null

Два слова про exim

13 апреля 2015 0 Sergey Zhmylove

Довольно часто сталкиваюсь с криво настроенными почтовыми серверами, хотя казалось бы разработчики кладут с дистрибутивом почти готовый к использованию конфиг. Эту заметку я решил написать для того, чтобы, возможно, уменьшить количество таких серверов и чтобы, возможно, разработчики, если когда-нибудь прочитают данный текст, подумали над добавлением пары строк в дефолтную конфигурацию.

Для начала, для людей совсем не знакомых с exim, могу предложить прочитать небольшой документ, описывающий конфигурационные опции. Он по устанавливается по умолчанию, если вы компилировали exim с документацией. На FreeBSD это чудо живёт тут: /usr/local/share/doc/exim/spec.txt
В этом документе объясняются все доступные директивы exim-овского конфига (включая поддерживаемые устаревшие). Размер документа небольшой - в 20,92 раза превышает размер man sh. К прочтению обязателен.

Готово? Отлично! Поехали дальше. Теперь я расскажу про три магические строчки, которые позволят избежать кучи мусора в логах и постоянных попыток сбрутфорсить ваш непрекрытый 25-й порт. Под мусором я понимаю вечные

2013-04-10 21:53:47 fixed_login authenticator failed for (XL-20130115BDJQ) 
[42.157.10.81]: 535 Incorrect authentication data (set_id=anonymous)


Собственно, добавить я предлагаю опции

helo_verify_hosts = !+relay_from_hosts
host_lookup = *
auth_advertise_hosts = +relay_from_hosts


Первая проверяет HELO/EHLO для всех, от кого не разрешён релеинг. Вторая - разрешает DNS PTR запросы для всех хостов и третья говорит серверу, что показывать поддержку AUTH нужно только хостам, для которых разрешён релей. На 25-м порту лично я не рекомендую вообще адвертайзить AUTH. Опцию можно написать например так, если хотим, чтобы удалённые клиенты могли подключаться через TLS (465) и авторизоваться:

auth_advertise_hosts = ${if eq{$tls_cipher}{}{+relay_from_hosts}{*}}


Кроме того, советую пользоваться DKIM, SPF, DMARC - проверять входящую и подписывать исходящую корреспонденцию.
На этом, пожалуй, мой опус закончен. Подобные действия, в силу глупости ботнетов, позволяют послать множество оных в /dev/null и сократить количество неверных аутентификаций на сервере в бесконечное число раз.

korg

 

Коротко о себе

Работаю в компании Tune-IT, администрирую инфраструктуру компании и вычислительную сеть кафедры Вычислительной ТехникиСПбНИУ ИТМО.

Интересы: администрирование UNIX и UNIX-like систем и активного сетевого оборудования, написание shell- и perl-скриптов, изучение технологий глобальных сетей.
Люблю собирать GNU/Linux и FreeBSD, использовать тайлинговые оконные менеджеры и писать системный софт.

Ничего не найдено. n is 0