Конфигурирование exim4

1

1

Товарищи, привет.

Впервые конфигурирую почтовый сервер и появилось пару вопросов. Точнее несколько почтовых серверов.

есть ли возможность создать custom конфигурационный файл, который бы при update-exim4.conf собирался в общий конфиг?
нужно ли настраивать TLS?
можно ли посредством только exim'а сделать так, чтоб на один из серверов приходили ответы на reply-to поле?

Из того, что уже сделано: DKIM, DMARC, SPF, HELO, почта доставляется на mail.ru, ukr.net, gmail, yandex

Спасибо.

Ссылка

←	mesh сети на VLAN

Почтовый сервер. Нагрузка 200к-1м писем в день

→

есть ли возможность создать custom конфигурационный файл, который бы при update-exim4.conf собирался в общий конфиг?

Не вкурил, ты хочешь, чтоб на выходе был один файл, а не кучка? Тогда самый простой путь dpkg-reconfigure exim4-config, некст некст некст, где-то в конце он спросит сплитить или нет. Разумеется есть соотвествующая опция, но я её не помню.

нужно ли настраивать TLS?

В смысле? Если ты ничего не ломал, то из коробки у тебя межсерверное взаимодействие будет с TLS (через starttls), ибо так сейчас принято по дефолту.

Если ты про авторизованных пользователей, то тогда поясняй чего ты спрашиваешь. Отдельный tls порт желателен, но и starttls будет достаточно. Про sasl можно не морочится - не все клиенты понимают.

можно ли посредством только exim'а сделать так, чтоб на один из серверов приходили ответы на reply-to поле?

MX понятия не имеет, без дополнительной эзотерики был ли это ответ на reply-to или просто письмо. Нюансов много. Поэтому лучшее, что можно сделать это все письма на определенный адрес направить на определенный сервер называется это manual route.

zloelamo
(03.10.16 09:50:34 MSK)
Последнее исправление: zloelamo 03.10.16 09:51:08 MSK (всего исправлений: 1)

А вообще лучше выкинуть нах этот update-exim4.conf и написать свой exim4.conf с нуля. Это совсем не сложно, зато будешь лучше понимать как это работает. Конфиг exim в дебиане буквально изгажен макроподстановками и нечитаем без опыта.

zloelamo
(03.10.16 09:54:04 MSK)

Ответ на: комментарий от zloelamo 03.10.16 09:50:34 MSK

Не вкурил, ты хочешь, чтоб на выходе был один файл, а не кучка? Тогда самый простой путь dpkg-reconfigure exim4-config, некст некст некст, где-то в конце он спросит сплитить или нет. Разумеется есть соотвествующая опция, но я её не помню.

Не, немного не так. Есть папка conf.d, есть файл exim4.conf.template, а я спрашиваю, есть возможность создать какой-то eximPriority.conf значения из которого перетирали бы значения из предыдущих конфигов и шли в финальный конфигурационный файл:

Configuration file is /var/lib/exim4/config.autogenerated

В смысле? Если ты ничего не ломал, то из коробки у тебя межсерверное взаимодействие будет с TLS (через starttls), ибо так сейчас принято по дефолту. Если ты про авторизованных пользователей, то тогда поясняй чего ты спрашиваешь. Отдельный tls порт желателен, но и starttls будет достаточно. Про sasl можно не морочится - не все клиенты понимают.

Проверяю на mxtoolbox и там мне пишет

smtp	   mail3.domain.tld	Warning - Does not support TLS.

MX понятия не имеет, без дополнительной эзотерики был ли это ответ на reply-to или просто письмо. Нюансов много. Поэтому лучшее, что можно сделать это все письма на определенный адрес направить на определенный сервер называется это manual route.

сформулирую немного иначе) Есть 3 почтовых ссервера, можно сделать так, чтоб только один принимал почту (всякие abuse, postmaster, fbl), но при этом, чтоб он принимал всю почту, то есть и ту, которая уйдет на два предыдущих сервера..

guusr
(03.10.16 10:35:24 MSK) автор топика

Ссылка

Ответ на: комментарий от zloelamo 03.10.16 09:54:04 MSK

А вообще лучше выкинуть нах этот update-exim4.conf и написать свой exim4.conf с нуля. Это совсем не сложно, зато будешь лучше понимать как это работает. Конфиг exim в дебиане буквально изгажен макроподстановками и нечитаем без опыта.

Ты, наверное, говоришь о exim4.conf.template? Да, согласен, там хлама много, но мне пока нужно просто сделать так, чтоб все работало, а там уже дальше буду глубже копать..

guusr
(03.10.16 10:37:13 MSK) автор топика

Ответ на: комментарий от guusr 03.10.16 10:37:13 MSK

а я спрашиваю, есть возможность создать какой-то eximPriority.conf значения из которого перетирали бы значения из предыдущих конфигов и шли в финальный конфигурационный файл:

А чем update-exim4.conf.conf не устраивает? Он для этого и сделан. Вписываешь любое нужное значение макроса сюда. Эта беда вызовом бинарника update-exim4.conf складывает конфиг с template, а на выходе дает готовый exim4.conf. Или ты exim4.conf.template правил? Тогда это не кошерный с точки зрения debian подход. Этот файл правят мейнтейнеры.

Проверяю на mxtoolbox и там мне пишет

Ну ок, значит не включено. Надо пялиться в результирущий конфиг и пытаться понять какой макрос надо выставить, чтоб включить. Ну или ключики надо нагенерить. http://www.exim.org/exim-html-current/doc/html/spec_html/ch-encrypted_smtp_co...

сформулирую немного иначе) Есть 3 почтовых ссервера, можно сделать так, чтоб только один принимал почту (всякие abuse, postmaster, fbl), но при этом, чтоб он принимал всю почту, то есть и ту, которая уйдет на два предыдущих сервера..

Ну это проще. Проверь это уже должно работать. Насколько я знаю эту дебиановскую лапшу, то у тебя из трех серверов конечной точкой приземления трафика будет тот MX, у которого самый высокий приоритет в DNS. Есть нюансы, в частности внутреннее имя MX и прочее, но скорее всего у тебя уже так и есть: один является конечной точкой, а два других просто пересыльщики, которые у себя почту будут только временно держать в случае недоступности главного.

zloelamo
(03.10.16 11:20:02 MSK)

Ссылка

Ответ на: комментарий от guusr 03.10.16 10:37:13 MSK

И да, чтоб тестировать smtp не надо разных левых утилит:

telnet mx.example.ru 25
helo server
mail from: mnu@example.com
rcpt to: foobar@example.com
data
Subject: Ashalay mashalay!
From: Izzia <mnu@example.com>

Shalom
--
mnu
.

Заголовки типа Subject и From это уже тело письма (после команды data), их можно пропускать. Это я так, для красоты.

Есть ряд перлоскриптов, которые такое тестирование автоматизируют, но для начала самому в телнете пообщаться с сервером это самое то. Заодно станет понятно что там работает и как.

zloelamo
(03.10.16 11:24:08 MSK)
Последнее исправление: zloelamo 03.10.16 11:26:41 MSK (всего исправлений: 1)

Ссылка

Ответ на: комментарий от zloelamo 03.10.16 09:54:04 MSK

В общем, создал конфиг, можешь взглянуть и сказать все ли учел и может сразу будет видно, что там не так? gist

guusr
(05.10.16 00:29:02 MSK) автор топика

Ответ на: комментарий от guusr 05.10.16 00:29:02 MSK

Да почти ничего не учел :).

Возьми сгенеренный update-exim4.conf конфиг и пройдись по нему внимательно. Там конечно жесть из-за макросов, но по-крупному видно что к чему.

А конкретно этот конфиг делает очень маленькую работу, но выставлять его в интернет в таком виде нельзя.

Нет никаких acl проверок кроме rcpt, нет pbl, dnsbl листов, нет проверки на вирусы (а это неплохо было бы).

Helo проверки заткнуты в rcpt. Можно в принципе, но зачем.

Ну и самое главное, что нет проверки кому куда можно писать. Т.е. ты сделал так называемый открытый релей. Любой человек, может написать через тебя любому. Спамеры это очень любят.

zloelamo
(05.10.16 11:53:33 MSK)
Последнее исправление: zloelamo 05.10.16 11:53:56 MSK (всего исправлений: 1)

Ответ на: комментарий от zloelamo 05.10.16 11:53:33 MSK

Сделал по этой [urk=http://www.lissyara.su/articles/freebsd/mail/exim dovecot postfixadmin/]статье. Если с блеклистами еще мне понятно, то как сделать закрытый релей? Еще вопрос такой, как мне с вторичных мейл серверов сделать перенаправление на основной, чтоб принимать почту? (только чтоб один мог принимать) Свой конфиг на гисте обновил. Сорян, в релеи вообще не вьезжаю.

guusr
(05.10.16 23:57:29 MSK) автор топика

Ответ на: комментарий от guusr 05.10.16 23:57:29 MSK

то как сделать закрытый релей

Сверять кому можно через тебя отсылать и куда. В частности в лысярском конфиги есть relay_to_domains - это список доменов для которых ты будешь принимать и обрабатывать трафик (а в первом конфиге такого не было). Лысярский конфиг вообще неплох. Много пояснений, нет мусора.

Еще вопрос такой, как мне с вторичных мейл серверов сделать перенаправление на основной, чтоб принимать почту?

В терминах MX нет первичных и вторичных, есть приоритет. Если у тябя в DNS 3 записи MX, с весом 5,10,20, то почта попав на 10 или 20 будет перенаправлена на 5. Это внутренняя логика в dnslookup router http://www.exim.org/exim-html-current/doc/html/spec_html/ch-the_dnslookup_rou...

Или я не понял вопроса. Ты про smarhost сейчас?

Свой конфиг на гисте обновил.

Чей-то не похоже.

Сорян, в релеи вообще не вьезжаю.

Лучше въезжать.

zloelamo
(06.10.16 11:44:07 MSK)
Последнее исправление: zloelamo 06.10.16 11:44:54 MSK (всего исправлений: 1)

Ответ на: комментарий от zloelamo 06.10.16 11:44:07 MSK

Сверять кому можно через тебя отсылать и куда. В частности в лысярском конфиги есть relay_to_domains - это список доменов для которых ты будешь принимать и обрабатывать трафик (а в первом конфиге такого не было). Лысярский конфиг вообще неплох. Много пояснений, нет мусора.

так, вроде бы сделал, что нужно было. Повытягивал в свой конфиг то, что нужно?

В терминах MX нет первичных и вторичных, есть приоритет. Если у тябя в DNS 3 записи MX, с весом 5,10,20, то почта попав на 10 или 20 будет перенаправлена на 5. Это внутренняя логика в dnslookup router http://www.exim.org/exim-html-current/doc/html/spec_html/ch-the_dnslookup_rou... я не понял вопроса. Ты про smarhost сейчас?

Окей, значит схема получается такая, что прием сообщений я делаю только на MX с весом 5, на MX с весом 10 и 20 я делаю только отправку сообщений, ведь входящие будут пересланы на MX 5, верно?