Exim и dbmail

Автор: lissyara.

2007-07-20: Статья передвинута в архив как устаревшая. Также, ввиду глючности dbmail, юзайте dovecot, например по этой статье.

   Связка Exim и dbmail. Ну, для начала немного воды. Почему экзим? Да потому, что он мне просто нравится. Понятный конфиг, в виде единого файла, который при желании можно разбить на несколько, маленький, шустрый, надёжный. Чё ещё надо для счастья? :) Почему dbmail? Тут всё чуть сложней - в офисе был настроен имап (на тот момент courier-imap), но оутглюк не мог создавать свои папки прям в корне, ему надо было обязятельно написать INBOX... Другой косяк - если пытаешься настроить имап со второй машины на тот же ящик, то служебные папки уже не в виде дерева, а все во входящих... Короче через одно место всё. Начал перебирать всё что было в /usr/ports/mail. Перебрал не так много, но больше всех понравился dbmail - именно самой идеей - хранить письма в БД MySQL - открывается масса возможностей по управлению всем этим хозяйством. Ну и моих проблем по созданию папок в корне тут не существовало.
   Ставить начнём с dbmail, как обычно, из портов:


/usr/ports/>make search name='dbmail' Port: dbmail-mysql-2.0.7_2 Path: /usr/ports/mail/dbmail Info: An SQL database-based mail system (POP3 and IMAP) Maint: mark_sf@kikg.ifmo.ru B-deps: gettext-0.14.5_1 gmake-3.80_2 libiconv-1.9.2_1 mysql-client-4.1.18_1 R-deps: mysql-client-4.1.18_1 WWW: http://www.dbmail.org/ /usr/ports/> /usr/ports/>cd /usr/ports/mail/dbmail /usr/ports/mail/dbmail/>make && make install && make clean

После установки рихтуем конфиг, предварительно скопировав его из дефолтового:


/usr/ports/mail/dbmail/>cd /usr/local/etc/ /usr/local/etc/>ls | grep dbmail dbmail.conf-dist /usr/local/etc/>cp dbmail.conf-dist dbmail.conf /usr/local/etc/>

Должно получиться нечто подобное:
/usr/local/etc/dbmail.conf


# Це мой русифицированный, по самое небалуйся, конфик dbmail`а :) # общая конфигурация dbmail [DBMAIL] # Данные для подключения к БД MySQL host=localhost # Хост на котором крутится MySQL sqlport=3306 # Порт на котором работает MySQL. Необходим для # соединения если БД не локальная, или локальная, # но подерживает тока соединения по TCP/IP. # А реально нужен тока если порт нестандартный... sqlsocket=/tmp/mysql.sock # Путь к локальному сокету. Нужен лишь # в том случае, если БД на этом же сервере. # Кстати - самый быстрый способ работы. По # возможности, лучше пользоваться именно им. user=dbmail # Узер для работы с БД pass=dbmail # Пасворд юзера для работы с БД db=dbmail # Имя базы данных в которой будет храниться почта POSTMASTER=admin@lissyara.su # Адрес постмастера. Зачем нужен - не знаю. # Видимо, слать какие-то оповещения... TRACE_LEVEL=1 # Уровень детализации логов, для # dbmail-util (это программы управления БД) # А вот дальше местами могу только догадываться, к сожалению # документация по dbmail очень и очень неполна... [SMTP] SENDMAIL=/usr/sbin/sendmail # где находится исполняемый файл # сендмыла (тока это не сендмыло вовсе - # по этому пути давно уже лежит скрипт, # имитирующий работу сендмайла для программ) AUTO_NOTIFY=no # авто-уведомления? о чём? AUTO_REPLY=no # авто-ответы? на что? TRACE_LEVEL=1 # уровень детализации логов для SMTP # локальный протокол доставки почты. Когда разберусь - # опишу подробней, а пока тока это - RFC2033 [LMTP] EFFECTIVE_USER=mailnull # Узер от которого работает LMTP EFFECTIVE_GROUP=mail # Сответственно группа в которой этот юзер BINDIP=127.0.0.1 # IP который будет слушать LMTP. Звёздочка - # все адреса, 127.0.0.1 тока локалхост. PORT=24 # Порт который слушать NCHILDREN=20 # Эти числа опредляют число процессов MAXCHILDREN=10 # на старте, и число соединений обслуживаемых MINSPARECHILDREN=2 # каждым процессом. Тока он не очень их MAXSPARECHILDREN=4 # слушает. Я ловил методом тыка... MAXCONNECTS=10000 # Максимальное число обслуживаемых соединений TIMEOUT=300 # Таймаут простоя, после которого dbmail-lmtpd # рвёт соедиение... RESOLVE_IP=yes # Если `yes`, то dbmail-lmtpd резольвит # IP адреса в DNS имена (в логи пишет) TRACE_LEVEL=1 # уровень детализации логов MAX_ERRORS=500 # конфиг dbmail-pop3d [POP] EFFECTIVE_USER=mailnull # Пользователь от которого пашет dbmail-pop3d EFFECTIVE_GROUP=mail # Группа в которой пашем BINDIP=* # Адреса которые слушать. 127.0.0.1 поставить # можно, но смысл это будет иметь только в # случае если на машине организован WEB-интерфейс # работающий по pop3. * - все адреса PORT=110 # Порт который слушает dbmail-pop3d NCHILDREN=20 # Эти числа опредляют число процессов MAXCHILDREN=10 # на старте, и число соединений обслуживаемых MINSPARECHILDREN=2 # каждым процессом. Тока он не очень их MAXSPARECHILDREN=4 # слушает. Я ловил методом тыка... MAXCONNECTS=10000 # Максимальное число обслуживаемых соединений TIMEOUT=300 # Время простоя(секунд), через которое dbmail-pop3d # разорвёт соединение с клиентом. RESOLVE_IP=yes # Если `yes`, то dbmail-pop3d резольвит # IP адреса в DNS имена (в логи пишет) POP_BEFORE_SMTP=no # Насколько я понял - требовать авторизацию по # POP3 до отправки писем по SMTP TRACE_LEVEL=1 # уровень детализации логов # Конфиг dbmail-imapd [IMAP] EFFECTIVE_USER=mailnull # Пользователь от которого пашет dbmail-pop3d EFFECTIVE_GROUP=mail # Группа в которой пашем BINDIP=* # Аналогично предыдущей секции - pop3 PORT=143 # Порт на котором работаем NCHILDREN=20 # Эти числа опредляют число процессов MAXCHILDREN=10 # на старте, и число соединений обслуживаемых MINSPARECHILDREN=2 # каждым процессом. Тока он не очень их MAXSPARECHILDREN=4 # слушает. Я ловил методом тыка... MAXCONNECTS=10000 # Максимальное число обслуживаемых соединений TIMEOUT=4000 # Таймаут простоя до того как dbmail-imapd # закроет соединение RESOLVE_IP=yes # Резольвить IP в DNS-имена (для логов) IMAP_BEFORE_SMTP=no # Требовть авторизацию по IMAP до SMTP TRACE_LEVEL=1 # уровень детализации логов

По конфигу пояснений не даю, по-моему я его достаточно прокомментировал. Затем создаём в базу данных, пользователя, и заливаем таблицы.


/usr/home/lissyara/>cd /usr/local/share/dbmail/sql/ /usr/local/share/dbmail/sql/>ls create_tables.mysql migrate_from_1.x_to_2.0.mysql create_tables_innoDB.mysql migrate_from_1.x_to_2.0_innodb.mysql /usr/local/share/dbmail/sql/>mysql --user=dbmail \ ? --password=dbmail --database=dbmail \ ? < create_tables_innoDB.mysql ERROR 1067 (42000) at line 180: Некорректное значение по умолчанию для 'since' /usr/local/share/dbmail/sql/>

Косяк. У меня на тестовой машине MySQL5.0 и поэтому пришлось поправить строку


since datetime default '0' not null,

На такую:


since datetime default '0000-00-00 00:00:00' not null,

После чего пробуем запустить dbmail:


/usr/local/etc/rc.d/>ls | grep dbmail dbmail-imapd.sh dbmail-lmtpd.sh dbmail-pop3d.sh /usr/local/etc/rc.d/> /usr/local/etc/rc.d/>echo '' >> /etc/rc.conf /usr/local/etc/rc.d/>echo 'dbmail_imapd_enable="YES"' >> /etc/rc.conf /usr/local/etc/rc.d/>echo 'dbmail_pop3d_enable="YES"' >> /etc/rc.conf /usr/local/etc/rc.d/>./dbmail-imapd.sh start Starting dbmail_imapd. /usr/local/etc/rc.d/>./dbmail-pop3d.sh start Starting dbmail_pop3d. /usr/local/etc/rc.d/>

Я забыл поменять дефолтовые значения по количеству запускаемых демонов, и поэтому на моей тестовой машине (AMD K6-II 550MHz 256RAM) не хватило ресурсов на запуск такого количества процессов. И получил следующую ошибку в логах:


Feb 23 21:49:08 lissyara dbmail/pop3d[74405]: scoreboard_delete(): delete shared mem segment failed Feb 23 21:49:08 lissyara dbmail/pop3d[74413]: scoreboard_delete(): delete shared mem segment failed Feb 23 21:49:08 lissyara dbmail/pop3d[74398]: scoreboard_delete(): delete shared mem segment failed Feb 23 21:49:08 lissyara dbmail/pop3d[74408]: scoreboard_delete(): delete shared mem segment failed Feb 23 21:49:08 lissyara dbmail/pop3d[73623]: scoreboard_delete(): delete shared mem segment failed

После снижения числа процессов всё стало нормально. Вообще число процессов надо рассчитывать исходя из реальной нагрузки на сервер - например у меня всего 4 пользователя pop3 - поэтому я запускаю всего 4 таких процесса - а вот imap - 25 человек, и соответственно у меня 30 процессов (у народа привычка оставлять почтового клиента открытым, чтоб он постоянно проверял почту - и 25 соединений одновременно - у меня нормальное явление...) Проверям, всё ли запустилось:


/usr/home/lissyara/>ps -jax | grep db root 90499 1 90498 90498 0 S ?? 0:00,01 /usr/local/sbin/dbmail-imapd mailnull 90501 90499 90498 90498 0 S ?? 0:00,07 /usr/local/sbin/dbmail-imapd mailnull 90504 90501 90498 90498 0 S ?? 0:00,01 /usr/local/sbin/dbmail-imapd mailnull 90506 90501 90498 90498 0 S ?? 0:00,01 /usr/local/sbin/dbmail-imapd mailnull 90508 90501 90498 90498 0 S ?? 0:00,01 /usr/local/sbin/dbmail-imapd root 90525 1 90524 90524 0 S ?? 0:00,01 /usr/local/sbin/dbmail-pop3d mailnull 90526 90525 90524 90524 0 S ?? 0:00,07 /usr/local/sbin/dbmail-pop3d mailnull 90527 90526 90524 90524 0 S ?? 0:00,01 /usr/local/sbin/dbmail-pop3d mailnull 90528 90526 90524 90524 0 S ?? 0:00,01 /usr/local/sbin/dbmail-pop3d mailnull 90529 90526 90524 90524 0 S ?? 0:00,01 /usr/local/sbin/dbmail-pop3d lissyara 90531 57891 90530 57891 2 R+ p1 0:00,01 grep db /usr/home/lissyara/>

Ну и пояснение - почему не запускал dbmail-lmtpd - я им не пользуюсь, и плохо представляю что это такое... Надо будет найти время и прочитать RFC... Для обслуживания БД используется специальная утилита, которая удаляет сообщения помеченные на удаление, проверяет целостность базы и т.п. Для её использования я настругал такой скрипт:


#!/bin/sh -xv util="/usr/local/sbin/dbmail-util" #${util} -c ${util} -t -y ${util} -u -y ${util} -r -y ${util} -d -y ${util} -p -y

Который и запускаю раз в неделю - в выходные, ночью, по крону.
   Далее - ставим экзим. Самый главный косяк - приходится рихтовать Makefile чтобы сделать нужные опции:
/usr/ports/mail/exim/Makefile (показаны изменённые опции)


WITHOUT_IPV6= yes WITH_CONTENT_SCAN= yes WITH_DEFAULT_CHARSET?= koi8-r #LOGDIR?= /var/log/exim LOG_FILE_PATH?= syslog

После чего собираем и ставим его (это не ошибка, правим Makefile в одной директории а ставим из другой. Если интересно почему - посмотрите Makefile и там, и там.)


/usr/ports/>cd /usr/ports/mail/exim-mysql /usr/ports/mail/exim-mysql/>make && make install && make clean

Затем правим файл /etc/mail/mailer.conf до такого состояния


# Конфиг локальной отправки мыла. sendmail /usr/local/sbin/exim send-mail /usr/local/sbin/exim mailq /usr/local/sbin/exim -bp newaliases /usr/local/sbin/exim -bi hoststat /usr/local/sbin/exim purgestat /usr/local/sbin/exim

И конфиг экзима (/usr/local/etc/exim/configure) до такого:


# моя конфига экзма. Будь проклят тот день, # когда мне пришла в голову мысль подписать # русские поясния ко всем пунктам! :) Хоть и # делал я это в первую очередь для себя - # чтоб лучше понять его, но работа эта оказалась # слишком масштабная и неблагодарная... # Имя хоста. Используется в EHLO. # Фигурирует в других пунктах, если они не заданы - # типа qualify_domain и прочих.. # Если тут ничё не установлено (строка закомметрована) # то используется то, что вернёт функция uname() primary_hostname = mx.lissyara.su # Вводим данные для подключения к MySQL серверу. # словечко `hide`, вначале, означает, что при # вызове проверки конфига командой # exim -bV config_file эти данные не будут отображаться. # Если без него - то будут показаны... Формат записи: # хост/имя_бд/пользователь/пароль hide mysql_servers = localhost/dbmail/dbmail/dbmail # Делаем список локальных доменов. Далее этот # список будет фигурировать в виде +local_domains # В данном случае домены выбираются из БД MySQL. Также # можно их просто перечислить через двоеточие. Есть интересная # возможность, можно указать юзер@[хост] - lissyara@[222.222.4.5] domainlist local_domains = ${lookup mysql{SELECT `domainname` \ FROM `domains` WHERE \ `domainname`='${domain}' AND \ (`type`='LOCAL' OR `type`='VIRTUAL')}} # делаем список доменов с которых разрешены релеи. # Далее этот список будет в виде +relay_to_domains # Можно использовать самволы подстановки, типа: # .... = *.my.domen.su : !spam.my.domen.su : first.su # тогда пропускается всё, что похоже на *.my.domen.su, но # от spam.my.domen.su релеится почта не будет. domainlist relay_to_domains = ${lookup mysql{SELECT `domainname` \ FROM `domains` WHERE \ `domainname`='${domain}' \ AND `type`='RELAY'}} # Составляем список хостов с которых разрешён неавторизованый # релей. Обычно в нём находятся локальные сети, и локалхост... # ЛокалХост в двух видах был внесён сознательно - пару раз # сталкивался с кривым файлом /etc/hosts - результатом было # непонимание `localhost` но пониманием 127.0.0.1/8 hostlist relay_from_hosts = localhost:127.0.0.1/8:192.168.20.0/24 # Вводим названия acl`ов для проверки почты. (В общем-то, это # необязательно, если вы делаете открытый релей, или хотите # принимать вообще всю почту с любого хоста для любых # получателей... Тока потом не жалуйтесь что у Вас спам # и провайдер выкатывает немеряный счёт :)) acl_smtp_rcpt = acl_check_rcpt acl_smtp_data = acl_check_data # Прикручиваем антивирус - при условии, что exim собран # с его поддержкой. В качестве антивиря юзаем ClamAV, # ибо - ПО должно быть свободным! :) # Итак, указываем местоположение сокета clamd. av_scanner = clamd:/var/run/clamav/clamd # Адрес куда слать на проверку спама (SpamAssasin), но я # это не юзаю. Не так много у меня спама... # spamd_address = 127.0.0.1 783 # Имя домена добавляемое для локальных отправителей (реальных # юзеров системы) т.е. почта отправляемая от root, будет от # root@домен_указанный_здесь. Если пункт незадан, то используется # имя хоста из `primary_hostname`. Логичней было бы написать здесь # lissyara.su, но мне удобней иначе: qualify_domain = mx.lissyara.su # Имя хоста для ситуации, обратной предыдущей, - это имя домена # добавляемое к почте для системных юзеров, ну и вообще для почты # пришедшей на адрес типа `root`, `lissyara`, & etc... Если этот # пункт незадан то используется значение полученное из # предыдущего пункта - `qualify_domain` qualify_recipient = mx.lissyara.su # А это как раз кусок вышеописанного анахронизма - про почту в # виде user@[222.222.222.222] - принимать её или нет. По дефолту # (когда строка закомментирована) значение - false. Если захотите # поставить true то надо будет добавить в список доменов # комбинацию @[] - она означает `все локальные адреса` allow_domain_literals = false # Пользователь от которого работает exim exim_user = mailnull # группа в кторой работает exim exim_group = mail # запрещаем работу доставки под юзером root - в целях безопасности never_users = root # Проверяем соответствие прямой и обратной зон для всех хостов. # Тока зачем это нужно - даже и незнаю... Спам на этом не режется... # Зато возможны проблемы - если сервер зоны скажет `сервер файлед` # то почту от этого хоста Вы не получите :) host_lookup = * # Тоже анахронизм (на самом деле, не такой уж анахронизм, но все давно # забили на ident и закрыли файрволлом tcp:113...) Это проверка - Ваш # хост спрашивает у удалённого, с которого было подключение, а кто # собстно ко мне подключился на такой-то порт? Если на удалённом хосте # работает identd - он может ответить (а может и не ответить - как # настроить), скажет UID пользователя от которого установлено # соединение, тип ОС, и имя пользователя. Теперь, понимаете, почему # у всех оно зарублено и файрволлами позакрыто? :) Это же палево :) # Тока на мой взгляд, если на сервере всё настроено правильно - # то вовсе это и не страшно. # Короче - если хостс поставить * то будет проверять все. Таймаут - # если поставить 0 то не будет ждать ответа ни от кого. По # вышеописанным причинам - отключаем #rfc1413_hosts = * rfc1413_query_timeout = 0s # По дефолту, экзим отфутболивает все `неквалифицированные` адреса, # состоящие тока из локальной части. Для того чтобы разрешить такие письма # определённых хостов используются эти директивы: # для `неквалифицированных` отправителей sender_unqualified_hosts = +relay_from_hosts # для `неквалифицированных` получателей recipient_unqualified_hosts = +relay_from_hosts # Интересный пункт, тока я не вполне понимаю его логику. # Позволяет выполнять что-то типа - пришло сообщение на # локальный ящик user%test.su@lissyara.su и # переправляет его на user@test.su. Делается это для # перечисленного списка доменов (* - все): # percent_hack_domains = * # Если сообщение было недоставлено, то генерится соощение # об ошибке. Если сообщение об ошибке не удалось доставить # то оно замораживается на указанный в этом пункте срок, # после чего снова попытка доставить его. При очередной # неудаче - сообщение удаляется. ignore_bounce_errors_after = 45m # Замороженные сообщения, находящиеся в очереди, дольше # указанного времени удаляются и генерится сообщение # об ошибке (при условии, что это не было недоставленное # сообщение об ошибке :)) timeout_frozen_after = 15d # собсно на этом штатный конфиг кончился, но # меня-то это не устраивает... Поэтому пошли пункты, # почёрпнутые из других источников. # список адресов, через запятую, на которые засылаются # сообщения о замороженных сообщениях (о замороженых # уведомлениях о заморозке, сообщения не генерятся. - я # надеюсь эта строка понятна :)) freeze_tell = admin@lissyara.su # Список хостов, почта от которых принимается, несмотря # на ошибки в HELO/EHLO helo_accept_junk_hosts = 192.168.20.0/24 # Через какое время повторять попытку доставки # замороженного сообщения auto_thaw = 1h # Приветствие сервера smtp_banner = "$primary_hostname, ESMTP EXIM $version_number" # Максимальное число одновременных подключений по # SMTP. Рассчитывать надо исходя из нагрузки на сервер smtp_accept_max = 50 # максимальное число сообщений принимаемое за одно соединение # от удалённого сервера (или пользователя). C числом 25 # я имел проблемы тока один раз - когда у меня три дня лежал # инет и после его подъёма попёрли мессаги. Но у меня не так # много почты - всего 30 пользователей. smtp_accept_max_per_connection = 25 # чё-то про логи и борьбу с флудом - я так понимаю - # максимальное число сообщений записываемых в логи smtp_connect_backlog = 30 # максимальное число коннектов с одного хоста smtp_accept_max_per_host = 20 # Ход ладьёй - для увеличения производительности, # директория `spool` внутри, разбивается на # директории - это ускоряет обработку split_spool_directory = true # Если у сообщения много адресатов на удалённых хостах, # то запускатеся до указанного числа максимально число # параллельных процессов доставки remote_max_parallel = 15 # при генерации сообщения об ошибке прикладывать # не всё сообщение, а кусок (от начала) указанного # размера (иногда полезно и целиком - в таком случае # просто закомментируйте эту строку) return_size_limit = 70k # размер сообщения. У меня стоит относительно большой # размер (`относительно` - потому, что на большинстве # хостов оно ограничено 2-5-10мб, либо стоит анлим.) message_size_limit = 24M # разрешаем неположенные символы в HELO (столкнулся # с этим случайно - имя фирмы состояло из двух слов # и какой-то раздолбай домен обозвал my_firme_name # прям с подчёркиваниями... Виндовые клиенты при # соединении радостно рапортовали о себе # `vasya.my_firme_name` ну а экзим их футболил :)) helo_allow_chars = _ # Принудительная синхронизация. Если отправитель # торопится подавать команды, не дождавшись ответа, # то он посылается далеко и надолго :) Немного, # спам режется. smtp_enforce_sync = true # Выбираем, что мы будем логировать # + - писать в логи, # - - Не писать в логи. # +all_parents - все входящие? # +connection_reject - разорваные соединения # +incoming_interface - интерфейс (реально - IP) # +lost_incoming_connections - потеряные входящие # соединения # +received_sender - отправитель # +received_recipients - получатель # +smtp_confirmation - подтверждения SMTP? # +smtp_syntax_error - ошибки синтаксиса SMTP # +smtp_protocol_error - ошибки протокола SMTP # -queue_run - работа очереди (замороженные мессаги) log_selector = \ +all_parents \ +connection_reject \ +incoming_interface \ +lost_incoming_connection \ +received_sender \ +received_recipients \ +smtp_confirmation \ +smtp_syntax_error \ +smtp_protocol_error \ -queue_run # Убираем собственную временную метку exim`a из логов, её ставит # сам syslogd - нефига дублировать syslog_timestamp = no ### конфигурация ACL для входящей почты begin acl # Эти правила срабатывают для каждого получателя acl_check_rcpt: # принимать сообщения которые пришли с локалхоста, # не по TCP/IP accept hosts = : # Запрещаем письма содержащие в локальной части # символы @; %; !; /; |. Учтите, если у вас было # `percent_hack_domains` то % надо убрать. # Проверяются локальные домены deny message = "Недопустимые символы в адресе" domains = +local_domains local_parts = ^[.] : ^.*[@%!/|] # Проверяем недопустимые символы для # нелокальных получателей: deny message = "Недопустимые символы в адресе" domains = !+local_domains local_parts = ^[./|] : ^.*[@%!] : ^.*/\\.\\./ # Принимаем почту для постмастеров локальных доменов без # проверки отправителя (я закомментировал, т.к. это - # основной источник спама с мой ящик). accept local_parts = postmaster domains = +local_domains # Запрещщаем, если невозможно проверить отправителя # (отсутствует в списке локальных пользователей) # У себя я это закоментил, по причине, что некоторые # железяки (принтеры, & etc) и программы (Касперский, DrWEB) # умеют слать почту, в случае проблем но не умеют ставить # нужного отправителя. Такие письма эта проверка не пускает. require verify = sender # Запрещщаем тех, кто не обменивается приветственными # сообщениями (HELO/EHLO) deny message = "HELO/EHLO обязано быть по SMTP RFC" condition = ${if eq{$sender_helo_name}{}{yes}{no}} # Принимаем сообщения от тех, кто аутентифицировался: # Вообще, большинство конфигов в рунете - это один и тот же # конфиг написанный Ginger, в котором этот пункт расположен # внизу. Но при таком расположении рубятся клиенты с adsl, # ppp, и прочие зарезанные на последующих проверках. Но это # жа неправильно! Этом мои пользователи из дома! Потому # я это правило расположил до проверок. accept authenticated = * # Рубаем нах, тех, кто подставляет свой IP в HELO deny message = "Не надо пихать свой IP в качестве HELO!" # все хосты кроме тех, что в relay_from_hosts hosts = * : !+relay_from_hosts condition = ${if eq{$sender_helo_name}{$sender_host_address} \ {true}{false}} # Рубаем тех, кто в HELO пихает мой IP (2500 за месяц! Рехнуться можно..) deny condition = ${if eq{$sender_helo_name}{$interface_address}{yes}{no}} hosts = !127.0.0.1 : !localhost : * message = "Это мой IP-адрес! Пшёл прочь!" # Рубаем хосты типа *adsl*; *dialup*; *pool*;.... # Нормальные люди с таких не пишут. Если будут # проблемы - уберёте проблемный пункт (у меня клиенты # имеют запись типа asdl-1233.zone.su - я ADSL убрал...) deny message = "Не нравится мне Ваш хост..." condition = ${if match{$sender_host_name} \ {adsl|dialup|pool|peer|dhcp} \ {yes}{no}} # Рубаем тех, кто в блэк-листах. Серваки перебираются # сверху вниз, если не хост не найден на первом, то # запрашивается второй, и т.д. Если не найден ни в одном # из списка - то почта пропускается. deny message = "Ваш хост в блэклисте - $dnslist_domain" dnslists = opm.blitzed.org : \ proxies.blackholes.easynet.nl : \ cbl.abuseat.org : \ bl.spamcop.net : \ bl.csma.biz : \ dynablock.njabl.org # Задержка. (это такой метод борьбы со спамом, # основанный на принципе его рассылки) На этом рубается # почти весь спам. Единственно - метод неприменим на # реально загруженных MTA - т.к. в результате ему # приходится держать много открытых соединений. # но на офисе в сотню-две человек - шикарный метод. # # более сложный вариант, смотрите в статье по exim и # курьер имап. Т.к. там метод боле умный (просто правил # больше :), то можно и на более загруженные сервера ставить) warn # ставим дефолтовую задержку в 20 секунд set acl_m0 = 20s warn # ставим задержку в 0 секунд своим хостам и # дружественным сетям (соседняя контора :)) hosts = +relay_from_hosts : 213.224.195.224/28 set acl_m0 = 0s warn # пишем в логи задержку (если оно вам надо) logwrite = Delay $acl_m0 for $sender_host_name \ [$sender_host_address] with HELO=$sender_helo_name. Mail \ from $sender_address to $local_part@$domain. delay = $acl_m0 # Проверка получателя в локальных доменах. # Если не проходит, то проверяется следующий ACL, # и если непрошёл и там - deny accept domains = +local_domains endpass message = "В этом домене нет такого пользователя" verify = recipient # Проверяем получателя в релейных доменах # Опять-таки если не проходит -> следующий ACL, # и если непрошёл и там - deny accept domains = +relay_to_domains endpass message = "Моя сервера не знать маршрут на этот хост..." verify = recipient # Разрешаем почту от доменов в списке relay_from_hosts accept hosts = +relay_from_hosts # Если неподошло ни одно правило - чувак явно ищет # открытый релей. Пшёл прочь. :) deny message = "Свободен. Это тебе не ОпенРелей." # Тут идут ACL проверяющие содержимое (тело) письма. # Без них будут пропускаться все сообщения. acl_check_data: # Проверяем письмо на вирусы deny malware = * message = "В письме вирус - $malware_name" # Если есть необходимость - тут проверки на спам # Пропускаем остальное accept # чё делаем с почтой begin routers # Поиск маршрута к хосту в DNS. Если маршрут не найден в DNS - # то это `унроутабле аддресс`. Не проверяются локальные # домены, 0.0.0.0 и 127.0.0.0/8 dnslookup: driver = dnslookup domains = ! +local_domains transport = remote_smtp ignore_target_hosts = 0.0.0.0 : 127.0.0.0/8 no_more # Всё что осталось - это локальные адресаты. # Доставляем почту в dbmail dbmailuser: driver = accept condition = ${lookup mysql{SELECT `alias_idnr` FROM \ `dbmail_aliases` WHERE \ `alias`='${quote_mysql:$local_part@$domain}' OR \ `alias`='${quote_mysql:@$domain}'}{yes}{no}} transport = dbmail_delivery # начинаются транспорты - как доставляем почту begin transports # Доставка на удалённые хосты - по SMTP remote_smtp: driver = smtp # Доставка локальным адресатам - в dbmail dbmail_delivery: driver = pipe check_string = command = /usr/local/sbin/dbmail-smtp -d ${pipe_addresses} group = mail message_prefix = "" message_suffix = "" path="/bin:/sbin:/usr/local/bin:/usr/local/sbin" # Имя программы address_pipe: driver = pipe return_output # Транспорт для автоответов address_reply: driver = autoreply # Начинаются повторы недоставленных писем. begin retry # Этот кусок я не трогал. Думаю разработчики лучше знают, # какие тут должны быть цифирьки. Если же вы это знаете # лучше их - меняйте. Хотя... А какого, если Вы такой # умный, читаете этот мануал? Может ну, их, цифирьки, а? :) # Address or Domain Error Retries # ----------------- ----- ------- * * F,2h,15m; G,16h,1h,1.5; F,4d,6h # преобразование адресов. У меня такого нету. begin rewrite # Секция авторизации при отправке писем. Ввиду того, # что почтовых клиентов много, и все всё делают # по-своему, то и механизмов авторизации три... begin authenticators # А вот по какому методу авторизуется оутглюк - я уже и # не помню... Хотя в своё время долго ковырялся, # пока настроил... Толь plain, толь login... auth_plain: driver = plaintext public_name = PLAIN server_condition = ${lookup mysql{SELECT `user_idnr` FROM \ `dbmail_users` WHERE `userid` = \ '${quote_mysql:$1}' AND `passwd` = \ '${quote_mysql:$2}'}{yes}{no}} server_prompts = : server_set_id = $2 # Вроде по этому оутглюк, а по предыдущему нетскейп. auth_login: driver = plaintext public_name = LOGIN server_condition = ${lookup mysql{SELECT `user_idnr` FROM \ `dbmail_users` WHERE `userid` = \ '${quote_mysql:$1}' AND `passwd` = \ '${quote_mysql:$2}'}{yes}{no}} server_prompts = Username:: : Password:: server_set_id = $1 # А так авторизуется "Летучая Мышь" - TheBat! auth_cram_md5: driver = cram_md5 public_name = CRAM-MD5 server_secret = ${lookup mysql{SELECT `passwd` FROM \ `dbmail_users` WHERE `userid` \ = '${quote_mysql:$1}'}{$value}fail} server_set_id = $1 # Фсё. Конфиг кончился. Два дня убил. # © lissyara 2006-02-25, 01:19

Комментировать не буду и этот конфиг. По моему - вполне достаточно комментов... Теперь создаём таблицу с доменами такой структуры, и примерно такого содержания:


-- -- БД: `dbmail` -- -- -------------------------------------------------------- -- -- Структура таблицы `domains` -- CREATE TABLE `domains` ( `unic_id` int(8) unsigned NOT NULL auto_increment, `domainname` varchar(128) NOT NULL default '', `type` enum('LOCAL','VIRTUAL','RELAY') NOT NULL default 'LOCAL', PRIMARY KEY (`unic_id`) ) TYPE=MyISAM AUTO_INCREMENT=9 ; -- -- Дамп данных таблицы `domains` -- INSERT INTO `domains` VALUES (1, 'mail.my-domain.ru', 'LOCAL'); INSERT INTO `domains` VALUES (2, 'my-domain.ru', 'LOCAL'); INSERT INTO `domains` VALUES (3, 'localhost', 'LOCAL'); INSERT INTO `domains` VALUES (4, 'lissyara.su', 'LOCAL'); INSERT INTO `domains` VALUES (4, 'mx.lissyara.su', 'LOCAL');

Затем ставим ClamAV.


/root/>cd /usr/ports/security/clamav make && make install && make clean

При запуске вылазиет красивое окошко с выбором опций - ничего не выбираем (у меня он предложил "URL downloading" и "milter"). Добавляем в /etc/rc.conf строку, запускаем демона и проверяем заработало ли:


/root/>echo '' >> /etc/rc.conf echo 'clamav_clamd_enable="YES"' >> /etc/rc.conf /root/>/usr/local/etc/rc.d/clamav-clamd.sh start Starting clamav_clamd. /root/>ps -ax | grep clam 3073 ?? Is 0:00.00 /usr/local/sbin/clamd 3078 p0 DL+ 0:00.00 grep clam /root/>

В особой настройке не нуждается, по умолчанию неплохо работает, но при желании можно поправить конфиг - /usr/local/etc/clamd.conf, ещё есть прикол - строка в этом файле в начале файла - Example если она есть и незакомментирована - то он неработает. Единственное для чего точно требуется настройка - это обновление антивирусных баз - для этого запускаем планировщик (crontab -e - нужно учесть что запускается редактор по-умолчанию, т.е. vi если вы это не исправили :)) от суперпользователя и вносим в него такую строку:


28 */4 * * * /usr/local/bin/freshclam >/dev/null 2>&1

Теперь каждый час, который делится нацело на 4 (т.е. в 0, 4, 8, 12, 16, 20) в 28 минут будет проводиться обновление антивируса. Если кажется слишком часто - можно поставить и реже.
   Вот, пожалуй, и всё. Осталось внести пользователей (и не забудте альясы - именно по ним идёт поиск пользователей и доставка экзимом) примерно так:


/home/>dbmail-users -a admin@test.su -s admin@test.su -p plaintext -w 123123 Opening connection to database... Opening connection to authentication... Ok. Connected Adding user admin@test.su with password type,0 bytes mailbox limit and clientid 0 Ok, user added id [68] Adding INBOX for new user Ok. added [admin@test.su] Done /home/>

Пароли я храню некриптованные, мне так удобней :) Хотя это и неправильно. Если неустраивает интерфейс командной строки, то можно привернуть админку на php, благо структура ясна и понятна (если непонятна - советую сделать дамп после добавления первого пользователя, и сравнить с исходным. Даю подсказку, облегчающую работу - INBOX создавать не обязательно, dbmail не дурак, сам создаст при первом письме пользователю). Лезем в /etc/rc.conf, правим строку sendmail_enable="YES" на sendmail_enable="NONE", убиваем sendmail и запускаем exim:


/usr/home/lissyara/>cd /usr/local/etc/rc.d/ /usr/local/etc/rc.d/>echo '' >> /etc/rc.conf /usr/local/etc/rc.d/>echo 'exim_enable="YES"' >> /etc/rc.conf

/usr/local/etc/rc.d/>killall -9 sendmail /usr/local/etc/rc.d/>killall -9 sendmail No matching processes were found /usr/local/etc/rc.d/>./exim.sh start Starting exim. /usr/local/etc/rc.d/> /usr/local/etc/rc.d/>ps -ax | grep exim 57701 ?? Is 0:00,00 /usr/local/sbin/exim -bd -q30m (exim-4.60-0) /usr/local/etc/rc.d/>

Теперь можно слать себе письма, в логах будет примерно такое:


Feb 26 23:19:33 mx exim[73962]: 2006-02-26 23:19:33 Delay 20s for mfront7.yandex.ru [213.180.200.38] with HELO=mfront7.yandex.ru. Mail from lissyara@yandex.ru to admin@lissyara.su. Feb 26 23:19:45 mx exim[73963]: 2006-02-26 23:19:45 no host name found for IP address 213.239.87.155 Feb 26 23:19:46 mx exim[73963]: 2006-02-26 23:19:46 H=(sigve-qdmwqdgcz.n3mean.com.n3mean.com) [213.239.87.155] I=[213.224.195.210]:25 F=<kygsesmspbpzrsql@lenalex.com> rejected RCPT <merchandaizer@my-domain.ru>: "Ваш хост в блэклисте - bl.spamcop.net" Feb 26 23:19:46 mx exim[73963]: 2006-02-26 23:19:46 H=(sigve-qdmwqdgcz.n3mean.com.n3mean.com) [213.239.87.155] I=[213.224.195.210]:25 F=<kygsesmspbpzrsql@lenalex.com> rejected RCPT <merchandaizer@my-domain.ru>: "Ваш хост в блэклисте - bl.spamcop.net" Feb 26 23:19:46 mx exim[73963]: 2006-02-26 23:19:46 unexpected disconnection while reading SMTP command from (sigve-qdmwqdgcz.n3mean.com.n3mean.com) [213.239.87.155] I=[213.224.195.210]:25 Feb 26 23:19:53 mx exim[73962]: 2006-02-26 23:19:53 1FDSMz-000JEw-8b <= lissyara@yandex.ru H=mfront7.yandex.ru [213.180.200.38] I=[213.224.195.210]:25 P=esmtp S=736 id=44020D45.000001.20375@mfront7.yandex.ru from <lissyara@yandex.ru> for admin@lissyara.su Feb 26 23:19:53 mx exim[73964]: 2006-02-26 23:19:53 1FDSMz-000JEw-8b => admin <admin@lissyara.su> R=dbmailuser T=dbmail_delivery Feb 26 23:19:53 mx exim[73964]: 2006-02-26 23:19:53 1FDSMz-000JEw-8b Completed Feb 26 23:24:04 mx exim[77310]: 2006-02-26 23:24:04 Delay 20s for webmail12.yandex.ru [213.180.200.53] with HELO=webmail12.yandex.ru. Mail from lissyara@yandex.ru to admin@lissyara.su.

Как раз в это время ко мне ломанулись спамеры :).
   Пару слов по поводу dbmail. Возможностей у него немеряно. Есть даже админка, написанная на perl. Но интерфейс у неё убогий... Производительность - на моём рабочем серваке (P-IV 2.4 GHz, 1Gb RAM) тормоза видел однажды - когда надо было отправить письмо в 50 мегов размером. Тормозил именно dbmail-smtp. На письмах до 30-40 мег всё работает просто прекасно... Хотя что я точно понимаю - больше сотни пользователей имап эта машина потянет со скрипом (pop3 - на порядок больше. Если не на два.). БД сейчас 20Gb - всё работает нормально, тормозов нет (я отдал MySQL 300Mb оперативки). На размере таблиц 4Gb я столкнулся с косяком - по дефолту таблицы создаются с именно таким максимальным размером (У меня MyISAM, а не InnoDB), что легко исправляется потом - чё-то там альтер табле... Короче, надо смотреть в документации MySQL.
Пожалуй, всё...


размещено: 2006-02-27,
последнее обновление: 2007-07-20,
автор: lissyara

  Этот информационный блок появился по той простой причине, что многие считают нормальным, брать чужую информацию не уведомляя автора (что не так страшно), и не оставляя линк на оригинал и автора — что более существенно. Я не против распространения информации — только за. Только условие простое — извольте подписывать автора, и оставлять линк на оригинальную страницу в виде прямой, активной, нескриптовой, незакрытой от индексирования, и не запрещенной для следования роботов ссылки.
  Если соизволите поставить автора в известность — то вообще почёт вам и уважение.

© lissyara 2006-10-24 08:47 MSK