postfix/smtpd Дб

[Чистый]

Добрый день, поднял почтовый сервер, в качестве теста выпустил в сеть, через некоторое время полезли спамеры, начал ковырять что да как, по настройкам вроде все верно, но в логах лезет вот такое:

Feb  6 15:26:41 mail postfix/smtpd[2247]: NOQUEUE: reject: RCPT from unknown[1.162.207.19]: 504 5.5.2 <213.186.23.51>: Helo command rejected: need fully-qualified hostname; from=<pvoaoijqkvng@yahoo.com> to=<5w17@yahoo.com.tw> proto=SMTP helo=<213.186.23.51>

где накосячил с настройками ?

конфиг postfix:

(Нажмите, чтобы показать/скрыть)

alias_database = hash:/etc/postfix/aliases
alias_maps = hash:/etc/postfix/aliases
allow_min_user = no
allow_percent_hack = no
biff = no
bounce_queue_lifetime = 4h
broken_sasl_auth_clients = yes
command_directory = /usr/sbin
config_directory = /etc/postfix
content_filter = smtp-amavis:[127.0.0.1]:10024
daemon_directory = /usr/libexec/postfix
data_directory = /var/lib/postfix
debug_peer_level = 2
delay_warning_time = 0h
disable_vrfy_command = yes
enable_original_recipient = no
home_mailbox = Maildir/
html_directory = no
inet_interfaces = all
inet_protocols = ipv4
mail_owner = postfix
mailbox_command = /usr/libexec/dovecot/deliver
mailq_path = /usr/bin/mailq.postfix
manpage_directory = /usr/share/man
maximal_backoff_time = 4000s
maximal_queue_lifetime = 4h
message_size_limit = 15728640
minimal_backoff_time = 300s
mydestination = $myhostname, localhost, localhost.localdomain, localhost.$myhostname
mydomain = test.by
myhostname = mail.test.by
mynetworks =
myorigin = mail.test.by
newaliases_path = /usr/bin/newaliases.postfix
proxy_read_maps = $canonical_maps $lmtp_generic_maps $local_recipient_maps $mydestination $mynetworks $recipient_bcc_maps $recipient_canonical_maps $relay_domains $relay_recipient_maps $relocated_maps $sender_bcc_maps $sender_canonical_maps $smtp_generic_maps $smtpd_sender_login_maps $transport_maps $virtual_alias_domains $virtual_alias_maps $virtual_mailbox_domains $virtual_mailbox_maps $smtpd_sender_restrictions
queue_directory = /var/spool/postfix
queue_run_delay = 300s
readme_directory = /usr/share/doc/postfix-2.6.6/README_FILES
recipient_bcc_maps = proxy:ldap:/etc/postfix/ldap/recipient_bcc_maps_user.cf, proxy:ldap:/etc/postfix/ldap/recipient_bcc_maps_domain.cf
recipient_delimiter = +
relay_domains = $mydestination, proxy:ldap:/etc/postfix/ldap/relay_domains.cf
sample_directory = /usr/share/doc/postfix-2.6.6/samples
sender_bcc_maps = proxy:ldap:/etc/postfix/ldap/sender_bcc_maps_user.cf, proxy:ldap:/etc/postfix/ldap/sender_bcc_maps_domain.cf
sendmail_path = /usr/sbin/sendmail.postfix
setgid_group = postdrop
smtp_data_init_timeout = 240s
smtp_data_xfer_timeout = 600s
smtp_tls_CAfile = $smtpd_tls_CAfile
smtp_tls_security_level = may
smtpd_client_restrictions = permit_mynetworks,  permit_sasl_authenticated
smtpd_data_restrictions = reject_unauth_pipelining
smtpd_end_of_data_restrictions = check_policy_service inet:127.0.0.1:10031
smtpd_helo_required = yes
smtpd_helo_restrictions = permit_sasl_authenticated,
        reject_non_fqdn_helo_hostname,
        reject_invalid_helo_hostname,
        check_helo_access pcre:/etc/postfix/helo_access.pcre
smtpd_recipient_restrictions = permit_mynetworks,
    permit_sasl_authenticated,
    reject_unauth_destination,
   reject_unknown_sender_domain,
    reject_unknown_recipient_domain,
    reject_non_fqdn_sender,
    reject_non_fqdn_recipient,
    reject_unlisted_recipient,
    check_policy_service inet:127.0.0.1:7777,
    check_policy_service inet:127.0.0.1:10031
smtpd_reject_unlisted_recipient = yes
smtpd_reject_unlisted_sender = yes
smtpd_sasl_auth_enable = yes
smtpd_sasl_authenticated_header = no
smtpd_sasl_local_domain =
smtpd_sasl_path = ./dovecot-auth
smtpd_sasl_security_options = noanonymous
smtpd_sasl_type = dovecot
smtpd_sender_login_maps = proxy:ldap:/etc/postfix/ldap/sender_login_maps.cf
smtpd_sender_restrictions = permit_mynetworks,  permit_sasl_authenticated,  reject_sender_login_mismatch,  reject_non_fqdn_sender,  reject_unknown_sender_domain
smtpd_tls_CAfile = /etc/pki/tls/certs/sert.pem
smtpd_tls_cert_file = /etc/pki/tls/certs/sert.pem
smtpd_tls_key_file = /etc/pki/tls/private/sert.key
smtpd_tls_loglevel = 0
smtpd_tls_security_level = may
soft_bounce = no
swap_bangpath = no
tls_random_source = dev:/dev/urandom
transport_maps = proxy:ldap:/etc/postfix/ldap/transport_maps_user.cf, proxy:ldap:/etc/postfix/ldap/transport_maps_domain.cf
unknown_local_recipient_reject_code = 550
virtual_alias_domains =
virtual_alias_maps = proxy:ldap:/etc/postfix/ldap/virtual_alias_maps.cf, proxy:ldap:/etc/postfix/ldap/virtual_group_maps.cf, proxy:ldap:/etc/postfix/ldap/virtual_group_members_maps.cf, proxy:ldap:/etc/postfix/ldap/catchall_maps.cf
virtual_gid_maps = static:2000
virtual_mailbox_base = /var/vmail
virtual_mailbox_domains = proxy:ldap:/etc/postfix/ldap/virtual_mailbox_domains.cf
virtual_mailbox_maps = proxy:ldap:/etc/postfix/ldap/virtual_mailbox_maps.cf
virtual_minimum_uid = 2000
virtual_transport = dovecot
virtual_uid_maps = static:2000

да и походу доигрался с fail2ban что перестал быть доступен с локальной ip и со своего ip

(Нажмите, чтобы показать/скрыть)

Chain INPUT (policy DROP)
target     prot opt source               destination         
fail2ban-smtpd  all  --  0.0.0.0/0            0.0.0.0/0           
fail2ban-postfix  tcp  --  0.0.0.0/0            0.0.0.0/0           multiport dports 80,443,25,587,110,995,143,993,4190
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:80
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:443
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:25
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:587
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:110
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:995
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:143
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:993
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:22
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           icmp type 8

Chain FORWARD (policy DROP)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         

Chain fail2ban-postfix (1 references)
target     prot opt source               destination         
REJECT     all  --  49.81.196.234        0.0.0.0/0           reject-with icmp-port-unreachable
REJECT     all  --  1.171.228.49         0.0.0.0/0           reject-with icmp-port-unreachable
REJECT     all  --  58.21.232.128        0.0.0.0/0           reject-with icmp-port-unreachable
REJECT     all  --  222.54.117.35        0.0.0.0/0           reject-with icmp-port-unreachable
REJECT     all  --  114.44.179.82        0.0.0.0/0           reject-with icmp-port-unreachable
REJECT     all  --  116.24.192.93        0.0.0.0/0           reject-with icmp-port-unreachable
REJECT     all  --  110.248.82.27        0.0.0.0/0           reject-with icmp-port-unreachable
REJECT     all  --  114.42.168.73        0.0.0.0/0           reject-with icmp-port-unreachable
REJECT     all  --  27.198.167.17        0.0.0.0/0           reject-with icmp-port-unreachable
REJECT     all  --  111.253.65.9         0.0.0.0/0           reject-with icmp-port-unreachable
REJECT     all  --  125.74.31.126        0.0.0.0/0           reject-with icmp-port-unreachable
REJECT     all  --  118.161.98.217       0.0.0.0/0           reject-with icmp-port-unreachable
REJECT     all  --  110.202.248.132      0.0.0.0/0           reject-with icmp-port-unreachable
REJECT     all  --  1.57.56.169          0.0.0.0/0           reject-with icmp-port-unreachable
REJECT     all  --  125.114.37.32        0.0.0.0/0           reject-with icmp-port-unreachable
REJECT     all  --  220.136.28.107       0.0.0.0/0           reject-with icmp-port-unreachable
REJECT     all  --  118.166.247.58       0.0.0.0/0           reject-with icmp-port-unreachable
REJECT     all  --  114.38.159.194       0.0.0.0/0           reject-with icmp-port-unreachable
REJECT     all  --  114.44.172.138       0.0.0.0/0           reject-with icmp-port-unreachable
REJECT     all  --  175.21.31.175        0.0.0.0/0           reject-with icmp-port-unreachable
REJECT     all  --  112.244.101.134      0.0.0.0/0           reject-with icmp-port-unreachable
REJECT     all  --  183.205.197.103      0.0.0.0/0           reject-with icmp-port-unreachable
REJECT     all  --  114.42.183.56        0.0.0.0/0           reject-with icmp-port-unreachable
REJECT     all  --  223.96.3.216         0.0.0.0/0           reject-with icmp-port-unreachable
REJECT     all  --  36.226.148.142       0.0.0.0/0           reject-with icmp-port-unreachable
REJECT     all  --  218.95.41.210        0.0.0.0/0           reject-with icmp-port-unreachable
REJECT     all  --  111.14.255.64        0.0.0.0/0           reject-with icmp-port-unreachable
REJECT     all  --  118.166.215.188      0.0.0.0/0           reject-with icmp-port-unreachable
REJECT     all  --  112.231.190.23       0.0.0.0/0           reject-with icmp-port-unreachable
REJECT     all  --  42.229.68.170        0.0.0.0/0           reject-with icmp-port-unreachable
REJECT     all  --  118.183.73.61        0.0.0.0/0           reject-with icmp-port-unreachable
REJECT     all  --  1.85.129.37          0.0.0.0/0           reject-with icmp-port-unreachable
REJECT     all  --  111.34.88.231        0.0.0.0/0           reject-with icmp-port-unreachable
REJECT     all  --  49.116.132.222       0.0.0.0/0           reject-with icmp-port-unreachable
REJECT     all  --  222.162.236.203      0.0.0.0/0           reject-with icmp-port-unreachable
REJECT     all  --  27.199.178.99        0.0.0.0/0           reject-with icmp-port-unreachable
REJECT     all  --  120.7.50.238         0.0.0.0/0           reject-with icmp-port-unreachable
REJECT     all  --  112.66.165.16        0.0.0.0/0           reject-with icmp-port-unreachable
REJECT     all  --  222.37.137.148       0.0.0.0/0           reject-with icmp-port-unreachable
REJECT     all  --  114.101.187.0        0.0.0.0/0           reject-with icmp-port-unreachable
REJECT     all  --  111.182.5.162        0.0.0.0/0           reject-with icmp-port-unreachable
REJECT     all  --  114.42.170.135       0.0.0.0/0           reject-with icmp-port-unreachable
REJECT     all  --  114.36.193.170       0.0.0.0/0           reject-with icmp-port-unreachable
REJECT     all  --  27.201.36.88         0.0.0.0/0           reject-with icmp-port-unreachable
REJECT     all  --  27.198.70.47         0.0.0.0/0           reject-with icmp-port-unreachable
REJECT     all  --  175.20.151.85        0.0.0.0/0           reject-with icmp-port-unreachable
REJECT     all  --  118.161.97.34        0.0.0.0/0           reject-with icmp-port-unreachable
REJECT     all  --  114.44.170.203       0.0.0.0/0           reject-with icmp-port-unreachable
REJECT     all  --  114.47.134.93        0.0.0.0/0           reject-with icmp-port-unreachable
REJECT     all  --  1.162.221.76         0.0.0.0/0           reject-with icmp-port-unreachable
REJECT     all  --  123.205.140.76       0.0.0.0/0           reject-with icmp-port-unreachable
REJECT     all  --  118.161.98.241       0.0.0.0/0           reject-with icmp-port-unreachable
REJECT     all  --  171.216.12.113       0.0.0.0/0           reject-with icmp-port-unreachable
REJECT     all  --  119.5.57.244         0.0.0.0/0           reject-with icmp-port-unreachable
RETURN     all  --  0.0.0.0/0            0.0.0.0/0           

[Karl500]

Все нормально. Сервер в HELO должен представляться своим FQDN, а не IP-адресом.
Про fail2ban - ну отключите...

[Чистый]

я так понимаю что в логах идет как раз таки инфа что запрос откланен ? это не дает сильной нагрузки на сеть ? касательно fail2ban то я вырубал и fail2ban и iptables все равно не могу получить доступ, причем из вне, сервер доступе и я могу попасть на webморду

[Karl500]

Ну там же написано английским по белому:

NOQUEUE: reject:

Что значит "не могу получить доступ, причем извне"? Наличие записей в логе однозначно говорит, что smtp порт открыт.

По поводу нагрузки на сеть - в данном случае она минимально возможная.

[Чистый]

"не могу получить доступ"  - это значит что я сидя в одной локальной сети с серваком не могу достучаться до него через почтовый клиент или скажем на webморду его, но сидя с мобильного я вполне могу зайти на вебморду и отправить почту.

[Karl500]

ping идет? Если Вы, "вырубив" и fail2ban и iptables, не можете достучаться до сервера - нужно разбираться с постоением сети.

[Чистый]

смотри, сервак имеет внутренний ip 192.168.0.15, если я в браузере вбиваю этот ip то я попадаю на web морду почтового сервера, могу зайти на него и отправить почту, так же могу на мобильном настроить клиент на почтовый сервер уже с использованием адреса сервера вида mail.test.by  но открыть в браузере mail.test.by я не могу находясь внутри локальной сети, с утра все работало, вот и думаю где накосячил

[Karl500]

Ну Вы и объясняете... Т.е. проблема не с доступом на сервер, а с DNS? (В скобках: почта тут опять же ни при чем)

[Чистый]

а причем тут DNS если другие ресурсы доступны не доступен только mail.test.by все остальное работает...

[Karl500]

Если в браузере можете открыть страницу по IP-адресу, но не можете по имени - два варианта: либо проблема с DNS, либо проблема с конфигурацией web-сервера. При чем тут почтовый сервер, fail2ban или iptables вообще?

[Чистый]

Если в браузере можете открыть страницу по IP-адресу, но не можете по имени - два варианта: либо проблема с DNS, либо проблема с конфигурацией web-сервера. При чем тут почтовый сервер, fail2ban или iptables вообще?

ладно забудем про то что он не доступен пока, подскажи как правильно защитить почтовый сервер, что бы сообщения подобны указанному в первом сообщении не лезли ?

[golota]

Helo command rejected:
Свидетельствует о том, что почтовый сервер отверг домогательства клиента, который не сообщил свой FQDN (Full Qualifaed Domain Name) в комманде HELO или EHLO.
Это нормально.
Порт 25 у вас открыт и избавиться от спаммеров, которые будут к вам ломиться можно только файрволом

Диалог клиента и сервера, как правило, начинается с приветствия.
Передача почты возможна только после выполнения одной из двух названых команд (HELO или EHLO).  Другие команды, не связанные с передачей почты ( NOOP, HELP, EXPN, VRFY, RSET и QUIT ), в принципе могут быть исполнены и без приветствия.

[Чистый]

Закрыть я его не могу, иначе отправлять почту не смогу получается остается только банить IP спамеров ?

[Karl500]

Зачем? Помните, как в "Старике Хоттабыче" - когда Хоттабыч сделал так, чтобы двигатели ледокола не шумели, они остановились.
Зачем их банить, если (как и показывают записи в логе) сервер прекрасно с ними справляется?

[Чистый]

ясно, спасибо, осталось разобраться с тем что не могу достучатся из своей сети к своему же серваку