HippoMan's questions

Estou executando o postfix com opendkim. Meu opendkim milter está rodando na porta 10029. CORREÇÃO : Meu opendkim milter está rodando em um soquete unix e há um filtro de conteúdo DKIM configurado na porta 10029.

Ainda hoje comecei a ver mensagens como esta aparecendo no meu log do postfix...

2023.11.01 21:29:40 hippo postfix/smtp[29756]: EBBA428F83B: to=<[email protected]>, relay=127.0.0.1[127.0.0.1]:10029, delay=0.94, delays=0.78/0.01/0.04/0.11, dsn=2.0.0, status=sent (250 2.0.0 Ok: queued as B71ED28F83C)

Parece que algumas pessoas descobriram como usar meu opendkim milter como um relé aberto. Ou estou de alguma forma interpretando mal esta mensagem de log?

Meu servidor postfix em si não é um retransmissor aberto e o smtp só pode ser iniciado por meio de autenticação.

Se estou correto ao adivinhar que o opendkim está sendo usado como um relé aberto, isso é um problema conhecido? Ou se estou entendendo mal o que está acontecendo, alguém pode me ajudar a entender o que realmente está acontecendo com essas mensagens aparentemente retransmitidas?

Muito obrigado.

ATUALIZAÇÃO : Será que alguém descobriu que 10029 é uma porta aberta e que é possível usar indevidamente a porta de escuta do DKIM para retransmitir e-mails?

Em caso afirmativo, preciso simplesmente fazer o seguinte para ativar apenas o acesso à porta 10029 do host local? ...

iptables -I INPUT -p tcp --dport 10029 -j DROP
iptables -I INPUT -s 127.0.0.1 -p tcp --dport 10029 -j ACCEPT

Esta questão é semelhante à seguinte no fórum Mozilla. No entanto, a resposta dada a esta pergunta não aborda o problema que estou vendo.

Pergunta no fórum Mozilla: https://support.mozilla.org/lt/questions/1369698

Em outras palavras, estou tendo problemas para fazer o Google aceitar mensagens enviadas para endereços gmail.com somente quando essas mensagens são enviadas via Thunderbird. As mensagens enviadas com clientes não Thunderbird para os mesmos endereços gmail.com com o mesmo endereço de remetente da mesma máquina que o Thunderbird executa ao sair pelo mesmo servidor SMTP sempre chegam sem problemas.

Minha situação é um pouco complicada. Para descrever o que está acontecendo, usarei os seguintes nomes de domínio:

localmachine-example.com -- minha máquina de desktop ubuntu-20.0.4 na qual o Thunderbird está sendo executado

postfix-example.com -- minha máquina de servidor de e-mail debian-11 na qual o postfix-3.5.18 está rodando

Quando estou usando o Thunderbird, configurei-o para enviar e-mails de saída via SMTP usando este host e porta:

postfix-example.com/port=587

Todos os domínios manipulados pelo servidor SMTP postfix-example.com têm registros SPF, DKIM e DMARC adequados que sempre são mostrados como corretos sempre que eu consulto sua validade por meio de vários serviços de verificação de domínio online.

Para todos os destinos de e-mail, exceto endereços gmail.com, quando envio e-mails do Thunderbird em execução em localmachine-example.com, independentemente do endereço de envio, essas mensagens vão para o meu servidor postfix, que as encaminha com sucesso para o destino.

No entanto, se o endereço de destino for especificamente um endereço gmail.com, o e-mail será retornado pelo Google com a seguinte mensagem. Suponha que estou enviando o e-mail para [email protected]. Esta é a mensagem que retorna:

Jun 11 20:29:12 postfix-example postfix/smtp[1088941]: 81AC812C554:to=<[email protected]>, relay=gmail-smtp-in.l.google.com[2607:f8b0:4002:c1b::1b]:25, delay=0.46, delays=0.16/0.01/0.02/0.25, dsn=5.7.25, status=bounced (host gmail-smtp-in.l.google.com[2607:f8b0:4002:c1b::1b] said: 550-5.7.25 [2600:3c02::f03c:93ff:febc:dd9e] The IP address sending this message 550-5.7.25 does not have a PTR record setup, or the corresponding forward DNS 550-5.7.25 entry does not point to the sending IP. As a policy, Gmail does not 550-5.7.25 accept messages from IPs with missing PTR records. Please visit 550-5.7.25  https://support.google.com/mail/answer/81126#ip-practices for more 550 5.7.25 information. g200-20020a0dddd1000000b0056d0485d928si2677570ywe.362 - gsmtp (in reply to end of DATA command)

Nenhum destino de e-mail além dos endereços gmail.com não aceita mensagens semelhantes enviadas pelo Thunderbird.

E por favor, observe o seguinte cuidadosamente:

Se, em vez do Thunderbird, eu usar o cliente de e-mail emacs "Wanderlust" para enviar a mesma mensagem exata da mesma máquina localmachine-example.com para o mesmo endereço [email protected] exato e roteada exatamente pelo mesmo postfix-example.com/port=587 servidor SMTP, chega ao destino gmail.com sem problemas.

Em outras palavras ...

(1) Tanto o cliente Thunderbird quanto o cliente de e-mail emacs "Wanderlust" estão sendo executados no mesmo host localmachine-example.com.

(2) Tanto o cliente Thunderbird quanto o cliente de e-mail emacs "Wanderlust" estão enviando uma mensagem com o mesmo endereço de remetente.

(3) Tanto o cliente Thunderbird quanto o cliente de e-mail emacs "Wanderlust" estão enviando uma mensagem com o mesmo endereço de destinatário [email protected].

(4) Tanto o cliente Thunderbird quanto o cliente de e-mail emacs "Wanderlust" estão configurados para enviar e-mails de saída através do mesmo servidor SMTP: postfix-example.com/port=587

(5) Todos os e-mails enviados pelo cliente de e-mail emacs "Wanderlust" sempre chegam ao endereço [email protected] sem problemas.

(6) No entanto, todos os e-mails enviados para endereços gmail.com por meio do cliente Thunderbird sempre retornam com a mensagem de erro que postei acima.

Alguém sabe o que posso fazer para configurar o Thunderbird para não causar esse tipo de erro quando estou enviando para endereços gmail.com do meu host localmachine-example.com?

Além disso, recebo exatamente o mesmo comportamento ao enviar via Seamonkey em vez de Thunderbird.

Muito obrigado antecipadamente.

Estou rodando opendmarccom postfixo Debian linux. Eu fiz a instalação padrão do Debian baseada em apt opendmarc, mas depois percebi que ele está aparentemente configurado por padrão para ser usado opendmarc-importpara salvar dados de importação em um banco de dados.

Não quero usar o banco de dados, mas não consigo encontrar nenhuma maneira de opendmarcinterromper o registro de informações nesse banco de dados.

Não vejo nada /etc/opendmarc.confque pareça controlar se opendmarc-importestá ou não configurado para ser utilizado.

Alguém poderia me indicar instruções sobre como opendmarcparar de usar opendmarc-import? Não consigo encontrar nenhuma documentação em nenhum lugar que pesquisei.

Muito obrigado antecipadamente.

PS : Acho que poderia colocar manualmente um exit(0);próximo ao topo do /usr/sbin/opendmarc-importscript perl (ou fazer alguma outra alteração apropriada nesse script), mas prefiro não confiar em um hack como esse.

Quero que um dos domínios que gerencio tenha MXregistros nulos: ou seja , MX RR, .

Estou tentando descobrir como especificar MX RRem djbdns, mas minhas pesquisas não renderam nenhuma informação sobre como fazer isso.

Fiz o seguinte por enquanto, mas sei que essa não é a maneira correta de anular MXos registros ...

@example.com:127.0.0.1:a:0
@example.com:127.0.0.1:b:0

... e tenho certeza de que o seguinte é igualmente indesejável ...

@example.com:localhost:a:0
@example.com:localhost:b:0

Existe uma djbdnssintaxe baseada em -para criar MX RRregistros?

Agradeço antecipadamente por qualquer sugestão.

Nota: Eu postei originalmente esta pergunta no Unix/Linux StackExchange, mas depois de uma semana, não houve respostas. Vejo mais discussões relacionadas ao postfix aqui e, por isso, votei para fechar a versão do StackExchange da minha pergunta e movi minha pergunta aqui.

Estou correndo postfix version 2.93sob Debian 8, e estou tentando realizar algo incomum.

Eu tenho usado um milter caseiro por anos que está funcionando bem. Ele executa vários testes em cada estágio da caixa de diálogo SMTP: ehlo, mail from, rcpt to, etc .

Eu configurei postfixpara fazer sua verificação padrão para "Usuário desconhecido na tabela de caixa de correio virtual", e isso também está funcionando como deveria.

No entanto ...

Em alguns casos raros, gostaria de interceptar a mensagem recebida durante o rcpt toestágio, antes postfix de determinar "Usuário desconhecido na tabela de caixa de correio virtual", e se essas mensagens vierem de um pequeno grupo de determinados remetentes selecionados e forem endereçadas a um pequeno grupo de nomes de destinatários desconhecidos específicos , quero processá-los de maneira diferente do normal por meio dessa etapa milter.

Há informações suficientes disponíveis durante a rcpt toetapa de milter para realizar esse processamento especial, mas, infelizmente, o processamento "Usuário desconhecido na tabela de caixa de correio virtual" postfixjá rejeita mensagens para usuários desconhecidos antes que a rcpt toetapa de milter seja chamada e, portanto, essa etapa de milter nunca recebe realizado.

Existe uma maneira de configurar postfixpara rejeitar apenas mensagens com "Usuário desconhecido na tabela de caixa de correio virtual" se o nome do remetente não corresponder a determinados padrões especiais?

Nesse caso, postfixpoderia continuar a rejeitar automaticamente mensagens para a maioria dos usuários desconhecidos e, então, passar apenas aquelas mensagens raras e especiais para o milter para que fossem tratadas durante a rcpt toetapa.

Eu sei que eu poderia desabilitar completamente os postfixtestes de destinatário desconhecido e, em seguida, gerenciar isso sozinho durante minha rcpt toetapa de milter para todas as mensagens recebidas. No entanto, se possível, gostaria de evitar isso e de alguma forma dizer postfixpara rejeitar condicionalmente a maioria das mensagens para usuários desconhecidos e passar apenas um pequeno subconjunto dessas mensagens recebidas de remetentes especiais para o processamento milter.

Não estou otimista sobre isso ser possível sob o postfix, mas talvez um ou mais de vocês conheçam uma maneira de realizar essa tarefa incomum.

Muito obrigado por quaisquer pensamentos e sugestões.

Estou usando csf v14.05no meu servidor baseado em Debian-8.

Em csf.conf, tenho o seguinte:

TCP_IN = "53,80,110,119,143,443,465,587,953,993,995"

Eu quero substituir isso seletivamente em csf.deny, apenas para certas combinações específicas de host/porta, como no exemplo a seguir:

tcp|in|d=143|s=aaa.bbb.ccc.ddd # actual IP address dummied out

No entanto, as solicitações provenientes do aaa.bbb.ccc.dddporto 443ainda estão sendo permitidas.

Eu sei que csf.allowas regras substituem todas as outras regras e, portanto, parece que TCP_INdentro csf.conftambém se comporta da mesma maneira.

Existe alguma maneira csfde permitir o acesso aberto a uma determinada porta , exceto para determinados endereços IP selecionados, como estou tentando fazer aqui?

Muito obrigado.

Eu tenho duas fail2banprisões que lidam com postfix: uma chamada postfixsasle outra chamada postfixauth. Cada um deles está procurando diferentes correspondências de regex para acionar proibições. É possível que ambos sejam acionados pela atividade do mesmo endereço IP, e isso ocorre às vezes.

Se um dos banimentos expirar antes do outro, parece que o endereço IP está sendo desbanido, mesmo que o segundo ban ainda esteja ativo.

Por exemplo, suponha que eu execute fail2ban-client get postfixauth banip --with-timee obtenha a seguinte linha em sua saída (endereço IP real simulado):

aaa.bbb.ccc.ddd     2020-09-28 10:58:24 + 86400 = 2020-09-29 10:58:24

... e suponha que eu execute fail2ban-client get postfixsasl banip --with-timee obtenha a seguinte saída. O mesmo endereço IP é simulado da mesma maneira:

aaa.bbb.ccc.ddd     2020-09-28 20:00:37 + 3600 = 2020-09-28 21:00:37

Obviamente, o segundo banimento expirará antes do primeiro. No entanto, parece que uma vez que o segundo item é desbanido, o aaa.bbb.ccc.dddendereço IP parece ser desbanido, mesmo antes do tempo de expiração do primeiro item.

Eu quero que o aaa.bbb.ccc.dddendereço IP permaneça bloqueado até que a última proibição expire, mas isso não está ocorrendo para mim.

Antes das 21:00:37 de 29-09-2020, a seguinte linha aparece na f2b-postfixauthseção de iptables -Lsaída:

REJECT     all  --  aaa.bbb.ccc.ddd         anywhere             reject-with icmp-port-unreachable

... e a seguinte linha aparece na f2b-postfixsaslseção da iptables -Lsaída:

REJECT     all  --  aaa.bbb.ccc.ddd         anywhere             reject-with icmp-port-unreachable

Após 21:00:37 em 29-09-2020, ambas as linhas desapareceram da iptables -Lsaída.

Esse é o comportamento esperado? Ou pode haver algo totalmente não relacionado que está errado com minha fail2banconfiguração que faz com que isso ocorra? Se esse não for o comportamento esperado, investigarei minha fail2banconfiguração mais a fundo.

Muito obrigado.

Recentemente, alterei o endereço IP de um domínio específico, chame-o de example.com. Eu sei que leva tempo para a mudança de DNS se propagar e ainda é cedo o suficiente para que a propagação não seja concluída.

Percebi que a execução de uma consulta ANY fornece resultados diferentes da execução de uma consulta de registro A. Por exemplo ...

% host -t a example.com
example.com has address THE.OLD.IP.ADDRESS
% host -t any example.com
example.com has address THE.NEW.IP.ADDRESS

Eu sei que, eventualmente, o DNS será totalmente propagado e a consulta do registro A retornará THE.NEW.IP.ADDRESS. Mas gostaria de saber se alguém poderia explicar por que uma consulta ANY retorna o novo endereço IP, enquanto a consulta de registro A ainda retorna o endereço IP antigo, até que a propagação seja concluída.

Isso é importante para mim porque o software aplicativo que resolve nomes de domínio parece fazer o equivalente à consulta de registro A e não a consulta QUALQUER e, portanto, esses aplicativos ainda resolvem o endereço IP para o valor antigo até que a propagação do DNS seja concluída.

Estou apenas procurando uma explicação de por que QUALQUER resultado parece se propagar mais rapidamente do que os resultados do registro A ... isso é para minha própria compreensão e edificação.

Muito obrigado.