Exim:Не проходит smtp авторизация с внешнего интерфейса

Belansky · Отправлено: **12:09, 19-02-2004** | #2

Цитата:

Код:

лог exim: 
Feb 18 14:30:56 bc155-101-168-192 exim[145]: 2004-02-18 14:30:56 SMTP connection from [my.ext.gate.addr]:31466 (TCP/IP connection count = 1) 
Feb 18 14:30:56 bc155-101-168-192 exim[803]: 2004-02-18 14:30:56 no host name found for IPaddress my.ext.gate.addr 
Feb 18 14:30:58 bc155-101-168-192 exim[803]: 2004-02-18 14:30:58 H=(my.ext.gate.addr) [my.ext.gate.addr]:31466 F=<me@my.host.name> rejected RCPT

Помоему, exim не может сопоставить имя хоста его ip-адресу (возможно, нет соотвествующей записи в зонном файле обратного преобразования inaddr.arpa) из-за чего считает такое письмо спамерским и отклоняет. Многие почтовые агенты ретрансляции настроены сейчас "по умолчанию" именно таким образом, что, если не может сопоставить ip-адресу имя, письмо отторгается.

amim · Отправлено: **13:15, 19-02-2004** | #3

Гм, вполне может быть, ибо такой записи действительно нет и пока не предвидится.. Хотя странно, можно же и поконкретнее было ошибку указать, нежели 5.3.3 Unrecognized command..

И авторизовавшимся юзерам можно было 'по умолчанию' разрешить заходить с любого адреса, без указания имени хоста.. Но в таком случае, как мне отключить данную фичу(методом правления конфигов Exim, а не звонком провайдеру с просьбой поправить dns)?.. *Наверняка это можно сделать, в постфиксе же подобного не наблюдалось..

amim · Отправлено: **16:30, 19-02-2004** | #4

Убрал host_lookup=*, добавил allow_mx_to_ip=true, пока все по старому, что еще можно сделать?..

Belansky · Отправлено: **23:46, 19-02-2004** | #5

amim
Честно признаюсь, в Exim я не силен всё больше как-то с sendmail приходится общаться. Может, полностью текст конфига приведете (без интимных подробностей), посмотрим, со старшими товарищами посоветуемся.

Добавлено:

Да, вспомнил. У нас такое сплошь и рядом встречается, когда клинты пытаются обращаться к нашим почтовым серверам с чужого диапазона ip-адресов или же с компов, чьим именам не сопоставлены ip-адреса и наоборот. Обычно мы советуем таким клиентам настроить почтовые программ таким образом, чтобы сначала происходило получение почты по авторизации, а затем уже отправка. И все письма отправляются. Хотя, специальное указание того, что отправка должна происходить через SMTP посредством авторизации проблему не решало.

amim · Отправлено: **07:58, 20-02-2004** | #6

Пробовал в the bat поставить аутентификация pop прежде smtp, не помогло.. вообще, я не в курсе работы этого механизма, но для pop и smtp у меня передаются разные логины(вернее для pop передается только local_part без домена), хотя и это не существенно, комментирование "AND mbox_host = ..." во всех трех методах аутентификации убирает домен в логине smtp, но и только..

exim.conf:

primary_hostname = mail.my.host.nm
domainlist local_domains = ${lookup mysql{SELECT domain FROM domains \
* * * * * * * * * * * * * WHERE domain='${domain}' AND \
* (type='LOCAL' OR type='VIRTUAL')}}
domainlist relay_to_domains =${lookup mysql{SELECT domain FROM domains \
* * * * * * * * * * * * * * WHERE domain='${domain}' AND type='RELAY'}}
hostlist * relay_from_hosts = 127.0.0.1
acl_smtp_rcpt = acl_check_rcpt
acl_smtp_data = acl_check_data
qualify_domain = my.host.nm
log_selector = \
+all
allow_domain_literals=false
never_users = root:daemon:bin
rfc1413_hosts = *
rfc1413_query_timeout = 0s
ignore_bounce_errors_after = 30m
timeout_frozen_after = 3d
freeze_tell = postmaster
auto_thaw = 1h
message_size_limit = 10M
smtp_accept_max = 50
smtp_accept_max_per_connection = 50
smtp_connect_backlog = 50
smtp_accept_max_per_host = 25
split_spool_directory = true
remote_max_parallel = 15
hide mysql_servers = sqlhost/dbname/user/password

begin acl
acl_check_rcpt:
*accept *hosts = :
*deny * *local_parts * = ^.*[@%!/|] : ^\\.
deny * *message * * * = HELO/EHLO required by SMTP RFC
* * * * condition * * = ${if eq{$sender_helo_name}{}{yes}{no}}

* *accept domains * * * = +local_domains
* * * * authenticated = *
* endpass
* * * * verify * * * *= recipient
condition * * = ${if match {$sender_address_domain} \
{my\\.host\\.nm} \
{yes}{no}}

* *accept domains * * * = +local_domains
* endpass
* * * * verify * * * *= recipient
condition * * = ${if !match {$sender_address_domain} \
{my\\.host\\.nm} \
{yes}{no}}

* *accept domains * * * = *
* * * * authenticated = *
* endpass
* * * * verify * * * *= recipient
condition * * = ${if match{$sender_address_domain} \
{my\\.host\\.nm} \
{yes}{no}}
*deny * *message * * * = access denied

acl_check_data:

*accept

begin routers

dnslookup:
*driver = dnslookup
*domains = ! +local_domains
*transport = remote_smtp
*ignore_target_hosts = 0.0.0.0 : 127.0.0.0/8
*no_more

system_aliases:
*driver = redirect
*allow_fail
*allow_defer
*data = ${lookup mysql{SELECT recipients FROM aliases \
* * * * WHERE local_part='${local_part}' AND domain='${domain}'}}

userforward:
*driver = redirect
*allow_fail
*allow_defer

data = ${lookup mysql{SELECT recipients FROM userforward \
* * * WHERE local_part='${local_part}' AND domain='${domain}'}}

mysqluser:
*driver = accept
*condition = ${if eq{} {${lookup mysql{SELECT home FROM users \
* * * * * * *WHERE id='${local_part}' AND mbox_host='${domain}' \
* * *AND active='Y'}}}{no}{yes}}
*transport = mysql_delivery
* * *
begin transports

remote_smtp:
*driver = smtp

mysql_delivery:
*driver = appendfile
*check_string = ""
*create_directory
*delivery_date_add
*directory = ${lookup mysql{SELECT CONCAT(home, "/"

FROM users \
* * *WHERE id='${local_part}' AND mbox_host='${domain}'}}
*directory_mode = 770
*envelope_to_add
*group = mail
*maildir_format
*maildir_tag = ,S=$message_size
*message_prefix = ""
*message_suffix = ""
*mode = 0600
*quota = ${lookup mysql{SELECT quota FROM users \
*WHERE id='${local_part}' AND mbox_host='${domain}'}{${value}M}}
*quota_size_regex = S=(\d+)$
*quota_warn_threshold = 75%
*return_path_add
* * *
address_pipe:
*driver = pipe
*return_output

address_file:
*driver = appendfile
*delivery_date_add
*envelope_to_add
*return_path_add

address_reply:
*driver = autoreply

begin retry

* * * * * * * * * * * *quota
* * * * * * * * * * * ** * * * * * F,2h,15m; G,16h,1h,1.5; F,4d,6h

begin rewrite

begin authenticators
*auth_plain:
* *driver = plaintext
* *public_name = PLAIN
* *server_condition = ${lookup mysql{SELECT id FROM users \
* * * * * * * * * * * *WHERE id = '${quote_mysql:${local_part:$2}}' \
AND mbox_host = '${quote_mysql:${domain:$2}}' \
AND passwd = '${quote_mysql:$3}' \
AND active = 'Y'}{yes}{no}}
* *server_prompts = :
* *server_set_id = $2
*auth_login:
* *driver = plaintext
* *public_name = LOGIN
* *server_condition = ${lookup mysql{SELECT id FROM users \
* * * WHERE id = '${quote_mysql:${local_part:$1}}' \
* * * AND mbox_host = '${quote_mysql:${domain:$1}}' \
* * * AND passwd = '${quote_mysql:$2}' \
* * * AND active = 'Y'}{yes}{no}}
* *server_prompts = Username:: : Password::
*server_set_id = $1
*auth_cram_md5:
* *driver = cram_md5
* *public_name = CRAM-MD5
* *server_secret = ${lookup mysql{SELECT passwd FROM users \
* *WHERE id = '${quote_mysql:${local_part:$1}}' \
* *AND mbox_host = '${quote_mysql:${domain:$1}}' \
* *AND active = 'Y'}{$value}fail}
*server_set_id = $1

Структура таблиц:

aliases:
+---------------+------------+------------+
| local_part * *| domain * * | recipients |
+---------------+------------+------------+
| root * * * * *| my.host.nm | amim * * * |

domains:
+------------+---------+
| domain * * | type * *|
+------------+---------+
| my.host.nm | VIRTUAL |

users:
+--------+---------------+--------+-------+-------+------------+---------------+-------------------------------------+-------+--------+
| id * * | crypt * * * * | passwd | uid * | gid * | mbox_host *| shell * * * * | home * * * * * * * * * * * * * * * *| quota | active |
+--------+---------------+--------+-------+-------+------------+---------------+-------------------------------------+-------+--------+
| amim * | ????????????? | ???? * | 65534 | 65534 | my.host.nm | /sbin/nologin | /var/mail/virtual/my.host.nm/amim * | * *15 | Y * * *|
| me * * | ????????????? | ???? * | 65534 | 65534 | my.host.nm | /sbin/nologin | /var/mail/virtual/my.host.nm/me * * | * *15 | Y * * *|

userforward:
+------------+------------+------------+
| local_part | domain * * | recipients |
+------------+------------+------------+
| ssd4ssc * *| my.host.nm | amim * * * |

Столбец crypt в таблице users пока не используется..

Belansky · Отправлено: **21:38, 21-02-2004** | #7

amim
Скажите, это листинг Вашего рабочего конфига? Или Вы просто скопировали его из статьи для сокрытия интимных подробностей? А то создается такое впечатление, что у Вас вся работа разрешена только с ip 127.0.0.1.
Во всяком случае, обратите внимание в тесксте указанной Вами статьи на следуущее:

Цитата:

rimary_hostname - полное имя хоста (FQDN);
domainlist local_domains - список доменов, для которых принимаем почту как для локальных;
domainlist relay_to_domains - список доменов, для которых разрешено принимать почту;
hostlist relay_from_hosts - список адресов (IP) с которых разрешено принимать почту;
acl_smtp_rcpt = acl_check_rcpt - вызов правил доступа при проверке адреса получателя;
acl_smtp_data = acl_check_data - вызов правил доступа при проверке пересылаемых данных;
qualify_domain - определение имени домена из FQDN сетевого узла или из адреса отправителя;
log_selector - указываем события, которые необходимо протоколировать;
host_lookup - поиск имени по адресу или наоборот;
auto_thaw - указываем время, по истечению которого будет возобновлена попытка доставить frozen сообщение(я);
message_size_limit - указываем максимальный размер сообщения;
smtp_accept_max - указываем максимально возможное число одновременных smtp сессий.

amim · Отправлено: **07:40, 24-02-2004** | #8

Цитата:

Скажите, это листинг Вашего рабочего конфига? Или Вы просто скопировали его из статьи для сокрытия интимных подробностей? А то создается такое впечатление, что у Вас вся работа разрешена только с ip 127.0.0.1.

Да, это мой рабочий конфиг, хотя он немного отличается, от того, что написано в статье(особенно в части acl, поэтому я ее и привел выше), но первоначально я настраивал все по статье.. Однако по поводу 127.0.0.1 могу процитировать следующее:

The third line defines a host list called "relay_from_hosts". This list is used later in the configuration to permit relaying from any host or IP address that matches the list. The default contains just the IP address of the IPv4 loopback interface, which means that processes on the local host are able to submit mail for relaying by sending it over TCP/IP to that interface. No other hosts are permitted to submit messages for relaying.

Скажем так: эта опция вообще не используется(стоит значение по умолчанию), насколько я понимаю, она нужна для указания доверительных хостов, с которых можно релеить без дополнительных условий..
далее это указывается в опции accept *hosts = +relay_from_hosts, которая у меня отключена..
все верно, с 127.0.0.1 у меня релеится без авторизации(но я это отключу).. только хотелось бы заметить, что авторизация все-таки работает с компьютера в локалке 192.168.101.120(что в общем то и видно из лога) так что вряд ли эта опция на что то влияет.. для очищения совести добавил туда внешний интерфейс, включил accept *hosts = +relay_from_hosts - ничего не изменилось(да и не могло измениться, письма с внешнего интерфейса попадают под одну из трех масок в acl и обламываются из-за непрохождения авторизации, опция accept *hosts = +relay_from_hosts стоит ниже этих масок).. в любом случае облом происходит не из за relay denied, а из-за unrecognized command..

Цитата:

Во всяком случае, обратите внимание в тесксте указанной Вами статьи на следуущее:

ну, с этими опциями вроде как все в порядке, конфиг в наличии..