HowTo. Почтовый сервер Postfix, Courier, MySQL и SquirrelMail (Ubuntu 8,04)

[Karl500]

Судя по логу - требует. Обратитесь к провайдеру. (самый простой выход я уже говорил - установить доверие к CA, выдавшему сертификат провайдера).

[tagilchanin]

Релей никак не связан ни с какими правилами iptables. Это - только вопрос конфигурации postfix. Перефразирую: "не стать релеем" - это не значит "написать правильные правила iptables", а - "правильно сконфигурировать postfix": сервер без всяких правил вообще (т.е. полностью открытый) не должен быть открытым релеем.

Почтовый сервер настроен как написано в how-to. Вот эти restriction не дают ему стать релеем так:

(Нажмите, чтобы показать/скрыть)

smtpd_client_restrictions =
 sleep 1
 check_client_access hash:/etc/postfix/maps/client
 reject_unauth_pipelining
 permit_sasl_authenticated
 permit_mynetworks
 reject_unknown_client_hostname
 permit


smtpd_helo_restrictions =
 check_helo_access regexp:/etc/postfix/maps/helo_whitelist
 permit_mynetworks
 permit_sasl_authenticated
 reject_invalid_helo_hostname
 reject_non_fqdn_helo_hostname
 reject_unknown_helo_hostname
 permit      

smtpd_sender_restrictions =  
 permit_mynetworks
 permit_sasl_authenticated
 reject_non_fqdn_sender
 reject_unknown_sender_domain
 permit

smtpd_recipient_restrictions =
 check_sender_access hash:/etc/postfix/maps/whitelist_hash
 reject_non_fqdn_recipient
 reject_non_fqdn_sender
 reject_unknown_sender_domain
 reject_unknown_recipient_domain
 permit_mynetworks
 permit_sasl_authenticated
 reject_unauth_destination
 reject_non_fqdn_hostname
 reject_invalid_hostname
 reject_rbl_client bl.spamcop.net
 reject_rbl_client dul.ru
 reject_rbl_client cbl.abuseat.org
 reject_rbl_client zen.spamhaus.org
 reject_rbl_client b.barracudacentral.org
 reject_rhsbl_sender dsn.rfc-ignorate.org
 reject_rhsbl_client blackhole.securitysage.com
 reject_rhsbl_sender blackhole.securitysage.com
 check_policy_service inet:127.0.0.1:60000
 reject_unverified_sender
 permit

smtpd_data_restrictions =
 reject_multi_recipient_bounce

Нашел свою ошибку. Извините 

[Karl500]

Ну и? Почему Вы считаете, что становитесь open relay'ем? Тесты что показывают?

[tagilchanin]

Ну и? Почему Вы считаете, что становитесь open relay'ем? Тесты что показывают?

Извините, разобрался сам . Сам себя перехитрил при настройке.... Спасибо за помощь.

[Do$]

Ребята подскажите, настроил почтовый сервер. Первоначально был формат mbox, я захотел его переконвертировать в Maildir.
Нашел в нете, что это можно сделать с помощью dovecot. Добавил в конфигурационный файл довекота строку:
convert_mail = mbox:~/mail:INBOX=/var/mail/%u
Вроде все нормально прошло.
Но теперь у меня глюки при работе с вєб интерфесом и почтовой программой при работе через имап - в некоторые папке не могу зайти.
В логах у меня следующие ошибки:

Feb  4 09:59:19 Server dovecot: imap-login: Login: user=<oleg>, method=PLAIN, rip=205.15.139.158, lip=192.168.0.199
Feb  4 09:59:19 Server dovecot: IMAP(oleg): mkdir(/home/oleg/mail/.imap) failed: Permission denied
Feb  4 09:59:20 Server dovecot: IMAP(oleg): Mailbox conversion: rename(/home/oleg/mail, /home/oleg/mail-converted) failed: Directory not empty
Feb  4 09:59:22 Server dovecot: imap-login: Login: user=<oleg>, method=PLAIN, rip=205.15.139.158, lip=192.168.0.199
Feb  4 09:59:22 Server dovecot: IMAP(oleg): mkdir(/home/oleg/mail/.imap) failed: Permission denied

Не могу понять в чем дело и откуда ноги растут.

Также у меня еще один вопрос, после конвертации файлов, ту строку из довекота которую я добавил надо убирать или нет?

Заранее благодарен за ответ

[Karl500]

Уважаемый, ну читайте Вы наконец то, что у Вас в логах пишется. Если что - гугл переводчик есть. Все там понятно написано.

[Do$]

Уважаемый, ну читайте Вы наконец то, что у Вас в логах пишется. Если что - гугл переводчик есть. Все там понятно написано.

Я то читаю, у меня тогда 2 маленьких вопроса:
1. надо ли убирать строчку конвертации из довекота?
2. и на каком основании и чего создается папка .imap

Спасибо за ответы

[Karl500]

Плохо значит читаете.

Feb  4 09:59:20 Server dovecot: IMAP(oleg): Mailbox conversion: rename(/home/oleg/mail, /home/oleg/mail-converted) failed: Directory not empty

[tagilchanin]

Ну и? Почему Вы считаете, что становитесь open relay'ем? Тесты что показывают?

Извините, разобрался сам . Сам себя перехитрил при настройке.... Спасибо за помощь.

Все таки погорячился.  Проблема осталась, но маленько в другом ракурсе.
Если прописываю правило -A POSTROUTING --dst 192.168.0.1 -p tcp -j SNAT --to-source 192.168.0.9
В этом случае все пакеты приходят на  почтовый сервер (192.168.0.1) как будто бы от шлюза (192.168.0.9) и соответственно начинают блокироваться restrcition-ами:

(Нажмите, чтобы показать/скрыть)

3 18:04:52 mailserver postfix/smtpd[19587]: NOQUEUE: reject: RCPT from unknown[192.168.0.9]: 450 4.7.1 Client host rejected: cannot find your hostname, [192.168.0.9]; from=<Myadress@yandex.ru> to=<adm@mydomain> proto=ESMTP helo=<forward14.mail.yandex.net>

Вот кусочек лога.

[Karl500]

Это отправленные изнутри письма блокируются? Вставьте permit_mynetworks в smtpd_client_restrictions, smtpd_helo_restrictions, smtpd_sender_restrictions и smtpd_recipient_restrictions (не знаю, что у Вас в них прописано; в общем случае все они должны пропускать письма "изнутри"); в mynetworks вставьте адрес шлюза 192.168.0.9

Если речь о письмах снаружи, то так конечно делать не надо.

[tagilchanin]

Это отправленные изнутри письма блокируются? Вставьте permit_mynetworks в smtpd_client_restrictions, smtpd_helo_restrictions, smtpd_sender_restrictions и smtpd_recipient_restrictions (не знаю, что у Вас в них прописано; в общем случае все они должны пропускать письма "изнутри"); в mynetworks вставьте адрес шлюза 192.168.0.9

Если речь о письмах снаружи, то так конечно делать не надо.

Это письмо снаружи, я моего ящика который находится на yandex.ru.

[Karl500]

Если это снаружи, то вопрос не к postfix, а к iptables. Так быть не должно.

[tagilchanin]

Если это снаружи, то вопрос не к postfix, а к iptables. Так быть не должно.

Вопрос тогда, а как должно быть. Мне посоветовали вот эту ссыль http://www.opennet.ru/docs/RUS/iptables/#DNATTARGET

[Karl500]

Пакеты, идущие на порт 25 входящего (внешнего) интерфейса шлюза должны перенаправляться на порт 25 почтового сервера. Если IP (внешний) почтового сервера сделан алиасом на внешнем интерфейсе шлюза, то обязательно должен быть настроен 1:1 NAT  (чтобы исходящие пакеты от почтового сервера шли от алиаса, а не от основного внешнего IP шлюза).

PS Не спец в iptables - использую ipcop. Вопрос, очевидно, для темы (например) https://forum.ubuntu.ru/index.php?topic=20334.0

[aSmile]

Если прописываю правило -A POSTROUTING --dst 192.168.0.1 -p tcp -j SNAT --to-source 192.168.0.9
В этом случае все пакеты приходят на  почтовый сервер (192.168.0.1) как будто бы от шлюза (192.168.0.9) и соответственно начинают блокироваться restrcition-ами:

Добавь -s 192.168.0.0/24