Miloš Đakonović's questions

更改电子邮件服务器的 IP 地址（Postfix 堆栈）后，我发现主机拒绝电子邮件消息：

hostname postfix/smtp[38212]: 1AF542406D0: to=<[email protected]>, relay=xxx.xxx.xxx[public-ip-of-server]:25, delay=0.8, delays=0.09/0/0.63/0.08, dsn=5.7.1, status=bounced (host xxx.xxx.xxx[public-ip-of-server] said: 550 5.7.1 <[email protected]>... Rejected - TRUSTmanager (in reply to MAIL FROM command))

这个（关键）部分很奇怪：

said: 550 5.7.1 <[email protected]>... Rejected - TRUSTmanager (in reply to MAIL FROM command))

通常 ESP 巨头（如 Google、Microsoft、Yahoo）会在此处放置有关拒绝原因的附加信息 - 即使他们不知道（或者您可能很容易找到）从那里去哪里。

重要的是要强调新的 IP 地址没有被列入黑名单，并且在 IP 更改之前，两台服务器之间有定期的电子邮件流量。

这TRUSTmanager只有很少的资源可以通过谷歌搜索找到。

有谁知道这是管理员可能要求删除的任何类型的黑名单以及如何执行？或有关如何解决此问题的任何其他有用资源。

编辑（2017 年 12 月 12 日）

这TRUSTmanager是一些Clearswift Email Gateway / Clearswift Secure Email Gateway电子邮件安全软件的一个组件，不确定到底是什么类型的，并且不通过（或至少不完全通过）本地设置进行操作。

因此，该软件具有某种集中的黑名单和联系其他电子邮件服务器的管理员，虽然可以通过手动将 IP 地址列入白名单来解决特定情况是不够好的选项。现在，问题是，如何摆脱这个名单？

据我所知，Amavis有SpamAssassin他自己的（我认为是 Perl Mail::SpamAssassin）。

在安装之前Amavis，我使用SpamAssassin二进制和守护程序（spamc和spamd）插入 MTA（通过管道的 Postfix）。

我的问题是：该怎么办 -apt-get remove spamassassin安装和配置后现在安全Amavis吗？

操作系统是 Ubuntu 14.04 LTS。

我的apache2( Ubuntu 12.04) 在某些（可变的）时间段内出现了异常的系统资源利用率。我很肯定我没有那么多流量，而且 dos/ddos 几乎不在列表中，因为没有 web 服务器重新启动可以对 dos/ddos 做任何事情。

有什么症状？

系统负载（uptime命令）显示2- 2.5- 3。在 8 核机器上，通常的负载永远不会超过，0.8除非发生其他事情，通常是0.1- 0.2。

top命令证明apache是罪魁祸首。

为什么我对可容忍的系统负载很重视？

似乎磁盘 I/O 也增加了（温度升高了 2-3 摄氏度），我宁愿避免这种情况，因为两个硬盘都有好几年了。而且我不知道这是怎么回事。

配置文件/etc/apache2/apache2.conf（删除大注释）：

#
# The accept serialization lock file MUST BE STORED ON A LOCAL DISK.
#
LockFile ${APACHE_LOCK_DIR}/accept.lock

#
# PidFile: The file in which the server should record its process
# identification number when it starts.
# This needs to be set in /etc/apache2/envvars
#
PidFile ${APACHE_PID_FILE}

#
# Timeout: The number of seconds before receives and sends time out.
#
Timeout 300

#
# KeepAlive: Whether or not to allow persistent connections (more than
# one request per connection). Set to "Off" to deactivate.
#
KeepAlive On

#
# MaxKeepAliveRequests: The maximum number of requests to allow
# during a persistent connection. Set to 0 to allow an unlimited amount.
# We recommend you leave this number high, for maximum performance.
#
MaxKeepAliveRequests 100

#
# KeepAliveTimeout: Number of seconds to wait for the next request from the
# same client on the same connection.
#
KeepAliveTimeout 5

##
## Server-Pool Size Regulation (MPM specific)
##

# prefork MPM
# StartServers: number of server processes to start
# MinSpareServers: minimum number of server processes which are kept spare
# MaxSpareServers: maximum number of server processes which are kept spare
# MaxClients: maximum number of server processes allowed to start
# MaxRequestsPerChild: maximum number of requests a server process serves
<IfModule mpm_prefork_module>
    StartServers          5
    MinSpareServers       5
    MaxSpareServers      10
    MaxClients          150
    MaxRequestsPerChild   0
</IfModule>

# worker MPM
# StartServers: initial number of server processes to start
# MinSpareThreads: minimum number of worker threads which are kept spare
# MaxSpareThreads: maximum number of worker threads which are kept spare
# ThreadLimit: ThreadsPerChild can be changed to this maximum value during a
#              graceful restart. ThreadLimit can only be changed by stopping
#              and starting Apache.
# ThreadsPerChild: constant number of worker threads in each server process
# MaxClients: maximum number of simultaneous client connections
# MaxRequestsPerChild: maximum number of requests a server process serves
<IfModule mpm_worker_module>
    StartServers          2
    MinSpareThreads      25
    MaxSpareThreads      75
    ThreadLimit          64
    ThreadsPerChild      25
    MaxClients          150
    MaxRequestsPerChild   0
</IfModule>

# event MPM
# StartServers: initial number of server processes to start
# MinSpareThreads: minimum number of worker threads which are kept spare
# MaxSpareThreads: maximum number of worker threads which are kept spare
# ThreadsPerChild: constant number of worker threads in each server process
# MaxClients: maximum number of simultaneous client connections
# MaxRequestsPerChild: maximum number of requests a server process serves
<IfModule mpm_event_module>
    StartServers          2
    MinSpareThreads      25
    MaxSpareThreads      75
    ThreadLimit          64
    ThreadsPerChild      25
    MaxClients          150
    MaxRequestsPerChild   0
</IfModule>

# These need to be set in /etc/apache2/envvars
User ${APACHE_RUN_USER}
Group ${APACHE_RUN_GROUP}

#
# AccessFileName: The name of the file to look for in each directory
# for additional configuration directives.  See also the AllowOverride
# directive.
#

AccessFileName .htaccess

#
# The following lines prevent .htaccess and .htpasswd files from being
# viewed by Web clients.
#
<Files ~ "^\.ht">
    Order allow,deny
    Deny from all
    Satisfy all
</Files>

#
# DefaultType is the default MIME type the server will use for a document
# if it cannot otherwise determine one, such as from filename extensions.
# If your server contains mostly text or HTML documents, "text/plain" is
# a good value.  If most of your content is binary, such as applications
# or images, you may want to use "application/octet-stream" instead to
# keep browsers from trying to display binary files as though they are
# text.
#
# It is also possible to omit any default MIME type and let the
# client's browser guess an appropriate action instead. Typically the
# browser will decide based on the file's extension then. In cases
# where no good assumption can be made, letting the default MIME type
# unset is suggested  instead of forcing the browser to accept
# incorrect  metadata.
#
DefaultType None


#
# HostnameLookups: Log the names of clients or just their IP addresses
# e.g., www.apache.org (on) or 204.62.129.132 (off).
# The default is off because it'd be overall better for the net if people
# had to knowingly turn this feature on, since enabling it means that
# each client request will result in AT LEAST one lookup request to the
# nameserver.
#
HostnameLookups Off

# ErrorLog: The location of the error log file.
# If you do not specify an ErrorLog directive within a <VirtualHost>
# container, error messages relating to that virtual host will be
# logged here.  If you *do* define an error logfile for a <VirtualHost>
# container, that host's errors will be logged there and not here.
#
ErrorLog ${APACHE_LOG_DIR}/error.log

#
# LogLevel: Control the number of messages logged to the error_log.
# Possible values include: debug, info, notice, warn, error, crit,
# alert, emerg.
#
LogLevel warn

# Include module configuration:
Include mods-enabled/*.load
Include mods-enabled/*.conf

# Include all the user configurations:
Include httpd.conf

# Include ports listing
Include ports.conf

#
# The following directives define some format nicknames for use with
# a CustomLog directive (see below).
# If you are behind a reverse proxy, you might want to change %h into %{X-Forwarded-For}i
#
LogFormat "%v:%p %h %l %u %t \"%r\" %>s %O \"%{Referer}i\" \"%{User-Agent}i\"" vhost_combined
LogFormat "%h %l %u %t \"%r\" %>s %O \"%{Referer}i\" \"%{User-Agent}i\"" combined
LogFormat "%h %l %u %t \"%r\" %>s %O" common
LogFormat "%{Referer}i -> %U" referer
LogFormat "%{User-agent}i" agent

# Include of directories ignores editors' and dpkg's backup files,
# see README.Debian for details.

# Include generic snippets of statements
Include conf.d/

# Include the virtual host configurations:
Include sites-enabled/



<IfModule mod_spamhaus.c>
  MS_METHODS POST,PUT,OPTIONS,CONNECT
  MS_WhiteList /etc/spamhaus.wl
  MS_CacheSize 256
</IfModule>

加载的模块：

 core_module (static)
 log_config_module (static)
 logio_module (static)
 mpm_prefork_module (static)
 http_module (static)
 so_module (static)
 alias_module (shared)
 auth_basic_module (shared)
 authn_file_module (shared)
 authz_default_module (shared)
 authz_groupfile_module (shared)
 authz_host_module (shared)
 authz_user_module (shared)
 autoindex_module (shared)
 cgi_module (shared)
 deflate_module (shared)
 dir_module (shared)
 env_module (shared)
 headers_module (shared)
 mime_module (shared)
 evasive20_module (shared)
 negotiation_module (shared)
 php5_module (shared)
 qos_module (shared)
 reqtimeout_module (shared)
 rewrite_module (shared)
 setenvif_module (shared)
 ssl_module (shared)
 status_module (shared)
 unique_id_module (shared)
Syntax OK

任何帮助表示赞赏。

我不追求可以为我提供花哨的细粒度控制的服务，例如policyd，我不需要每个用户/域控制，我只想：

限制每小时可以通过 Postfix 邮件系统发送的电子邮件的最大数量，最好但不是必需的，不包括 Postfix 邮件系统本身处理的域。

假设我想设置每小时 200 条消息的限制。期望的行为是 201 消息保持到一小时的时间结束才能被传递。

如果对此的解决方案能够尊重我之前设置的每个域的速率限制，我会感到非常惊讶：

smtp_destination_concurrency_limit = 1
smtp_destination_rate_delay = 3s
smtp_extra_recipient_limit = 2

编辑： 这里有一些可能与我正在寻找的配置选项：

anvil_rate_time_unit = 120s
smtpd_client_recipient_rate_limit = 4
smtpd_client_message_rate_limit = 4
smtpd_client_connection_count_limit = 1
smtpd_client_connection_rate_limit = 1

此配置应限制每 2 分钟 4 封电子邮件，因此每小时 120 封 - 但我不确定它是否有效。

我对从邮件标头中删除本地网络主机名和 IP 的必要性/益处问题完全感到困惑。

两年前，我发现一篇文章指出现代 ESP（雅虎、微软、谷歌……）认为Received: from localhost [192.168.0.100] ...标头与电子邮件的垃圾邮件有某种关联，因此对电子邮件进行了不好的处理。从那时起，我所有的 Postfix 服务器都会使用header_checks指令剥离该信息。

最近我遇到了相反的知识库——简而言之，MTA 生成的每个标头都是有用的，不应强行删除。

目前，我没有遇到任何问题，但是这两个学校不可能同时正确 - 你知道关于这个问题的最佳做法是什么吗？

我们知道如何通过 mime_header_checks 指令拒绝可执行文件和其他潜在危险的文件扩展名：

mime_header_checks = regexp:/etc/postfix/mime_header_checks  (main.cf)
/name=[^>]*\.(bat|com|exe|dll|vbs)/ REJECT  (mime_header_checks)

这样 bat,com,exe,dll,vbs 就消失了。但是，由于有操作系统将无扩展名文件视为可执行文件，因此我想到这些也应该被阻止。

如何拥有/什么是正则表达式来匹配这些文件以及已知的可执行文件？

我已经注意到这个条目auth.log

ip_address从端口 51150 ssh2接受 myuser 的公钥

该条目对应于我的基于 ssh-key 的登录事件。SSH 正在侦听默认端口 - 22。

记录端口 51150 的作用是什么，这是否意味着我不能使用限制性 iptables 设置来阻止所有流量传入我之前指定的端口以外的端口（如 20、21、25、80、443、143 ...）

我发现：

• 提交的电子邮件已正确签名（即使用 MUA 发送的电子邮件，如 Outlook 和 Thunderbird）
• 命令行发送的电子邮件已正确签名

使用 PHP 发送的电子邮件，特别是 PHPMailer（非 smtp 提交，普通 PHP mail()）签名不正确。

我听说过 phpMailDomainSigner，这是一种 hack 方法，如果可能的话，我想在顶部解决这个问题 - MTA / milter 级别。

以下是：

/etc/opendkim.conf

# Log to syslog
Syslog                  yes
# Required to use local socket with MTAs that access the socket as a non-
# privileged user (e.g. Postfix)
#UMask                  002
# dkim-milter (2.5.2.dfsg-1ubuntu1) hardy:
# Disable new umask option by default (not needed since Ubuntu default
# uses a TCP socket instead of a Unix socket).

# Attempt to become the specified userid before starting operations.
#UserID                 105 # 'id postfix' in your shell


Domain                  mysubdomain.domain.tld
KeyFile                 /etc/mail/mail.private
Selector                mail

# Common settings. See dkim-filter.conf(5) for more information.
AutoRestart             yes
Background              yes
Canonicalization        relaxed/relaxed
DNSTimeout              5
Mode                    sv
SignatureAlgorithm      rsa-sha256
SubDomains              no
#UseASPDiscard          no
#Version                rfc4871
X-Header                no

Statistics              /var/log/dkim-filter/dkim-stats

/etc/default/opendkim

SOCKET="inet:8891@localhost"

/etc/postfix/main.cf（配置文件的最后几行）

# DKIM
milter_default_action = accept
milter_protocol = 2
smtpd_milters = inet:localhost:8891
non_smtpd_milters = inet:localhost:8891

我有： sda哪些sdb 分区正在形成镜像 RAID

md0
md1
md2
md3

在更新过程中，系统提示我在哪里安装 GRUB 引导加载程序 - 在 sda、sdb、md 上还是一起安装？

什么选择是正确的？

我想要达到的目标：

在我的生产服务器上，我计划拥有多个用户和多个域，我最好的选择是创建完整的电子邮件地址格式 unix 用户 - 当 John Doe 在 myfirstdomain.com 请求电子邮件帐户时，他应该收到他的用户名确切的电子邮件地址 - [email protected]

我该怎么办？

我创建（UNIX）用户 [email protected]，然后将此用户映射到电子邮件地址 [email protected]，/etc/postfix/virtual如下所示：

[email protected]    [email protected]

然后我发布我的虚拟地图，重新加载配置并向地址 [email protected] 发送电子邮件。

我能得到什么

即时错误说用户john.doe不存在 -它不计算完整的用户名 [email protected]，只有 @ 之前的内容 - 所以上面显示的映射不起作用。如何解决？

请注意，当我使用没有 @ 字符的 UNIX 用户时，我能够实现功能。

我从几天前就注意到了同样的重复消息，我可以肯定地说在那段时间没有故意改变（安装/卸载）。

这是/var/log/kern.log消息的示例：

Mar 30 06:32:45 aurora kernel: [566322.867110] e1000e: eth0 NIC Link is Down

Mar 30 06:32:47 aurora kernel: [566325.313634] e1000e: eth0 NIC Link is Up 1000 Mbps Full Duplex, Flow Control: Rx/Tx

Mar 30 06:32:59 aurora kernel: [566337.632930] e1000e: eth0 NIC Link is Down

Mar 30 06:33:18 aurora kernel: [566356.543664] e1000e: eth0 NIC Link is Up 1000 Mbps Full Duplex, Flow Control: None

Mar 30 11:05:47 aurora kernel: [582689.779752] e1000e: eth0 NIC Link is Down

Mar 30 11:05:50 aurora kernel: [582692.174337] e1000e: eth0 NIC Link is Up 1000 Mbps Full Duplex, Flow Control: Rx/Tx

从完整的日志文件中-当将所有此类日志消息计入计数时-我可以得出结论：

• eth0 每隔几个小时就会失败一次
• eth0 在第一种情况下失败两次，在第二种情况下失败 19 秒

我在这里谈论的是生产服务器。

如何解决这个问题，因为邮件服务器处于生产状态并且我不能容忍持续 19 秒的网络故障？

有无数次尝试连接到我的邮件服务器，以便发送未经身份验证的邮件或猜测用户名和密码以完成相同的操作。

我应该像在 ssh 的情况下那样与之抗争吗？怎么做？

请注意：我对fail2ban 的体验很糟糕。

我的域有当前的 TXT 记录：

v=spf1 a mx ip4:{ip-of-my-server} -all

电子邮件流量和网站都进入同一台机器。现在，我必须将网站（A 记录）指向其他服务器。它会破坏发件人策略框架 - 注意 TXT 记录中的“a”吗？

如果是这样，我应该从当前 TXT 记录中删除“a”还是以不同的方式重新配置当前记录，以及如何？

“可以使用”我的意思是：

• 从我的服务器接收电子邮件的 MTA 代理是否会拒绝我的电子邮件
• 如果没有，他们是否会对我的电子邮件进行其他不良处理（标记为垃圾邮件、不安全等......）？

...还是坚持使用未加密的电子邮件只是更好的主意？

我有这样的情况，我的域的 A 记录指向某个 IP 地址，我需要更改它，但 MX 记录有目的地 - 指向我的域名！

如何在传播期间更改 A 记录并避免邮件失败？

我有多个站点和应用程序的 VPS，我想通过 https 运行 MySQL 管理工具以避免中间人攻击的可能性，因为我经常不得不使用 mysql root 密码。

现在，如果我有专门为此目的的域名，那将完全不是问题，因为设置 ssl 虚拟主机是没有问题的。我的任务是只使默认虚拟主机的一个（子）文件夹强制 https。

假设我有/var/wwwvhosts 文件夹和下面的所有内容。如果我键入 http://{ip-adress-of-vps} 我得到的文件用作/var/www默认主机的索引。我想在( )phpmyadmin下面创建目录并仅在调用时通过 https 访问它。/var/www/var/www/phpmyadminhttp://{ip-adress-of-vps}/phpmyadmin

那可能吗？怎么做？如果不可能，您的最佳做法是什么？

提前致谢。