LINUX.ORG.RU

Postfix 2.6.0

 ,


0

0

12-го мая было объявлено о выходе новой стабильной ветки Postfix MTA - 2.6.x, и первого релиза в этой ветке. На разработку ушло чуть менее полутора лет, если отсчитывать от даты выхода предыдущей стабильной версии. Поскольку начиная с ветки 2.3.х Postfix считается «полным» по функциональности, все последующие релизы сосредоточены не столько на добавлении новых функций, сколько на улучшении уже реализованных.

Основные нововведения:

  • поддержка многоэкземплярности (multi-instance) - удобный способ запуска нескольких экземпляров Postfix привычной командой «postfix start», и конфигурирование экземпляров новой командой «postmulti»;
  • режим TLS/SSL теперь поддерживает криптографию на эллиптических кривых (ECC), при условии сборки с OpenSSL > 0.9.9;
  • более полная поддержка интерфейса milter, используемого в Sendmail;
  • стресс-адаптивное поведение по умолчанию. В случае обнаружения перегрузок сервер Postfix автоматически подстроит такие важные параметры как различные таймауты и т.д.

Postfix - современный MTA (mail transfer agent), второй по популярности почтовый сервер в мире, незначительно уступающий по распространенности только серверу Sendmail. От своего соперника Postfix выгодно отличается модульной архитектурой, общей продуманностью и современным подходом к разработке, как следствие - большей безопасностью, интегрируемостью со сторонними системами (LDAP, MySQL, PostgreSQL, SASL).

Разработку ведет один человек - Wietse Venema, известный также по некоторым opensource-проектам в области информационной безопасности. Postfix написан на С, распространяется по лицензии IBM Public License.

Со времени выхода версии 2.6.0 были также выпущены два bugfix-релиза - 2.6.1 и 2.6.2, устраняющие незначительные ошибки в реализациях milter и SASL, соответственно.

Анонс релиза.

>>> Сайт Postfix

★★

Проверено: Shaman007 ()

Такое ощущение, что я где то это уже видел.
Кажись ]|||[.

Atlant ★★★★★
()
Ответ на: комментарий от ei-grad

гм... ан нет... выбирают sendmail))) postfix просто open relay))

Blacklisted MTAs

Sendmail (25%) qmail (20%) Postfix (19%)

ei-grad ★★★★★
()
Ответ на: комментарий от dimon555

>спаммеры выбирают бот машины под виндой с user agent аутглюк

такой спам проще отсеить по нескольким критериям чем тот, который было послан через нормальный MTA

alt0v14 ★★★
()

Отличный почтовый сервер, простой и быстронастриваемый. А пользоваться будк всё равно exim :)

TALKER
()
Ответ на: комментарий от asandros

>Open Relay Servers:

Postfix (44%)

чушь это. Постфикс надо очень сильно упрашивать быть открытым релеем. С другой стороны, как то один из таких антиспамов поместил мой почтовик в открытые релеи. с какого переляху непонятно, все закрыто было. Наверное, потому что у него письмо на мой домен приняли...

AVL2 ★★★★★
()
Ответ на: комментарий от AVL2

> Постфикс надо очень сильно упрашивать быть открытым релеем.

не нужно ничего упрашивать.
достаточно воспринять смысл mynetworks как сетей, откуда происходит прием почты, и вписать туда и внешний интерфейс, как готов опен релей.
много новичков на этом попадается, хотя документация подобной двусмысленности (давно уже) не допускает.

возможны еще ошибки в настройке авторизации/ограничений, когда с внешнего интерфейса почту таки принимать придется

Tester ★★★
()
Ответ на: комментарий от Tester

Подробнее. Что значит - "вписать туда внешний интерфейс" ?
mynetworks - это список IP-адресов.
Добавить внешний IP-адрес в список mynetworks ?

# By default (mynetworks_style = subnet), Postfix "trusts" SMTP
# clients in the same IP subnetworks as the local machine.

Отсюда следует, что mynetworks по умолчанию и так содержит все IP-адреса почтового сервера.

Ничего не путаем ?

odip ★★
()
Ответ на: комментарий от odip

> Ничего не путаем ?

вроде нет (я на этом попался в 2002 году)

# The mynetworks parameter specifies the list of "trusted" SMTP
# clients that have more privileges than "strangers".
#
# In particular, "trusted" SMTP clients are allowed to relay mail
# through Postfix.

вписать сюда внешний адрес означает открыть релей из внешней сети

> Отсюда следует, что mynetworks по умолчанию и так содержит все

> IP-адреса почтового сервера.


не путайте с inet_interfaces

Tester ★★★
()
Ответ на: комментарий от asandros

>Интересная по ссылке статистика http://www.mailradar.com/mailstat/
>
>Open Relay Servers:

Это какая-то ерунда, а не статистика.
Что обозначает эти 44% для postfix совсем не понятно.
Общее кол-во установок что-ли ?

Заходим внутрь каждой ссылки.

Postfix. Total servers: 12133
This section depicts the percentage of servers that run Postfix and are open relay. 12% или 1456 штук.

Mail Server Microsoft Exchange. Total servers: 602
This section depicts the percentage of servers that run Microsoft Exchange and are open relay. 94% или 566 штук.

Mail Server Sendmail. Total servers: 14366
This section depicts the percentage of servers that run Sendmail and are open relay. 2% или 287 штук.


Отсюда можно сделать вывод, что exchange - почти всегда open relay, postfix дает 12%, а sendmail - 2% и самый защищенный.


А вообще общее число серверов известное этому сайту показывает что нифига авторам сайта неизвестно - я бы оценил общее кол-во почтовых серверов в мире в пару миллионов штук как минимум.

odip ★★
()
Ответ на: комментарий от Tester

>вписать сюда внешний адрес означает открыть релей из внешней сети

Так еще раз - какой внешний адрес ?
Почтовый сервер и роутер находятся на одном компе.
Вписываем внешний IP-адрес компьютера в список mynetworks ?

=================

>> Отсюда следует, что mynetworks по умолчанию и так содержит все
>> IP-адреса почтового сервера.
>
>не путайте с inet_interfaces

Я ничего не путаю. mynetworks по умолчанию содержит все подсети, к которым подключен почтовый сервер.
А раз так, что mynetworks по умолчанию содержит и все IP-адреса компьютера, на котором установлен почтовый сервер.
( Очевидно что IP-адрес компьютера входит в подсеть компьютера ).

=================

Лично я бы по умолчанию сделал бы еще жестче:
mynetworks = inet_interfaces

То есть релеить можно только с самого компьютера

odip ★★
()

>распространяется по лицензии IBM Public License.

Полусвободная хрень.

dent
()
Ответ на: комментарий от Tester

>... достаточно воспринять смысл mynetworks как сетей, откуда происходит прием почты ...

mynetworks - это вообще-то список IP-адресов, для которых сервер делает relay почты. То есть почта приходящая с IP-адресов в mynetworks может быть переслана на любой другой почтовый сервер.

Если прописать в mynetworks сеть 0.0.0.0/0, тогда конечно будет open relay :)

odip ★★
()
Ответ на: комментарий от Magister2k7

Ты зайти внутрь ссылки:

Mail Server qmail. Total servers: 9854
This section depicts the percentage of servers that run qmail and are open relay. 3% или 296 штук

odip ★★
()

> Postfix - современный MTA.. блабла.. отличается умом и сообразительностью

это аффтар сам придумал или как?

megabrain
()
Ответ на: комментарий от odip

Ну... я не знаю как это объяснить, наверное только кривыми руками.
Чтобы настроить его как Open Relay постараться ещё надо... мой точно не такой )
Или они вот это:

Relay test 6
>>> RSET
<<< 250 flushed
>>> MAIL FROM:<spamtest@мой_хост>
<<< 250 ok
>>> RCPT TO:<securitytest%abuse.net@мой_хост>
<<< 250 ok

считают как open relay?

Magister2k7
()
Ответ на: комментарий от Magister2k7

Что такое @мой_хост ?

А куда по-твоему пойдет почта в результате такого теста ? :)
Если почта пошла через твой сервер на securitytest@abuse.net
тогда все в порядке - твой сервер и есть open relay :)

odip ★★
()
Ответ на: комментарий от odip

@мой_хост - это адрес моего сервера, просто не хочу для всех писать.

а почта через мой сервер не пошла, ведь securitytest%abuse.net@мой_хост - это ящик (несуществующий) на моем сервере, и все такие письма сбрасываются мне в ящик spam@мой_хост

или я чего-то не понимаю?

Magister2k7
()
Ответ на: комментарий от odip

>А вообще общее число серверов известное этому сайту показывает что нифига авторам сайта неизвестно - я бы оценил общее кол-во почтовых серверов в мире в пару миллионов штук как минимум.

Total number of scanned servers: 2,818,895
Вот Вам и Ваши пара миллионов :)

Тут важно не то, что известно авторам сайта, а то, что известно скрипту и БД :)

ЗЫЖ процентное соотношение релеев, видимо, напрямую зависит от включённости этой фичи по умолчанию.
исходя из того, что для закрытия релея достаточно пары строчек наподобие
reject_unauth_destination,
reject_unauth_pipelining,
в main.cf, то мне не совсем понятна такая статистика.

mcdebugger ★★
()
Ответ на: комментарий от Magister2k7

Тогда бы и писал @мой_почтовый_домен :)

Насколько я понимаю синтаксис securitytest%abuse.net@мой_хост означает команду твоему серверу - переслать почту на сервер abuse.net
При этом в письме будет "To: securitytest@мой_хост"

То есть тот сервер (abuse.net) должен переслать это письмо обратно в ящик securitytest@мой_хост
Но это уже не важно - вернет он тебе или нет.
Главное - что твой сервер согласился передать письмо туда.

Синтаксис с использованием '%' не тривиален и возник во времена использования uupc, когда связи были между отдельными компьютерами, а этот синтаксис позволяет задать маршрут прохождения письма.

Возможно что твой сервер не понимает этот синтаксис и действительно попробует передать письмо в локальный ящик 'securitytest%abuse.net'
Но тогда он должен ответить ошибкой - такого ящика нет или что-то в этом роде.

odip ★★
()
Ответ на: комментарий от odip

Синтаксис с '%' qmail точно не поддерживает, т.к. в RFC его нет (см. http://homepages.tesco.net/~J.deBoynePollard/FGA/smtp-erroneous-open-relay-tests.html)

Но не в том суть. Не знаю, как они там тестируют, но:
1) Выключил catchall (т.е. теперь всё, что отправлено на несуществующий адрес, будет возвращаться назад)
2) отправил с яндекса письмо на securitytest%abuse.net@мой_хост
3) оно вернулось назад:

Hi. This is the qmail-send program at мой_хост
I'm afraid I wasn't able to deliver your message to the following addresses.
This is a permanent error; I've given up. Sorry it didn't work out.

<securitytest%abuse.net@мой_хост>:
invalid username

Так что нифига тест неправильный ))

Magister2k7
()
Ответ на: комментарий от mcdebugger

>Total number of scanned servers: 2,818,895
>Вот Вам и Ваши пара миллионов :)

А ты до конца таблицы прочитай :)))

Total number of servers that did not respond: 2,759,686
Total number of available servers: 59,209

Число почтовых серверов в 59 тыс мне кажется маловато.

Как минимум почтовых серверов должно быть столько же сколько доменов :)

===============

Для закрытия open relay в postfix не нужно вообще ничего !
Он и так по умолчанию закрыт.

Скорее надо просто не менять значения по умолчанию
для mynetworks и smtpd_recipient_restrictions.

Вот sendmail до какой-то версии (очень давно) грешил этим - нужно было предпринимать специальные действия, чтобы закрыть open realay.

odip ★★
()
Ответ на: комментарий от Magister2k7

> Так что нифига тест неправильный ))

Я согласен, что проверять без реальной посылки почты как бы не совсем верно. Но они и другие аналогичные сайты также ищут open relay - без реальной посылки почты.

А теперь с выключенным catchall запусти тест заново.

Я думаю что молча глотать почту идущую на несуществующий адрес как бы нехорошо. По RFC сервер наверняка должен отвечать сообщением об ошибке.

Если тест ты пройдешь, то значит фича catchall не совместима с этим тестом и с RFC :)))

odip ★★
()
Ответ на: комментарий от odip

>А ты до конца таблицы прочитай :)))

читал-читал :)

>Скорее надо просто не менять значения по умолчанию для mynetworks и smtpd_recipient_restrictions.


вот тут не всегда, к сожалению, получается всё так просто ;)
особенно если MTA должен работать не только внутри "своей" сети...

mcdebugger ★★
()
Ответ на: комментарий от mcdebugger

> особенно если MTA должен работать не только внутри "своей" сети...

MTA всегда работает с внешней сетью.
Как минимум
1) Посылает сообщения с хоста во внешний мир
2) Принимат сообщения из внешнего мира на хост

Или ты управляешь серверами во внутренней сети Пентагона, которая говорят к Internet не подключена ? :)

odip ★★
()
Ответ на: комментарий от odip

Неа, результат теста тот же. Судя по всему qmail проверяет существование ящика немного позже.

А молча глотать... где-то я читал (или показалось), что если отправлять назад спам, то тебя самого могут за спамера посчитать и в блеклист добавить, потому и поставил так.

Magister2k7
()
Ответ на: комментарий от odip

> Или ты управляешь серверами во внутренней сети Пентагона, которая говорят к Internet не подключена ? :)

Ну разумеется :)

mcdebugger ★★
()
Ответ на: комментарий от Magister2k7

А если кто-то банально ошибся в одной букве ?
вместо ivan_grozny@domain.com написал ivan_grozni@domain.com ?

Как я понял ответа что такой адрес не существует он не получит.
Или ты считаешь что тебе на комп идет 100% спама ? :)


Насчет писем об ошибках.
Где-то я видел настройку, что в случае ошибки не пересылать полностью письмо обратно, а только сообщение об ошибке.
Правда не помню - в sendmail или postfix :)


В спам-лист тебя могут добавить банально за одно письмо. Компьютер в локальной сети заражен вирусом. Вирус рассылает спам (не тело вируса) через твой же почтовый сервер. Сообщение со спамом доходит куда-то на другой совершенно сервер во внешний мир реальному юзеру. Юзер читает спам и жалуется на тебя в какой-нибудь автоматический спам-лист.
Твой сервер банят автоматически. Никаких сообщений на postmaster@domain.com никто разумеется не шлет.

Избежать такой ситуации очень сложно.
Держать все компьютеры без вирусов, включая ноутбуки которые таскают туда-сюда...


odip ★★
()
Ответ на: комментарий от odip

Если кто-то ошибся, то это его проблемы ))

Впрочем, почты у меня совсем немного проходит (это сервер маленькой фирмы), до 200 писем в сутки, и я периодически заглядываю в "мусорный ящик".

Хм... интересная настройка... не видел такого в qmail. И фиг с ним.

Ну а насчет вирусов... это вирус должен быть продвинутым, чтобы пароль пользователя украсть сначала (без аутентификации у меня ничего не отправляется даже из локалки). Плюс, маленькая фирма - соответственно с вирусами проще бороться )

Magister2k7
()
Ответ на: комментарий от Magister2k7

Маленькая фирма - это хорошо.

Если используется Outlook, тогда красть ничего не нужно - вирусу достаточно уметь пользоваться MAPI, а пароли в настройках Outlook и так обычно все есть.

odip ★★
()
Ответ на: комментарий от odip

Наверное мне везет, все пользуются TheBAT, один человек FoxMail и я Syplheed :)

btw, Outlook вроде запрашивает подтверждение, когда кто-то хочет его использовать. По крайней мере тот что не Express

Magister2k7
()
Ответ на: комментарий от megabrain

> это аффтар сам придумал или как?

Это "аффтар" сделал обоснованный вывод на базе опыта использования этого и многих других MTA.

А почему вы спрашиваете?

Kuka ★★
() автор топика
Ответ на: комментарий от odip

> А куда по-твоему пойдет почта в результате такого теста ? :) Если почта пошла через твой сервер на securitytest@abuse.net

А это ничего, что для внутренней сети такое поведение (RELAYING) вообще говоря абсолютно нормально?

no-dashi ★★★★★
()
Ответ на: комментарий от odip

> Как я понял ответа что такой адрес не существует он не получит.

Обычно клиент в таком случае получает ошибку в ответ на RCPT TO. Это если почтовая система настолько просто устроена, что в состоянии проверить все локальные ящики, переадресации и алиасы в течение smtp сессии.

В непатченном qmail такие проверки вынесены в разборщик очереди, поэтому он в состоянии только отправить bounce. Делать этого категорически не рекомендуется, поскольку такие инсталляции очень любят использовать для заваливания баунсами всех подряд: достаточно указать в MAIL FROM целевой адрес, а в RCPT TO несуществующий.

У меня есть почтовый сервер (кластер, обслуживает много клиентов в разных доменах), где очень дорого проверять наличие получателя на всех бэкендах: поэтому при отсутствии в кеше информации об адресе фронтенд отвечает 450 и инициирует неспешный оффлайновый поиск. Повторная доставка будет удачной, а фронтенды на некоторое время располагают достоверной информацией.

Есть ещё сервер, который всегда отвечает 250 на MAIL FROM и RCPT TO, а ошибку сообщает в ответ на DATA. Причем ему плевать, что случилось: попытка релеить, отсутствует получатель, не совпадает SPF, отправитель в черно-бело-серых списках или ещё что — всегда 554 без объяснений.

baka-kun ★★★★★
()
Ответ на: комментарий от Magister2k7

> Приятно, мой любимый qmail на третьем месте

qmail хорош, только если его умеют готовить и приправлять правильными соусами-заплатками. Голый он примерно как ванильное ядро: в общем работает, но подточить необходимо.

baka-kun ★★★★★
()

Удивительна статистика по ссылке. qmail 17% наводит на размышления, что это бред, а не статистика. Да и доля sendmail тоже удивительно велика, кто его ставит по дефолту? Что-то не припомню какой современный распространённый дистрибутив линукса его ставит по дефолту.

Casus ★★★★★
()
Ответ на: комментарий от baka-kun

> Есть ещё сервер, который всегда отвечает 250 на MAIL FROM и RCPT TO, а ошибку сообщает в ответ на DATA. Причем ему плевать, что случилось: попытка релеить, отсутствует получатель, не совпадает SPF, отправитель в черно-бело-серых списках или ещё что — всегда 554 без объяснений.

Не дружелюбно как-то.

Casus ★★★★★
()

только сегодня настраивал. long live

unisky ★★
()
Ответ на: комментарий от Casus

> Не дружелюбно как-то.

Да, /очень/ недружелюбно. Правда надо учесть, что у него локальные части адреса очень специфичные: автоматически сгенерированные, с определенным временем жизни, и все как на подбор сорок восемь символов в длину. Ему можно ответить на исходящее письмо, но просто так написать некому.

PS. Как бонус: такая специфика (250 всегда, ошибка только на DATA) позволяет ему притягивать всяких уродов, которых можно потом классифицировать и раскладывать по полочкам. Побочная функция.

PPS. А представляешь, если бы все почтари были чуточку менее «юзер френдли», и отвечали 250 на RCPT TO? Во-первых, это устраняет DHA в простом виде, остается только совмещенный с рассылкой. Во-вторых, избавляет от уродов с callback.

baka-kun ★★★★★
()
Ответ на: комментарий от Casus

> qmail 17% наводит на размышления, что это бред, а не статистика.

А количество почтовых серверов в США по сравнению со всем миром не наводит на размышления?

qmail действительно достаточно много. Когда мне было интересно (пару-тройку лет назад) я сам устраивал подобный случайный скан интернета. Точных цифр уже не помню, но было в районе 10-15%.

Кстати, что тогда особо поразило: основная доля exim и postfix приходилась либо на адреса без обратной зоны, либо a.b.c.d-ppp.some-provider.tld и подобные. А вот сендмейлы, кумейлы и прочие лотусы-ексченджи с коммунигейтами в основном ресолились в чьи-то MX-ы.

baka-kun ★★★★★
()
Ответ на: комментарий от slovazap

> Хм, не знал, что осталось еще столько идиотов, юзающих ублюдский sendmail.

Да, масштабы заразы до сих пор велики. Причем зараза не лечится - больные sendmail'ом или BSD (родственный штамм) настолько уперты, что они не могут переучиться, они могут только вымереть. Чего я им искренне желаю.

Желательно с изъятием своего ДНК из генофонда человечества, как это сделал создатель sendmail.

Kuka ★★
() автор топика
Ответ на: комментарий от Kuka

в вашем случае ваше же предложение можно красиво развернуть заменив "sendmail" на "postfix".. и желающих это сделать найдется не мало..

сам являюсь пользователем обеих систем и что-то ни к фанатизму ни к холиварам не тянет как вас

megabrain
()
Ответ на: комментарий от no-dashi

>> А куда по-твоему пойдет почта в результате такого теста ? :) Если почта пошла через твой сервер на securitytest@abuse.net

>А это ничего, что для внутренней сети такое поведение (RELAYING) вообще говоря абсолютно нормально?

Еще раз - проводится тест на openrelay.
Тест проводится с IP-адреса из внешней сети по отношению к почтовому серверу.
А далее MAIL FROM:<spamtest@мой_хост>
RCPT TO:<securitytest%abuse.net@мой_хост>

odip ★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.