forum.opennet.ru - "Фильтр для sendmail" (19)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"Фильтр для sendmail"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Фильтр для sendmail"
Сообщение от pavel_i (ok) on 01-Ноя-06, 18:04
Здравствуйте все! Есть одна сложность: не знаю как корректно отсеить (т.е. какое правило можно добавить в sendmail.mc) в спам письма с таким заголовком : Microsoft Mail Internet Headers Version 2.0 Received: from localhost ([80.68.5.26]) by mxhost.мойдомен.ru (8.13.8/8.13.1) with SMTP id kA1DfJMU039882 for <pavel@мойдомен.ru>; Wed, 1 Nov 2006 16:41:21 +0300 (MSK) (envelope-from yi8@bart.nl) Message-ID: <52d401c6fdba$5403637e$4daa0df5@bart.nl> В заголовке пиcьма один Received. У меня пока такие письма проскакивают, Spamassassin против них тоже не помогает. Спасибо всем, кто ответит!
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Фильтр для sendmail, Medlar, 18:24 , 01-Ноя-06, (1)

Фильтр для sendmail, pavel_i, 18:38 , 01-Ноя-06, (2)

Фильтр для sendmail, Medlar, 18:49 , 01-Ноя-06, (3)

Фильтр для sendmail, pavel_i, 14:06 , 08-Ноя-06, (5)

Фильтр для sendmail, Medlar, 14:39 , 08-Ноя-06, (6)

Фильтр для sendmail, pavel_i, 14:56 , 08-Ноя-06, (7)

Фильтр для sendmail, Medlar, 15:16 , 08-Ноя-06, (8)

Фильтр для sendmail, pavel_i, 15:41 , 08-Ноя-06, (9)

Фильтр для sendmail, Medlar, 15:57 , 08-Ноя-06, (10)

Фильтр для sendmail, pavel_i, 16:24 , 08-Ноя-06, (11)
Фильтр для sendmail, pavel_i, 16:31 , 08-Ноя-06, (12)

Фильтр для sendmail, Medlar, 16:48 , 08-Ноя-06, (13)

Фильтр для sendmail, pavel_i, 17:02 , 08-Ноя-06, (14)
Фильтр для sendmail, pavel_i, 17:41 , 08-Ноя-06, (15)
Фильтр для sendmail, Medlar, 18:16 , 08-Ноя-06, (16)
Фильтр для sendmail, pavel_i, 18:28 , 08-Ноя-06, (18)
Фильтр для sendmail, Medlar, 18:44 , 08-Ноя-06, (19)
Фильтр для sendmail, pavel_i, 18:19 , 08-Ноя-06, (17)

Фильтр для sendmail, sypperpit, 19:13 , 01-Ноя-06, (4)

Сообщения по теме [Сортировка по времени, UBB]

1. "Фильтр для sendmail"

Сообщение от Medlar on 01-Ноя-06, 18:24

http://www.anrb.ru/linux/sendmail.html#13

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Фильтр для sendmail"

Сообщение от pavel_i (ok) on 01-Ноя-06, 18:38

>http://www.anrb.ru/linux/sendmail.html#13
Этот метод мне знаком. Он потребует от меня изучение всех наших клиентов на предмет не установлен ли у них Exchange.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Фильтр для sendmail"

Сообщение от Medlar on 01-Ноя-06, 18:49

>>http://www.anrb.ru/linux/sendmail.html#13
>
>Этот метод мне знаком. Он потребует от меня изучение всех наших клиентов
>на предмет не установлен ли у них Exchange.
Задача в блокировке почты со стороны с единственным Received:?
Тогда никак иначе его единственность не проверить.
Кстати, не от каждого Exchange приходят письма с единственным ресивд.
И любое блокирующее правило со временем вынуждает добавлять списки исключений, неважно по каким параметрам - ip-адресам, доменам, почтовикам.
То есть невозможно написать блокирующее правило и быть уверенным, что не случится ложного срабатывания. Все равно потом приходится что-то исправлять-добавлять. Все это индивидуально для каждой почтовой системы.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Фильтр для sendmail"

Сообщение от pavel_i (ok) on 08-Ноя-06, 14:06

>>>http://www.anrb.ru/linux/sendmail.html#13
>>
>>Этот метод мне знаком. Он потребует от меня изучение всех наших клиентов
>>на предмет не установлен ли у них Exchange.
>
>Задача в блокировке почты со стороны с единственным Received:?
>Тогда никак иначе его единственность не проверить.
>
>Кстати, не от каждого Exchange приходят письма с единственным ресивд.
>И любое блокирующее правило со временем вынуждает добавлять списки исключений, неважно по
>каким параметрам - ip-адресам, доменам, почтовикам.
>То есть невозможно написать блокирующее правило и быть уверенным, что не случится
>ложного срабатывания. Все равно потом приходится что-то исправлять-добавлять. Все это индивидуально
>для каждой почтовой системы.

Не понимаю одну вещь.
http://www.anrb.ru/linux/sendmail.html#13
Здесь есть правило
R< etc.bash.ru >                    $@ OK
R< mail.airrb.ru >                   $@ OK
Прописываю туда Echange домен, и все равно почта фильтруется.
Воспользовался этим:
#Разрешаем также почту из сетей, перечисленных в /etc/mail/nospam_relays:
R $-.$-.$-.$-                  $: $(NOSPAM $1.$2.$3.$4 $:$1.$2.$3 $)
R@MATCH                  $@ OK
R $-.$-.$-                  $: $(NOSPAM $1.$2.$3 $:$1.$2 $)
R@MATCH                  $@ OK
R $-.$-                  $: $(NOSPAM $1.$2 $)
R@MATCH                  $@ OK
Прописал в nospam_relays
82.142.172.178          @MATCH
сделал makemah hash nospam_relays < nospam_relays
Но все равно режет!
Как быть? В чем моя ошибка?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Фильтр для sendmail"

Сообщение от Medlar on 08-Ноя-06, 14:39

>
>Как быть? В чем моя ошибка?
покажи mc-файл

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Фильтр для sendmail"

Сообщение от pavel_i (ok) on 08-Ноя-06, 14:56

>>
>>Как быть? В чем моя ошибка?
>
>покажи mc-файл
MAILER(local)dnl
MAILER(smtp)dnl
LOCAL_CONFIG
#For full log to maillog
D{ME_Check}1
Ksyslog syslog
Kstorage macro
KDenied_IP hash /etc/mail/Denied_IP
KNOSPAM hash /etc/mail/nospam_relays
##################### SSSSSSSSSSSs
KNOSPAM01 regex -a@MATCH .*S0-OTT-XSMTP.*.NRCan.gc.ca.*|web.*mail.yahoo.com|umail.mtu.ru|mx0.mtu.ru|muan.mtu.ru|btr0x1.rz.uni-|.+ufanet.ru| mail2.100mb.net|ex
KSPAM7 regex -a@MATCH [0-9]+[._-]+[0-9]+[._-]+.*\[.+\]
KSPAM8 regex -a@MATCH ppp|customer|dhcp|dial|cable|modem|spool|adsl|dynamic
##################### SSSSSSSSSSS

KChMId regex -n -a@NOTMY mydomain\.ru
###30.10.06
KCH1 regex -a@YES messagelabs|outblaze|check1check|mindspring|bigfoot|funnymail|niagara|bellsouth.net|tiscali.it|wanadoo.fr|nic.*olastse.(com|net)|videotron.c
KCH2 regex -a@YES 216.200.145.37|4.79.181.14|sunrise.ch|videotron.ca|earthlink.net|netvision.net|user.msu.edu|guadalupano.com|chello.nl|midco.net|irex.ru|gmx.
KChHeader sequence CH1 CH2
###

LOCAL_RULESETS
SLocal_check_relay
R$*                     $: $(NOSPAM01 $&_ $)
R@MATCH                 $@ OK
R$*                     $: $(SPAM7 $&_ $)
R@MATCH                 $#error $: 553 Sorry, Your relay looks like SPAM7-relay: $&_. If not, please contact the  via another relay-ip.
R$*                     $: $(SPAM8 $&_ $)
R@MATCH                 $#error $: 553 Sorry, Your relay looks like SPAM8-relay: $&_. If not, please contact the  via another relay-ip.
R$*                     $: $&{client_addr}
R$-.$-.$-.$-            $: $(Denied_IP $1.$2.$3.$4 $)
RDISCARD                $#error $: 553 We get a lot of SPAM9 from your relay-ip: $&{client_addr}. If you are not a spamer, please contact the  via a

##################################################
# http://www.softerra.ru/freeos/19480/page1.html #
##################################################
HX-Mailer:              $>CheckMailer
HX-Server:              $>CheckMailer
SCheckMailer
RAdvanced Direct Remailer $*            $#error $@ 5.7.1 $: "554 Spam (ADR)"
RAdvanced Mass Sender $*                $#error $@ 5.7.1 $: "554 Spam (AMS)"
RSpammer $*                             $#error $@ 5.7.1 $: "554 Spam (Spammer)"
R$* Bomber $*                           $#error $@ 5.7.1 $: "554 Spam (Bomber)"
RMega-Mailer $*                         $#error $@ 5.7.1 $: "554 Spam (Mega-Mailer)"
RMMailer $*                             $#error $@ 5.7.1 $: "554 Spam (MMailer)"
RMailer $*                              $#error $@ 5.7.1 $: "554 Spam (Mailer)"
RLigra Mailer $*                        $#error $@ 5.7.1 $: "554 Spam (Ligra Mailer)"
RDynamic Opt-In Emailer $*              $#error $@ 5.7.1 $: "554 Spam(Dynamic Opt-In Emailer)"
R$* Group Spamer                        $#error $@ 5.7.1 $: "554 Spam (WE Group Spamer)"
RMail Sender $*                         $#error $@ 5.7.1 $: "554 Spam (Mail Sender)"
RMail Service $*                        $#error $@ 5.7.1 $: "554 Spam (Mail Service)"
RMailloop $*                            $#error $@ 5.7.1 $: "554 Spam (Mailloop)"
RPersMail $*                            $#error $@ 5.7.1 $: "554 Spam (PersMail)"
RLK SendIt $*                           $#error $@ 5.7.1 $: "554 Spam (LK SendIt)"
RWC Mail $*                             $#error $@ 5.7.1 $: "554 Spam (WC Mail)"
RZUBA ZUB $*                            $#error $@ 5.7.1 $: "554 Spam (ZUBA ZUB)"
RMailList Express $*                    $#error $@ 5.7.1 $: "554 Spam (MailList Express)"
RCaretop $*                             $#error $@ 5.7.1 $: "554 Spam (Caretop)"
RMailer Signature                       $#error $@ 5.7.1 $: "554 Spam (Mailer Si)"
Rnone                                   $#error $@ 5.7.1 $: "554 Spam (none)"
RPG-MAILINGLIST                         $#error $@ 5.7.1 $: "554 Spam (PG-MAILINGLIST)"
R$* advcomtest $*                       $#error $@ 5.7.1 $: "554 Spam (advcomtest)"
Ryo yo mail                             $#error $@ 5.7.1 $: "554 Spam (yo yo mail)"
RZanziMailer $*                         $#error $@ 5.7.1 $: "554 Spam (ZanziMailer)"
# Настоящий Outlook имеет версию вида: 5.0.23123244
RMicrosoft Outlook Express 5.0          $#error $@ 5.7.1 $: "554 Spam (Microsoft Outlook Express 5.0)"
RVersion 5.0                            $#error $@ 5.7.1 $: "554 Spam (Version 5.0)"
# Заблокируем все мейлеры с названием только из одного слова:
Rnethack                                $@ OK
RZ-Mail-SGI                             $@ OK
RDipost                                 $@ OK
RSquirrelMail                           $@ OK
R$-                                     $#error $@ 5.7.1 $: "554 Spam (one-word mailer)"
# Заблокируем письма с пустым заголовком
R$*                             $: < $1 >
R< >                            $#error $@ 5.7.1 $: "554 Illegal header (empty header)"
R$*                             $@ OK
HTo:                            $>CheckTo
HCc:                            $>CheckTo
HMessage-ID:                    $>CheckMessageID
# проверим поле To на "undisclosed-recipients;" или "undisclosed recipient"
# комбинации могут быть практически произвольными.
SCheckTo
R$*Recipient$*                  $#error $@ 5.7.1 $: "554 Unspecified Mailbox ID"
R$*Undisclosed$*                $#error $@ 5.7.1 $: "554 Unspecified Mailbox ID"
#проверим правильность формата поля Message-ID (оно должно быть в формате идентификатор@домен).
SCheckMessageID
# Record the presence of the header MessageId
R$*                     $: $(storage {MessageIdCheck} $@ $1 $) $1
R< $+ @ $+ >            $@ OK
R$*                     $#error $: "553 Header Error 1: Bad Message ID: $&{MessageIdCheck}"

##Настройки от 30.10.06 Проверяет все received для выявления спамерских подсетей
HReceived:                      $>+CheckReceived
H*:                             $>+CheckHeader
SCheckHeader
R$*                             $: $(ChHeader $&{currHeader} $)
R@YES                           $#error $: "553 Bad Header 1: We get a lot of spam from your relay-ip. If you are not a spamer, please contact the
# Record the presence of the header Received
SCheckReceived
R$*                     $: $(storage {ReceivedCheck} $@ OK $) $1
R$*                     $: $(ChHeader $1 $)
R@YES                   $#error $: "553 Bad Header 2: We get a lot of spam from your relay-ip. If you are not a spamer, please contact the  via anot
R$*                     $@ OK

###Отлуп с единственным Received
R$*                           $: $(storage {ReceivedCheck} $@ OK $) $1
HX-MIMEOLE:                     $>+CheckMIMEOLE
HX-MimeOLE:                     $>+CheckMIMEOLE
SCheckMIMEOLE
R$*Microsoft Exchange$*         $: $(storage {ME_Check} $@ 0 $)
Scheck_eoh
R$*                     $: <$&{ME_Check}>
R$*                     $: $(storage {ME_Check} $) $1
R<0>                    $@ OK
R$*                     $: < $&{ReceivedCheck} >
R$*                     $: $(syslog $&{ReceivedCheck} $1 $) $1
R$*                     $: $(storage {ReceivedCheck} $) $1
R< $+ >                 $@ OK
#Разрешаем также почту из нашей локальной сети:
R$*                     $: $&{client_addr}
R $* $=R $*             $@ OK
# Разрешаем почту, прошедшую smtp-авторизацию:
R$*                     $: < $&{auth_authen} >
R< $+ >                 $@ OK
#Разрешаем также почту из сетей, перечисленных в /etc/mail/nospam_relays:
R $-.$-.$-.$-           $: $(NOSPAM $1.$2.$3.$4 $:$1.$2.$3 $)
R@MATCH                 $@ OK
R $-.$-.$-              $: $(NOSPAM $1.$2.$3 $:$1.$2 $)
R@MATCH                 $@ OK
R $-.$-                 $: $(NOSPAM $1.$2 $)
R@MATCH                 $@ OK
# Во всех остальных случаях блокируем письмо:
R$*                     $#error $: "553 You are not a local user and you cannot send a letter to ."

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Фильтр для sendmail"

Сообщение от Medlar on 08-Ноя-06, 15:16

У меня там неточность.
Надо поменять местами проверки на авторизацию и локальную сеть
Иначе на вход в NOSPAM не то подается
# Разрешаем почту, прошедшую smtp-авторизацию:
R$*                     $: < $&{auth_authen} >
R< $+ >                 $@ OK
#Разрешаем также почту из нашей локальной сети:
R$*                     $: $&{client_addr}
R $* $=R $*             $@ OK
#Разрешаем также почту из сетей, перечисленных в /etc/mail/nospam_relays:
R $-.$-.$-.$-           $: $(NOSPAM $1.$2.$3.$4 $:$1.$2.$3 $)
R@MATCH                 $@ OK
R $-.$-.$-              $: $(NOSPAM $1.$2.$3 $:$1.$2 $)
R@MATCH                 $@ OK
R $-.$-                 $: $(NOSPAM $1.$2 $)
R@MATCH                 $@ OK
# Во всех остальных случаях блокируем письмо:
R$*                     $#error $: "553 You are not a local user and you cannot send a
letter to ."
Попробуй так, должно работать, с exchange потом разберемся

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Фильтр для sendmail"

Сообщение от pavel_i (ok) on 08-Ноя-06, 15:41

>У меня там неточность.
>Надо поменять местами проверки на авторизацию и локальную сеть
>Иначе на вход в NOSPAM не то подается
>
># Разрешаем почту, прошедшую smtp-авторизацию:
>
>R$*                     $: < $&{auth_authen} >
>R< $+ >                 $@ OK
>
>#Разрешаем также почту из нашей локальной сети:
>R$*
>         $: $&{client_addr}
>
>R $* $=R $*
>    $@ OK
>
>#Разрешаем также почту из сетей, перечисленных в /etc/mail/nospam_relays:
>R $-.$-.$-.$-
>$: $(NOSPAM $1.$2.$3.$4 $:$1.$2.$3 $)
>R@MATCH
>     $@ OK
>R $-.$-.$-
>   $: $(NOSPAM $1.$2.$3 $:$1.$2 $)
>R@MATCH
>     $@ OK
>R $-.$-
>      $: $(NOSPAM $1.$2 $)
>R@MATCH
>     $@ OK
># Во всех остальных случаях блокируем письмо:
>R$*
>         $#error $:
>"553 You are not a local user and you cannot send
>a
>letter to ."
>
>Попробуй так, должно работать, с exchange потом разберемся

Большое спасибо! Помогло! :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Фильтр для sendmail"

Сообщение от Medlar on 08-Ноя-06, 15:57

Непонятно, что ты пишешь про exchange
Говоришь, что добавляешь свой домен в исключения - так я этого в конфиге не вижу
А то, что ты используешь - это пропуск любого письма от exchange c единственным ресивд
Если это не срабатывает, добавь вывод в лог:
HX-MIMEOLE:                     $>+CheckMIMEOLE
HX-MimeOLE:                     $>+CheckMIMEOLE
SCheckMIMEOLE
R$*Microsoft Exchange$*         $: $(storage {ME_Check} $@ 0 $)
R$*                             $: $(syslog syslog:Ex1 $&{ME_Check} $)
Scheck_eoh
R$*                     $: <$&{ME_Check}>
R$*                             $: $(syslog syslog:Ex2 $1 $) $1
R$*                     $: $(storage {ME_Check} $) $1
R<0>                    $@ OK
И покажи egrep syslog:Ex maillog в случае с exchange и без него
Если же используешь
R$*                   $: < $&{client_name} >
R< ambar.mail.ru >                   $@ OK
#А эти почтовики используют Microsoft Exchange и также не заполняют Received.
#
R< some.domain.ru >                    $@ OK
и не срабатывает, то покажи вывод в лог egrep syslog:name maillog
R$*                   $: < $&{client_name} >
R$*                             $: $(syslog syslog:name $1 $) $1
R< some.domain.ru >                    $@ OK

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "Фильтр для sendmail"

Сообщение от pavel_i (ok) on 08-Ноя-06, 16:24

>Непонятно, что ты пишешь про exchange
>Говоришь, что добавляешь свой домен в исключения - так я этого в
>конфиге не вижу
R< some.domain.ru >                    $@ OK  - Зачем мне было включать исключение через
это правило, когда Вы сделали более удобный инструмент через hash файл?
Поэтому я вырезал его.
SCheckMIMEOLE
R$*Microsoft Exchange$*         $: $(storage {ME_Check} $@ 0 $)
R$*                             $: $(syslog syslog:Ex1 $&{ME_Check} $)
Scheck_eoh
R$*                     $: <$&{ME_Check}>
R$*                             $: $(syslog syslog:Ex2 $1 $) $1
R$*                     $: $(storage {ME_Check} $) $1
R<0>                    $@ OK
Тут действительно почему-то не срабатывает. Сейчас буду смотреть логи. Только вот очень редко кто пишет с Exсhange. За пол мес, как использую Ваши правила, первый такой отправитель попался

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "Фильтр для sendmail"

Сообщение от pavel_i (ok) on 08-Ноя-06, 16:31

>Непонятно, что ты пишешь про exchange
>Говоришь, что добавляешь свой домен в исключения - так я этого в
>конфиге не вижу
>
>А то, что ты используешь - это пропуск любого письма от exchange
>c единственным ресивд
>Если это не срабатывает, добавь вывод в лог:
>
>HX-MIMEOLE:                     $>+CheckMIMEOLE
>HX-MimeOLE:                     $>+CheckMIMEOLE
>
>SCheckMIMEOLE
>R$*Microsoft Exchange$*         $: $(storage
>{ME_Check} $@ 0 $)
>R$*
>
>      $: $(syslog syslog:Ex1 $&{ME_Check} $)
>
>
>Scheck_eoh
>R$*                     $: <$&{ME_Check}>
>R$*
>
>      $: $(syslog syslog:Ex2 $1 $)
>$1
>R$*
>         $: $(storage
>{ME_Check} $) $1
>R<0>                    $@ OK
>
>И покажи egrep syslog:Ex maillog в случае с exchange и без него
>
>
>Если же используешь
>R$*                   $: < $&{client_name} >
>R< ambar.mail.ru >                   $@ OK
>#А эти почтовики используют Microsoft Exchange и также не заполняют Received.
>#
>R< some.domain.ru >                    $@ OK
>и не срабатывает, то покажи вывод в лог egrep syslog:name maillog
>
>R$*                   $: < $&{client_name} >
>R$*
>
>      $: $(syslog syslog:name $1 $)
>$1
>R< some.domain.ru >                    $@ OK
egrep syslog:Ex /var/log/maillog  ничего не находит
Заголовок клиента который писал мне с Ecxhange вот такой:
Received: from mail.alpina.ru (gw.alpina.ru [82.142.172.178])
    by post.mydomin.ru (8.13.8/8.13.1) with ESMTP id kA8CdiHs003214
    for <pavel@mydomin.ru>; Wed, 8 Nov 2006 15:39:46 +0300 (MSK)
    (envelope-from d.klochkov@alpina.ru)
Content-Transfer-Encoding: 7bit
Importance: normal
Priority: normal
Content-Class: urn:content-classes:message
MIME-Version: 1.0
Content-Type: multipart/alternative;
    boundary="----_=_NextPart_001_01C70333.025A2804"
Subject: =?windows-1251?B?UkU6IO/w7uLl8Org?=
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.3790.2757
Date: Wed, 8 Nov 2006 15:39:59 +0300
Message-ID: <9DFB7C32B19C8444BA1BBB0711A144534636E9@mail.office.alpina>
In-Reply-To: <49DB2389715514468B0FA9F00CDAFA171ED65E@post3.mydomin.eml>
X-MS-Has-Attach:
X-MS-TNEF-Correlator:
Thread-Topic: =?windows-1251?B?7/Du4uXw6uA=?=
thread-index: AccDMfHBxf4MwdeHQ7aWiMLcP1WCsAAAQtsQ
From: =?windows-1251?B?yuvu9+ru4iDE7Ojy8Ojp?= <d.klochkov@alpina.ru>
Тут нет даже намека на Exchange

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "Фильтр для sendmail"

Сообщение от Medlar on 08-Ноя-06, 16:48

не может быть
Если было хотя бы одно письмо после изменения конфига, то хотя бы syslog:Ex2 должен был появиться в логе

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "Фильтр для sendmail"

Сообщение от pavel_i (ok) on 08-Ноя-06, 17:02

>не может быть
>Если было хотя бы одно письмо после изменения конфига, то хотя бы
>syslog:Ex2 должен был появиться в логе
postweb# egrep syslog:Ex /var/log/maillog
Nov  8 17:23:45 post sm-mta[5727]: kA8ENcfh005727: syslog:Ex1.1
Nov  8 17:23:45 post sm-mta[5727]: kA8ENcfh005727: syslog:Ex2<1>
Nov  8 17:24:08 post sm-mta[5736]: kA8EO78X005736: syslog:Ex2<1>
Nov  8 17:24:09 post sm-mta[5740]: kA8EO9lV005740: syslog:Ex1.0
Nov  8 17:24:09 post sm-mta[5740]: kA8EO9lV005740: syslog:Ex2<0>
Nov  8 17:24:49 post sm-mta[5748]: kA8EOnPH005748: syslog:Ex1.0
Nov  8 17:24:49 post sm-mta[5748]: kA8EOnPH005748: syslog:Ex2<0>
Nov  8 17:25:02 post sm-mta[5760]: kA8EP1Ri005760: syslog:Ex2<1>
Nov  8 17:25:31 post sm-mta[5765]: kA8EPVlI005765: syslog:Ex2<1>
Nov  8 17:25:42 post sm-mta[5772]: kA8EPgEl005772: syslog:Ex2<1>
Nov  8 17:25:53 post sm-mta[5770]: kA8EPlE1005770: syslog:Ex2<1>
Nov  8 17:26:03 post sm-mta[5784]: kA8EQ3Ps005784: syslog:Ex1.0
Nov  8 17:26:03 post sm-mta[5784]: kA8EQ3Ps005784: syslog:Ex2<0>
Nov  8 17:26:11 post sm-mta[5780]: kA8EQ5S9005780: syslog:Ex1.1
Nov  8 17:26:11 post sm-mta[5780]: kA8EQ5S9005780: syslog:Ex2<1>
Nov  8 17:26:32 post sm-mta[5790]: kA8EQW1P005790: syslog:Ex1.0
Nov  8 17:26:32 post sm-mta[5790]: kA8EQW1P005790: syslog:Ex2<0>
Nov  8 17:26:47 post sm-mta[5800]: kA8EQl9E005800: syslog:Ex2<1>
Nov  8 17:26:48 post sm-mta[5805]: kA8EQmbF005805: syslog:Ex1.0
Nov  8 17:26:48 post sm-mta[5805]: kA8EQmbF005805: syslog:Ex2<0>
Nov  8 17:26:50 post sm-mta[5809]: kA8EQotX005809: syslog:Ex2<1>
Nov  8 17:26:53 post sm-mta[5815]: kA8EQrX7005815: syslog:Ex1.0
Nov  8 17:26:53 post sm-mta[5815]: kA8EQrX7005815: syslog:Ex2<0>
Nov  8 17:26:54 post sm-mta[5808]: kA8EQsbF005808: syslog:Ex1.0
Nov  8 17:27:04 post sm-mta[5823]: kA8ER4NL005823: syslog:Ex1.0
Nov  8 17:27:04 post sm-mta[5823]: kA8ER4NL005823: syslog:Ex2<0>
Nov  8 17:27:51 post sm-mta[5856]: kA8ERpn7005856: syslog:Ex2<1>
Nov  8 17:28:44 post sm-mta[5866]: kA8ESgwr005866: syslog:Ex1.1
Nov  8 17:28:44 post sm-mta[5866]: kA8ESgwr005866: syslog:Ex2<1>
Nov  8 17:29:00 post sm-mta[5871]: kA8EStsg005871: syslog:Ex2<1>
Nov  8 17:29:00 post sm-mta[5875]: kA8ESv3r005875: syslog:Ex2<1>
Nov  8 17:29:21 post sm-mta[5898]: kA8ETLc2005898: syslog:Ex1.1
Nov  8 17:29:21 post sm-mta[5898]: kA8ETLc2005898: syslog:Ex2<1>
Nov  8 17:30:09 post sm-mta[5916]: kA8EU8U0005916: syslog:Ex1.0
Nov  8 17:30:09 post sm-mta[5916]: kA8EU8U0005916: syslog:Ex2<0>

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "Фильтр для sendmail"

Сообщение от pavel_i (ok) on 08-Ноя-06, 17:41

>не может быть
>Если было хотя бы одно письмо после изменения конфига, то хотя бы
>syslog:Ex2 должен был появиться в логе
А как правильно должна выглядеть подобная запись в логе?
Nov  8 17:38:14 post sm-mta[6092]: kA8EcEns006092: syslog:Ex2<0>
Nov  8 17:38:45 post sm-mta[6096]: kA8EcWKV006096: syslog:Ex1.1
Nov  8 17:38:45 post sm-mta[6096]: kA8EcWKV006096: syslog:Ex2<1>
Nov  8 17:39:27 post sm-mta[6104]: kA8EdLcg006104: syslog:Ex2<1>
Nov  8 17:39:51 post sm-mta[6110]: kA8EdoE2006110: syslog:Ex1.1
Nov  8 17:39:51 post sm-mta[6110]: kA8EdoE2006110: syslog:Ex2<1>
Что означает syslog:Ex1.1 или syslog:Ex1.0

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

16. "Фильтр для sendmail"

Сообщение от Medlar on 08-Ноя-06, 18:16

Ну вот это уже похоже на правду
syslog:Ex1.0 - в заголовке присутствовал Microsoft Exchange поэтому макрос ME_Check д.б. обнулиться
syslog:Ex1.1 - нет и макрос ME_Check должен остаться равным 1
Дальше проверяем этот макрос в заключительной проверке check_eoh
и принимаем решение
если syslog:Ex2<0> - пропускаем письмо
syslog:Ex2<1> - проверяем дальше
Давай еще добавим одну строку:
R$*                             $: $(syslog syslog:Ex0 $1 $) $1
чтобы видеть наличие-отсутсвие Microsoft Exchange в заголовке
HX-MIMEOLE:                     $>+CheckMIMEOLE
HX-MimeOLE:                     $>+CheckMIMEOLE
SCheckMIMEOLE
R$*                             $: $(syslog syslog:Ex0 $1 $) $1
R$*Microsoft Exchange$*         $: $(storage {ME_Check} $@ 0 $)
R$*                             $: $(syslog syslog:Ex1 $&{ME_Check} $)
Scheck_eoh
R$*                     $: <$&{ME_Check}>
R$*                             $: $(syslog syslog:Ex2 $1 $) $1
R$*                     $: $(storage {ME_Check} $) $1
R<0>                    $@ OK
Теперь нужно анализировать логи.
egrep номер_процесса maillog
Сама по себе строчка 17:38:14 post sm-mta[6092]: kA8EcEns006092: syslog:Ex2<0>
мало что говорит ну разве что, что в заголовке ME присутсвовал и поэтому письмо д.б. быть пропущено
Если будут вопросы пиши на sciurus на мэйлру с темой Sendmail

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

18. "Фильтр для sendmail"

Сообщение от pavel_i (ok) on 08-Ноя-06, 18:28

>Ну вот это уже похоже на правду
>
> syslog:Ex1.0 - в заголовке присутствовал Microsoft Exchange поэтому макрос ME_Check д.б.
>обнулиться
> syslog:Ex1.1 - нет и макрос ME_Check должен остаться равным 1
>
>Дальше проверяем этот макрос в заключительной проверке check_eoh
>и принимаем решение
>если syslog:Ex2<0> - пропускаем письмо
>syslog:Ex2<1> - проверяем дальше
>
>Давай еще добавим одну строку:
>R$*
>
>      $: $(syslog syslog:Ex0 $1 $)
>$1
>чтобы видеть наличие-отсутсвие Microsoft Exchange в заголовке
>
>HX-MIMEOLE:                     $>+CheckMIMEOLE
>HX-MimeOLE:                     $>+CheckMIMEOLE
>
>SCheckMIMEOLE
>R$*
>
>      $: $(syslog syslog:Ex0 $1 $)
>$1
>R$*Microsoft Exchange$*         $: $(storage
>{ME_Check} $@ 0 $)
>R$*
>
>      $: $(syslog syslog:Ex1 $&{ME_Check} $)
>
>
>Scheck_eoh
>R$*                     $: <$&{ME_Check}>
>R$*
>
>      $: $(syslog syslog:Ex2 $1 $)
>$1
>R$*
>         $: $(storage
>{ME_Check} $) $1
>R<0>                    $@ OK
>
>Теперь нужно анализировать логи.
>egrep номер_процесса maillog
>Сама по себе строчка 17:38:14 post sm-mta[6092]: kA8EcEns006092: syslog:Ex2<0>
> мало что говорит ну разве что, что в заголовке ME присутсвовал
>и поэтому письмо д.б. быть пропущено
>
>Если будут вопросы пиши на sciurus на мэйлру с темой Sendmail
Спасибо! Теперь хоть что-то начал понимать, а то я как в потемках блуждал по этим правилам перезаписи
Теперь стало добавляться, как Вы и просили
syslog:Ex0.Produced.By.Microsoft.Exchange.V6.5.6944.0 - когда мой внутренний Exchange делает пересылку в инет, так понимаю, это будет относится ко всем таким хостам.
Еще раз спасибо!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

19. "Фильтр для sendmail"

Сообщение от Medlar on 08-Ноя-06, 18:44

от меня тоже спасибо - надо будет на странице неточность исправить :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

17. "Фильтр для sendmail"

Сообщение от pavel_i (ok) on 08-Ноя-06, 18:19

>не может быть
>Если было хотя бы одно письмо после изменения конфига, то хотя бы
>syslog:Ex2 должен был появиться в логе

Вобщем я это понял так Ex1.1 - сработало правило по одному хосту отправителю
Если Ex1.0 - значит отправка от Exchange - разрешить пройти.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Фильтр для sendmail"

Сообщение от sypperpit (??) on 01-Ноя-06, 19:13

>Здравствуйте все!
>
>Есть одна сложность: не знаю как корректно отсеить (т.е. какое правило можно
>добавить в sendmail.mc) в спам письма с таким заголовком :
>
>Microsoft Mail Internet Headers Version 2.0
>Received: from localhost ([80.68.5.26])
> by mxhost.мойдомен.ru (8.13.8/8.13.1) with SMTP id kA1DfJMU039882
>    for <pavel@мойдомен.ru>; Wed, 1 Nov 2006 16:41:21 +0300 (MSK)
> (envelope-from yi8@bart.nl)
>Message-ID: <52d401c6fdba$5403637e$4daa0df5@bart.nl>
>
>В заголовке пиcьма один Received.
>У меня пока  такие письма проскакивают,
>Spamassassin против них тоже не помогает.
>
>Спасибо всем, кто ответит!
mailscaner отлично всё отбрасывает

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Фильтр для sendmail"
Сообщение от Medlar on 01-Ноя-06, 18:24
http://www.anrb.ru/linux/sendmail.html#13
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "Фильтр для sendmail"
	Сообщение от pavel_i (ok) on 01-Ноя-06, 18:38
	>http://www.anrb.ru/linux/sendmail.html#13 Этот метод мне знаком. Он потребует от меня изучение всех наших клиентов на предмет не установлен ли у них Exchange.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "Фильтр для sendmail"
	Сообщение от Medlar on 01-Ноя-06, 18:49
	>>http://www.anrb.ru/linux/sendmail.html#13 > >Этот метод мне знаком. Он потребует от меня изучение всех наших клиентов >на предмет не установлен ли у них Exchange. Задача в блокировке почты со стороны с единственным Received:? Тогда никак иначе его единственность не проверить. Кстати, не от каждого Exchange приходят письма с единственным ресивд. И любое блокирующее правило со временем вынуждает добавлять списки исключений, неважно по каким параметрам - ip-адресам, доменам, почтовикам. То есть невозможно написать блокирующее правило и быть уверенным, что не случится ложного срабатывания. Все равно потом приходится что-то исправлять-добавлять. Все это индивидуально для каждой почтовой системы.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "Фильтр для sendmail"
	Сообщение от pavel_i (ok) on 08-Ноя-06, 14:06
	>>>http://www.anrb.ru/linux/sendmail.html#13 >> >>Этот метод мне знаком. Он потребует от меня изучение всех наших клиентов >>на предмет не установлен ли у них Exchange. > >Задача в блокировке почты со стороны с единственным Received:? >Тогда никак иначе его единственность не проверить. > >Кстати, не от каждого Exchange приходят письма с единственным ресивд. >И любое блокирующее правило со временем вынуждает добавлять списки исключений, неважно по >каким параметрам - ip-адресам, доменам, почтовикам. >То есть невозможно написать блокирующее правило и быть уверенным, что не случится >ложного срабатывания. Все равно потом приходится что-то исправлять-добавлять. Все это индивидуально >для каждой почтовой системы. Не понимаю одну вещь. http://www.anrb.ru/linux/sendmail.html#13 Здесь есть правило R< etc.bash.ru > $@ OK R< mail.airrb.ru > $@ OK Прописываю туда Echange домен, и все равно почта фильтруется. Воспользовался этим: #Разрешаем также почту из сетей, перечисленных в /etc/mail/nospam_relays: R $-.$-.$-.$- $: $(NOSPAM $1.$2.$3.$4 $:$1.$2.$3 $) R@MATCH $@ OK R $-.$-.$- $: $(NOSPAM $1.$2.$3 $:$1.$2 $) R@MATCH $@ OK R $-.$- $: $(NOSPAM $1.$2 $) R@MATCH $@ OK Прописал в nospam_relays 82.142.172.178 @MATCH сделал makemah hash nospam_relays < nospam_relays Но все равно режет! Как быть? В чем моя ошибка?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "Фильтр для sendmail"
	Сообщение от Medlar on 08-Ноя-06, 14:39
	> >Как быть? В чем моя ошибка? покажи mc-файл
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "Фильтр для sendmail"
	Сообщение от pavel_i (ok) on 08-Ноя-06, 14:56
	>> >>Как быть? В чем моя ошибка? > >покажи mc-файл MAILER(local)dnl MAILER(smtp)dnl LOCAL_CONFIG #For full log to maillog D{ME_Check}1 Ksyslog syslog Kstorage macro KDenied_IP hash /etc/mail/Denied_IP KNOSPAM hash /etc/mail/nospam_relays ##################### SSSSSSSSSSSs KNOSPAM01 regex -a@MATCH .S0-OTT-XSMTP..NRCan.gc.ca.\|web.mail.yahoo.com\|umail.mtu.ru\|mx0.mtu.ru\|muan.mtu.ru\|btr0x1.rz.uni-\|.+ufanet.ru\| mail2.100mb.net\|ex KSPAM7 regex -a@MATCH [0-9]+[._-]+[0-9]+[._-]+.\[.+\] KSPAM8 regex -a@MATCH ppp\|customer\|dhcp\|dial\|cable\|modem\|spool\|adsl\|dynamic ##################### SSSSSSSSSSS KChMId regex -n -a@NOTMY mydomain\.ru ###30.10.06 KCH1 regex -a@YES messagelabs\|outblaze\|check1check\|mindspring\|bigfoot\|funnymail\|niagara\|bellsouth.net\|tiscali.it\|wanadoo.fr\|nic.olastse.(com\|net)\|videotron.c KCH2 regex -a@YES 216.200.145.37\|4.79.181.14\|sunrise.ch\|videotron.ca\|earthlink.net\|netvision.net\|user.msu.edu\|guadalupano.com\|chello.nl\|midco.net\|irex.ru\|gmx. KChHeader sequence CH1 CH2 ### LOCAL_RULESETS SLocal_check_relay R$* $: $(NOSPAM01 $&_ $) R@MATCH $@ OK R$* $: $(SPAM7 $&_ $) R@MATCH $#error $: 553 Sorry, Your relay looks like SPAM7-relay: $&_. If not, please contact the via another relay-ip. R$* $: $(SPAM8 $&_ $) R@MATCH $#error $: 553 Sorry, Your relay looks like SPAM8-relay: $&_. If not, please contact the via another relay-ip. R$* $: $&{client_addr} R$-.$-.$-.$- $: $(Denied_IP $1.$2.$3.$4 $) RDISCARD $#error $: 553 We get a lot of SPAM9 from your relay-ip: $&{client_addr}. If you are not a spamer, please contact the via a ################################################## # http://www.softerra.ru/freeos/19480/page1.html # ################################################## HX-Mailer: $>CheckMailer HX-Server: $>CheckMailer SCheckMailer RAdvanced Direct Remailer $* $#error $@ 5.7.1 $: "554 Spam (ADR)" RAdvanced Mass Sender $* $#error $@ 5.7.1 $: "554 Spam (AMS)" RSpammer $* $#error $@ 5.7.1 $: "554 Spam (Spammer)" R$* Bomber $* $#error $@ 5.7.1 $: "554 Spam (Bomber)" RMega-Mailer $* $#error $@ 5.7.1 $: "554 Spam (Mega-Mailer)" RMMailer $* $#error $@ 5.7.1 $: "554 Spam (MMailer)" RMailer $* $#error $@ 5.7.1 $: "554 Spam (Mailer)" RLigra Mailer $* $#error $@ 5.7.1 $: "554 Spam (Ligra Mailer)" RDynamic Opt-In Emailer $* $#error $@ 5.7.1 $: "554 Spam(Dynamic Opt-In Emailer)" R$* Group Spamer $#error $@ 5.7.1 $: "554 Spam (WE Group Spamer)" RMail Sender $* $#error $@ 5.7.1 $: "554 Spam (Mail Sender)" RMail Service $* $#error $@ 5.7.1 $: "554 Spam (Mail Service)" RMailloop $* $#error $@ 5.7.1 $: "554 Spam (Mailloop)" RPersMail $* $#error $@ 5.7.1 $: "554 Spam (PersMail)" RLK SendIt $* $#error $@ 5.7.1 $: "554 Spam (LK SendIt)" RWC Mail $* $#error $@ 5.7.1 $: "554 Spam (WC Mail)" RZUBA ZUB $* $#error $@ 5.7.1 $: "554 Spam (ZUBA ZUB)" RMailList Express $* $#error $@ 5.7.1 $: "554 Spam (MailList Express)" RCaretop $* $#error $@ 5.7.1 $: "554 Spam (Caretop)" RMailer Signature $#error $@ 5.7.1 $: "554 Spam (Mailer Si)" Rnone $#error $@ 5.7.1 $: "554 Spam (none)" RPG-MAILINGLIST $#error $@ 5.7.1 $: "554 Spam (PG-MAILINGLIST)" R$* advcomtest $* $#error $@ 5.7.1 $: "554 Spam (advcomtest)" Ryo yo mail $#error $@ 5.7.1 $: "554 Spam (yo yo mail)" RZanziMailer $* $#error $@ 5.7.1 $: "554 Spam (ZanziMailer)" # Настоящий Outlook имеет версию вида: 5.0.23123244 RMicrosoft Outlook Express 5.0 $#error $@ 5.7.1 $: "554 Spam (Microsoft Outlook Express 5.0)" RVersion 5.0 $#error $@ 5.7.1 $: "554 Spam (Version 5.0)" # Заблокируем все мейлеры с названием только из одного слова: Rnethack $@ OK RZ-Mail-SGI $@ OK RDipost $@ OK RSquirrelMail $@ OK R$- $#error $@ 5.7.1 $: "554 Spam (one-word mailer)" # Заблокируем письма с пустым заголовком R$* $: < $1 > R< > $#error $@ 5.7.1 $: "554 Illegal header (empty header)" R$* $@ OK HTo: $>CheckTo HCc: $>CheckTo HMessage-ID: $>CheckMessageID # проверим поле To на "undisclosed-recipients;" или "undisclosed recipient" # комбинации могут быть практически произвольными. SCheckTo R$Recipient$ $#error $@ 5.7.1 $: "554 Unspecified Mailbox ID" R$Undisclosed$ $#error $@ 5.7.1 $: "554 Unspecified Mailbox ID" #проверим правильность формата поля Message-ID (оно должно быть в формате идентификатор@домен). SCheckMessageID # Record the presence of the header MessageId R$* $: $(storage {MessageIdCheck} $@ $1 $) $1 R< $+ @ $+ > $@ OK R$* $#error $: "553 Header Error 1: Bad Message ID: $&{MessageIdCheck}" ##Настройки от 30.10.06 Проверяет все received для выявления спамерских подсетей HReceived: $>+CheckReceived H: $>+CheckHeader SCheckHeader R$ $: $(ChHeader $&{currHeader} $) R@YES $#error $: "553 Bad Header 1: We get a lot of spam from your relay-ip. If you are not a spamer, please contact the # Record the presence of the header Received SCheckReceived R$* $: $(storage {ReceivedCheck} $@ OK $) $1 R$* $: $(ChHeader $1 $) R@YES $#error $: "553 Bad Header 2: We get a lot of spam from your relay-ip. If you are not a spamer, please contact the via anot R$* $@ OK ###Отлуп с единственным Received R$* $: $(storage {ReceivedCheck} $@ OK $) $1 HX-MIMEOLE: $>+CheckMIMEOLE HX-MimeOLE: $>+CheckMIMEOLE SCheckMIMEOLE R$Microsoft Exchange$ $: $(storage {ME_Check} $@ 0 $) Scheck_eoh R$* $: <$&{ME_Check}> R$* $: $(storage {ME_Check} $) $1 R<0> $@ OK R$* $: < $&{ReceivedCheck} > R$* $: $(syslog $&{ReceivedCheck} $1 $) $1 R$* $: $(storage {ReceivedCheck} $) $1 R< $+ > $@ OK #Разрешаем также почту из нашей локальной сети: R$* $: $&{client_addr} R $* $=R $* $@ OK # Разрешаем почту, прошедшую smtp-авторизацию: R$* $: < $&{auth_authen} > R< $+ > $@ OK #Разрешаем также почту из сетей, перечисленных в /etc/mail/nospam_relays: R $-.$-.$-.$- $: $(NOSPAM $1.$2.$3.$4 $:$1.$2.$3 $) R@MATCH $@ OK R $-.$-.$- $: $(NOSPAM $1.$2.$3 $:$1.$2 $) R@MATCH $@ OK R $-.$- $: $(NOSPAM $1.$2 $) R@MATCH $@ OK # Во всех остальных случаях блокируем письмо: R$* $#error $: "553 You are not a local user and you cannot send a letter to ."
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "Фильтр для sendmail"
	Сообщение от Medlar on 08-Ноя-06, 15:16
	У меня там неточность. Надо поменять местами проверки на авторизацию и локальную сеть Иначе на вход в NOSPAM не то подается # Разрешаем почту, прошедшую smtp-авторизацию: R$* $: < $&{auth_authen} > R< $+ > $@ OK #Разрешаем также почту из нашей локальной сети: R$* $: $&{client_addr} R $* $=R $* $@ OK #Разрешаем также почту из сетей, перечисленных в /etc/mail/nospam_relays: R $-.$-.$-.$- $: $(NOSPAM $1.$2.$3.$4 $:$1.$2.$3 $) R@MATCH $@ OK R $-.$-.$- $: $(NOSPAM $1.$2.$3 $:$1.$2 $) R@MATCH $@ OK R $-.$- $: $(NOSPAM $1.$2 $) R@MATCH $@ OK # Во всех остальных случаях блокируем письмо: R$* $#error $: "553 You are not a local user and you cannot send a letter to ." Попробуй так, должно работать, с exchange потом разберемся
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "Фильтр для sendmail"
	Сообщение от pavel_i (ok) on 08-Ноя-06, 15:41
	>У меня там неточность. >Надо поменять местами проверки на авторизацию и локальную сеть >Иначе на вход в NOSPAM не то подается > ># Разрешаем почту, прошедшую smtp-авторизацию: > >R$* $: < $&{auth_authen} > >R< $+ > $@ OK > >#Разрешаем также почту из нашей локальной сети: >R$* > $: $&{client_addr} > >R $* $=R $* > $@ OK > >#Разрешаем также почту из сетей, перечисленных в /etc/mail/nospam_relays: >R $-.$-.$-.$- >$: $(NOSPAM $1.$2.$3.$4 $:$1.$2.$3 $) >R@MATCH > $@ OK >R $-.$-.$- > $: $(NOSPAM $1.$2.$3 $:$1.$2 $) >R@MATCH > $@ OK >R $-.$- > $: $(NOSPAM $1.$2 $) >R@MATCH > $@ OK ># Во всех остальных случаях блокируем письмо: >R$* > $#error $: >"553 You are not a local user and you cannot send >a >letter to ." > >Попробуй так, должно работать, с exchange потом разберемся Большое спасибо! Помогло! :)
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "Фильтр для sendmail"
	Сообщение от Medlar on 08-Ноя-06, 15:57
	Непонятно, что ты пишешь про exchange Говоришь, что добавляешь свой домен в исключения - так я этого в конфиге не вижу А то, что ты используешь - это пропуск любого письма от exchange c единственным ресивд Если это не срабатывает, добавь вывод в лог: HX-MIMEOLE: $>+CheckMIMEOLE HX-MimeOLE: $>+CheckMIMEOLE SCheckMIMEOLE R$Microsoft Exchange$ $: $(storage {ME_Check} $@ 0 $) R$* $: $(syslog syslog:Ex1 $&{ME_Check} $) Scheck_eoh R$* $: <$&{ME_Check}> R$* $: $(syslog syslog:Ex2 $1 $) $1 R$* $: $(storage {ME_Check} $) $1 R<0> $@ OK И покажи egrep syslog:Ex maillog в случае с exchange и без него Если же используешь R$* $: < $&{client_name} > R< ambar.mail.ru > $@ OK #А эти почтовики используют Microsoft Exchange и также не заполняют Received. # R< some.domain.ru > $@ OK и не срабатывает, то покажи вывод в лог egrep syslog:name maillog R$* $: < $&{client_name} > R$* $: $(syslog syslog:name $1 $) $1 R< some.domain.ru > $@ OK
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	11. "Фильтр для sendmail"
	Сообщение от pavel_i (ok) on 08-Ноя-06, 16:24
	>Непонятно, что ты пишешь про exchange >Говоришь, что добавляешь свой домен в исключения - так я этого в >конфиге не вижу R< some.domain.ru > $@ OK - Зачем мне было включать исключение через это правило, когда Вы сделали более удобный инструмент через hash файл? Поэтому я вырезал его. SCheckMIMEOLE R$Microsoft Exchange$ $: $(storage {ME_Check} $@ 0 $) R$* $: $(syslog syslog:Ex1 $&{ME_Check} $) Scheck_eoh R$* $: <$&{ME_Check}> R$* $: $(syslog syslog:Ex2 $1 $) $1 R$* $: $(storage {ME_Check} $) $1 R<0> $@ OK Тут действительно почему-то не срабатывает. Сейчас буду смотреть логи. Только вот очень редко кто пишет с Exсhange. За пол мес, как использую Ваши правила, первый такой отправитель попался
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	12. "Фильтр для sendmail"
	Сообщение от pavel_i (ok) on 08-Ноя-06, 16:31
	>Непонятно, что ты пишешь про exchange >Говоришь, что добавляешь свой домен в исключения - так я этого в >конфиге не вижу > >А то, что ты используешь - это пропуск любого письма от exchange >c единственным ресивд >Если это не срабатывает, добавь вывод в лог: > >HX-MIMEOLE: $>+CheckMIMEOLE >HX-MimeOLE: $>+CheckMIMEOLE > >SCheckMIMEOLE >R$Microsoft Exchange$ $: $(storage >{ME_Check} $@ 0 $) >R$* > > $: $(syslog syslog:Ex1 $&{ME_Check} $) > > >Scheck_eoh >R$* $: <$&{ME_Check}> >R$* > > $: $(syslog syslog:Ex2 $1 $) >$1 >R$* > $: $(storage >{ME_Check} $) $1 >R<0> $@ OK > >И покажи egrep syslog:Ex maillog в случае с exchange и без него > > >Если же используешь >R$* $: < $&{client_name} > >R< ambar.mail.ru > $@ OK >#А эти почтовики используют Microsoft Exchange и также не заполняют Received. ># >R< some.domain.ru > $@ OK >и не срабатывает, то покажи вывод в лог egrep syslog:name maillog > >R$* $: < $&{client_name} > >R$* > > $: $(syslog syslog:name $1 $) >$1 >R< some.domain.ru > $@ OK egrep syslog:Ex /var/log/maillog ничего не находит Заголовок клиента который писал мне с Ecxhange вот такой: Received: from mail.alpina.ru (gw.alpina.ru [82.142.172.178]) by post.mydomin.ru (8.13.8/8.13.1) with ESMTP id kA8CdiHs003214 for <pavel@mydomin.ru>; Wed, 8 Nov 2006 15:39:46 +0300 (MSK) (envelope-from d.klochkov@alpina.ru) Content-Transfer-Encoding: 7bit Importance: normal Priority: normal Content-Class: urn:content-classes:message MIME-Version: 1.0 Content-Type: multipart/alternative; boundary="----_=_NextPart_001_01C70333.025A2804" Subject: =?windows-1251?B?UkU6IO/w7uLl8Org?= X-MimeOLE: Produced By Microsoft MimeOLE V6.00.3790.2757 Date: Wed, 8 Nov 2006 15:39:59 +0300 Message-ID: <9DFB7C32B19C8444BA1BBB0711A144534636E9@mail.office.alpina> In-Reply-To: <49DB2389715514468B0FA9F00CDAFA171ED65E@post3.mydomin.eml> X-MS-Has-Attach: X-MS-TNEF-Correlator: Thread-Topic: =?windows-1251?B?7/Du4uXw6uA=?= thread-index: AccDMfHBxf4MwdeHQ7aWiMLcP1WCsAAAQtsQ From: =?windows-1251?B?yuvu9+ru4iDE7Ojy8Ojp?= <d.klochkov@alpina.ru> Тут нет даже намека на Exchange
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	13. "Фильтр для sendmail"
	Сообщение от Medlar on 08-Ноя-06, 16:48
	не может быть Если было хотя бы одно письмо после изменения конфига, то хотя бы syslog:Ex2 должен был появиться в логе
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	14. "Фильтр для sendmail"
	Сообщение от pavel_i (ok) on 08-Ноя-06, 17:02
	>не может быть >Если было хотя бы одно письмо после изменения конфига, то хотя бы >syslog:Ex2 должен был появиться в логе postweb# egrep syslog:Ex /var/log/maillog Nov 8 17:23:45 post sm-mta[5727]: kA8ENcfh005727: syslog:Ex1.1 Nov 8 17:23:45 post sm-mta[5727]: kA8ENcfh005727: syslog:Ex2<1> Nov 8 17:24:08 post sm-mta[5736]: kA8EO78X005736: syslog:Ex2<1> Nov 8 17:24:09 post sm-mta[5740]: kA8EO9lV005740: syslog:Ex1.0 Nov 8 17:24:09 post sm-mta[5740]: kA8EO9lV005740: syslog:Ex2<0> Nov 8 17:24:49 post sm-mta[5748]: kA8EOnPH005748: syslog:Ex1.0 Nov 8 17:24:49 post sm-mta[5748]: kA8EOnPH005748: syslog:Ex2<0> Nov 8 17:25:02 post sm-mta[5760]: kA8EP1Ri005760: syslog:Ex2<1> Nov 8 17:25:31 post sm-mta[5765]: kA8EPVlI005765: syslog:Ex2<1> Nov 8 17:25:42 post sm-mta[5772]: kA8EPgEl005772: syslog:Ex2<1> Nov 8 17:25:53 post sm-mta[5770]: kA8EPlE1005770: syslog:Ex2<1> Nov 8 17:26:03 post sm-mta[5784]: kA8EQ3Ps005784: syslog:Ex1.0 Nov 8 17:26:03 post sm-mta[5784]: kA8EQ3Ps005784: syslog:Ex2<0> Nov 8 17:26:11 post sm-mta[5780]: kA8EQ5S9005780: syslog:Ex1.1 Nov 8 17:26:11 post sm-mta[5780]: kA8EQ5S9005780: syslog:Ex2<1> Nov 8 17:26:32 post sm-mta[5790]: kA8EQW1P005790: syslog:Ex1.0 Nov 8 17:26:32 post sm-mta[5790]: kA8EQW1P005790: syslog:Ex2<0> Nov 8 17:26:47 post sm-mta[5800]: kA8EQl9E005800: syslog:Ex2<1> Nov 8 17:26:48 post sm-mta[5805]: kA8EQmbF005805: syslog:Ex1.0 Nov 8 17:26:48 post sm-mta[5805]: kA8EQmbF005805: syslog:Ex2<0> Nov 8 17:26:50 post sm-mta[5809]: kA8EQotX005809: syslog:Ex2<1> Nov 8 17:26:53 post sm-mta[5815]: kA8EQrX7005815: syslog:Ex1.0 Nov 8 17:26:53 post sm-mta[5815]: kA8EQrX7005815: syslog:Ex2<0> Nov 8 17:26:54 post sm-mta[5808]: kA8EQsbF005808: syslog:Ex1.0 Nov 8 17:27:04 post sm-mta[5823]: kA8ER4NL005823: syslog:Ex1.0 Nov 8 17:27:04 post sm-mta[5823]: kA8ER4NL005823: syslog:Ex2<0> Nov 8 17:27:51 post sm-mta[5856]: kA8ERpn7005856: syslog:Ex2<1> Nov 8 17:28:44 post sm-mta[5866]: kA8ESgwr005866: syslog:Ex1.1 Nov 8 17:28:44 post sm-mta[5866]: kA8ESgwr005866: syslog:Ex2<1> Nov 8 17:29:00 post sm-mta[5871]: kA8EStsg005871: syslog:Ex2<1> Nov 8 17:29:00 post sm-mta[5875]: kA8ESv3r005875: syslog:Ex2<1> Nov 8 17:29:21 post sm-mta[5898]: kA8ETLc2005898: syslog:Ex1.1 Nov 8 17:29:21 post sm-mta[5898]: kA8ETLc2005898: syslog:Ex2<1> Nov 8 17:30:09 post sm-mta[5916]: kA8EU8U0005916: syslog:Ex1.0 Nov 8 17:30:09 post sm-mta[5916]: kA8EU8U0005916: syslog:Ex2<0>
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	15. "Фильтр для sendmail"
	Сообщение от pavel_i (ok) on 08-Ноя-06, 17:41
	>не может быть >Если было хотя бы одно письмо после изменения конфига, то хотя бы >syslog:Ex2 должен был появиться в логе А как правильно должна выглядеть подобная запись в логе? Nov 8 17:38:14 post sm-mta[6092]: kA8EcEns006092: syslog:Ex2<0> Nov 8 17:38:45 post sm-mta[6096]: kA8EcWKV006096: syslog:Ex1.1 Nov 8 17:38:45 post sm-mta[6096]: kA8EcWKV006096: syslog:Ex2<1> Nov 8 17:39:27 post sm-mta[6104]: kA8EdLcg006104: syslog:Ex2<1> Nov 8 17:39:51 post sm-mta[6110]: kA8EdoE2006110: syslog:Ex1.1 Nov 8 17:39:51 post sm-mta[6110]: kA8EdoE2006110: syslog:Ex2<1> Что означает syslog:Ex1.1 или syslog:Ex1.0
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	16. "Фильтр для sendmail"
	Сообщение от Medlar on 08-Ноя-06, 18:16
	Ну вот это уже похоже на правду syslog:Ex1.0 - в заголовке присутствовал Microsoft Exchange поэтому макрос ME_Check д.б. обнулиться syslog:Ex1.1 - нет и макрос ME_Check должен остаться равным 1 Дальше проверяем этот макрос в заключительной проверке check_eoh и принимаем решение если syslog:Ex2<0> - пропускаем письмо syslog:Ex2<1> - проверяем дальше Давай еще добавим одну строку: R$* $: $(syslog syslog:Ex0 $1 $) $1 чтобы видеть наличие-отсутсвие Microsoft Exchange в заголовке HX-MIMEOLE: $>+CheckMIMEOLE HX-MimeOLE: $>+CheckMIMEOLE SCheckMIMEOLE R$* $: $(syslog syslog:Ex0 $1 $) $1 R$Microsoft Exchange$ $: $(storage {ME_Check} $@ 0 $) R$* $: $(syslog syslog:Ex1 $&{ME_Check} $) Scheck_eoh R$* $: <$&{ME_Check}> R$* $: $(syslog syslog:Ex2 $1 $) $1 R$* $: $(storage {ME_Check} $) $1 R<0> $@ OK Теперь нужно анализировать логи. egrep номер_процесса maillog Сама по себе строчка 17:38:14 post sm-mta[6092]: kA8EcEns006092: syslog:Ex2<0> мало что говорит ну разве что, что в заголовке ME присутсвовал и поэтому письмо д.б. быть пропущено Если будут вопросы пиши на sciurus на мэйлру с темой Sendmail
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	18. "Фильтр для sendmail"
	Сообщение от pavel_i (ok) on 08-Ноя-06, 18:28
	>Ну вот это уже похоже на правду > > syslog:Ex1.0 - в заголовке присутствовал Microsoft Exchange поэтому макрос ME_Check д.б. >обнулиться > syslog:Ex1.1 - нет и макрос ME_Check должен остаться равным 1 > >Дальше проверяем этот макрос в заключительной проверке check_eoh >и принимаем решение >если syslog:Ex2<0> - пропускаем письмо >syslog:Ex2<1> - проверяем дальше > >Давай еще добавим одну строку: >R$* > > $: $(syslog syslog:Ex0 $1 $) >$1 >чтобы видеть наличие-отсутсвие Microsoft Exchange в заголовке > >HX-MIMEOLE: $>+CheckMIMEOLE >HX-MimeOLE: $>+CheckMIMEOLE > >SCheckMIMEOLE >R$* > > $: $(syslog syslog:Ex0 $1 $) >$1 >R$Microsoft Exchange$ $: $(storage >{ME_Check} $@ 0 $) >R$* > > $: $(syslog syslog:Ex1 $&{ME_Check} $) > > >Scheck_eoh >R$* $: <$&{ME_Check}> >R$* > > $: $(syslog syslog:Ex2 $1 $) >$1 >R$* > $: $(storage >{ME_Check} $) $1 >R<0> $@ OK > >Теперь нужно анализировать логи. >egrep номер_процесса maillog >Сама по себе строчка 17:38:14 post sm-mta[6092]: kA8EcEns006092: syslog:Ex2<0> > мало что говорит ну разве что, что в заголовке ME присутсвовал >и поэтому письмо д.б. быть пропущено > >Если будут вопросы пиши на sciurus на мэйлру с темой Sendmail Спасибо! Теперь хоть что-то начал понимать, а то я как в потемках блуждал по этим правилам перезаписи Теперь стало добавляться, как Вы и просили syslog:Ex0.Produced.By.Microsoft.Exchange.V6.5.6944.0 - когда мой внутренний Exchange делает пересылку в инет, так понимаю, это будет относится ко всем таким хостам. Еще раз спасибо!
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	19. "Фильтр для sendmail"
	Сообщение от Medlar on 08-Ноя-06, 18:44
	от меня тоже спасибо - надо будет на странице неточность исправить :)
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	17. "Фильтр для sendmail"
	Сообщение от pavel_i (ok) on 08-Ноя-06, 18:19
	>не может быть >Если было хотя бы одно письмо после изменения конфига, то хотя бы >syslog:Ex2 должен был появиться в логе Вобщем я это понял так Ex1.1 - сработало правило по одному хосту отправителю Если Ex1.0 - значит отправка от Exchange - разрешить пройти.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

4. "Фильтр для sendmail"
Сообщение от sypperpit (??) on 01-Ноя-06, 19:13
>Здравствуйте все! > >Есть одна сложность: не знаю как корректно отсеить (т.е. какое правило можно >добавить в sendmail.mc) в спам письма с таким заголовком : > >Microsoft Mail Internet Headers Version 2.0 >Received: from localhost ([80.68.5.26]) > by mxhost.мойдомен.ru (8.13.8/8.13.1) with SMTP id kA1DfJMU039882 > for <pavel@мойдомен.ru>; Wed, 1 Nov 2006 16:41:21 +0300 (MSK) > (envelope-from yi8@bart.nl) >Message-ID: <52d401c6fdba$5403637e$4daa0df5@bart.nl> > >В заголовке пиcьма один Received. >У меня пока такие письма проскакивают, >Spamassassin против них тоже не помогает. > >Спасибо всем, кто ответит! mailscaner отлично всё отбрасывает
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]