locally originating malware
  virus_admin_maps => ["postmaster\@$mydomain"],
  spam_admin_maps  => ["postmaster\@$mydomain"],
  warnbadhsender   => 1,
  # forward to a smtpd service providing DKIM signing service
  forward_method => 'smtp:[127.0.0.1]:10027',
  # force MTA conversion to 7-bit (e.g. before DKIM signing)
  smtpd_discard_ehlo_keywords => ['8BITMIME'],
  bypass_banned_checks_maps => [1],  # allow sending any file names and types
  terminate_dsn_on_notify_success => 0,  # don't remove NOTIFY=SUCCESS option
};

Jinak další běžné DKIM nastavení mám globálně (enable_dkim_verification, enable_dkim_signing, ...). Moc nechápu, že to může fungovat, protože příchozí pošta projde amavisem 2x (i podle logu), tj. poprvé by si měl amavis myslet, že poštu vytvářím a podruhé zkontrolovat. Nevíte proč to tahle funguje? Jak by se to dalo upravit, aby to fungovalo tak jak má (tj. projde to amavisem 1x)?

Dále chci vytvořit v amavisu bypass bez spamassassin skenu pro maily pocházející z určitých IP adres. Teoreticky to lze udělat pomocí "smtpd_client_restrictions = check_client_access hash:/etc/postfix/amavis_bypass" tak, že v tomto souboru odfiltruji bypass IP adresy a pošlu je na daný port amavisu, kde dám nějakou interface_policy. Jenomže takto to prakticky nemohu nastavit, protože už používám smtpd_sender_restrictions, kde už maily posílám amavisu. Nedokázal by mi někdo poradit, jak toto nastavit?

Nástroje: Začni sledovat (0) ?

Odpovědi

5.11.2012 14:39 bigBRAMBOR | skóre: 37
Rozbalit Rozbalit vše Re: Postfix - amavisd dkim + ip bypass pomocí check accessu

mam podobne nastaveni, ale na donutil jsem vsechny, a pro nasi odchozi postu pouzivam pouze SSL 465 a submusion 587 -> amavisd 10026, samozrejme SASL, a pokud nekdo posila pres 25, musi zkousnout ze se posta kontroluje na spamy, prilohy, apod. a je klid.

jo a forward na 10027 opravdu mas a neco na 10027 posloucha, nebo to je jenom pozustatek defaultniho nastaveni amavisd? pro DKIM primo v amavisdu to neni potreba.

5.11.2012 18:37 mman
Rozbalit Rozbalit vše Re: Postfix - amavisd dkim + ip bypass pomocí check accessu

10027 skutečně mám. Původně to byla příprava pro milter, ale nakonec všechno dělá amavis a to nastavení jsem tam nechal. Celé je to vlastně nastaveno podle http://www.ijs.si/software/amavisd/amavisd-new-docs.html#dkim. Nejvíce mi na tom vadí, že ačkoliv je tohle podle oficiálního návodu pro amavis, tak mi to nedává logický smysl. Nedá se nějak nastavit podmíněné filtrování, např. pokud platí permit_sasl_authenticated, neukončuj ještě kontrolu, ale proveď check_sender_access?

6.11.2012 08:00 bigBRAMBOR | skóre: 37
Rozbalit Rozbalit vše Re: Postfix - amavisd dkim + ip bypass pomocí check accessu

no ja se prave check_sender_access snazil vyhnout, a resil jsem rozdeleni na maily prichazejici a odchazejici jinak, portem, jinak jsem cerpal hodne z tohoto navodu http://www200.pair.com/mecham/spam/bypassing.html

17.5.2018 08:49 waclaw66 | skóre: 5
Rozbalit Rozbalit vše Re: Postfix - amavisd dkim + ip bypass pomocí check accessu

Ahoj. Muze mi nekdo vysvetlit jak tu funguje ten smtpd_sender_restrictions? Nechapu ze i kdyz jsou regularni vyrazy stejne, dojde k presmerovani na ruzne porty? Zalezi tedy nejak na poradi polozek v smtpd_sender_restrictions? Resim aktualne podobny problem. Prichozi posta jde defaultne na 10024:

content_filter = smtp-amavis:[127.0.0.1]:10024

a odchozi spam z lokalu je zamitan:

$policy_bank{'MYNETS'} = {   # mail originating from @mynetworks
  originating => 1,  # is true in MYNETS by default, but let's make it explicit
  final_spam_destiny => D_REJECT,
  final_virus_destiny => D_REJECT,
};

tohle funguje, ale jeste bych chtel zamitat i odchozi spam odesilany zvenku, ale jak to udelat? Myslel jsem tu postu nejak identifikovat a preposlat na

$policy_bank{'ORIGINATING'}

, kde jsem dal take

final_spam_destiny => D_REJECT

ale nevim jak to zapsat do smtpd_sender_restrictions

Diky!

17.5.2018 09:59 waclaw66 | skóre: 5
Rozbalit Rozbalit vše Re: Postfix - amavisd dkim + ip bypass pomocí check accessu

Metodou pokus omyl jsem pochopil, ze check_sender_access pouze nastavi cilovy filtr, ale az permit_* ukonci vyhodnocovani, tj. pokud permit_* neprojde a pokracuje se v dalsim pravidle. Proto regularni vyraz nema zadny vyznam, ale dulezite je pouze vzajemne poradi check_sender_access a permit_*.

Založit nové vlákno • Nahoru

Tiskni Sdílej: