[FUG-BR] qmail-ldap e badrcptto

Rodrigo Graeff delphusbsd em gmail.com
Quinta Julho 2 16:03:27 BRT 2009 

Excelente solução pro firewall cara, porém mais um detalhe. Dependendo
do patch de smtp_auth, há um problema na sintaxe para carregar o
qmail-smtpd nos arquivos de run.. O normal é usar algo do tipo:

exec /usr/local/bin/softlimit -m 12exec /usr/local/bin/softlimit -m
12000000 \
    /usr/local/bin/tcpserver -v -R -l "$LOCAL" -x /etc/tcp.smtp.cdb -c
"$MAXSMTPD" \
        -u "$QMAILDUID" -g "$NOFILESGID" 0
125 /var/qmail/bin/qmail-smtpd othos.com.br \
	/usr/local/vpopmail/bin/vchkpw /usr/bin/true 2>&1


Porém no meu caso, eu preciso fornecer o FQDN logo após o qmail-smtpd
ficando mais ou menos assim:

125 /var/qmail/bin/qmail-smtpd dominio.com.br \
/usr/local/vpopmail/bin/vchkpw /usr/bin/true 2>&1

Caso contrário, ele se torna openrelay...

Ve se da a liga de ser algo assim por ai.

[ ]s

On Thu, 2009-07-02 at 15:51 -0300, Fernando Buzon Macedo wrote:
> Obrigado pela atenção.
> No meu firewall eu faço anti-spoof para o endereço de loopback da  
> seguinte forma:
> 
> ${fwcmd} add 2 allow all from any to any via lo0
> ${fwcmd} add 3 deny all from 127.0.0.0/8 to any
> 
> também faço anti-spoof para as minhas redes internas...
> 
> 
> Eu fiz uma regra de log no firewall pra ver quem estava chegando na  
> porta 25.
> E quando faço o test de open relay (www.antispam-ufrj.pads.ufrj.br)
> 
> chega com o ip deles mesmo, no caso esse abaixo:
> Jul  2 15:44:59 qmail kernel: ipfw: 1 Accept TCP 146.164.48.5:34719  
> 192.168.1.233:25 in via em0
> 
> e ele permite o relay!
> 
> No meu caso o FDP que estava usando meu servidor pra enviar spam  
> sempre vinha com toyotalotterydeparment em yahoo.com.hk
> eu coloquei ele no badmailfrom e com o script do Patrick (qmail- 
> adm.sh) eu apaguei da fila esses emails. até ai tudo bem, só que o meu  
> servidor continua openrelay! rs
> 
> no meu servidor antigo que era com vpopmail, eu lembro perfeitamente  
> que esse teste nr 10 quem o "bloqueava" era o badrcptto.
> que agora não bloqueia mais...
> 
> E eu sempre recarregos os serviços quando modifico os arquivos de  
> control.
> 
> Mais uma vez obrigado pela atenção!
> Fernando.
> 
> 
> Em 02/07/2009, às 15:38, Rodrigo Graeff escreveu:
> 
> > Estar openrelay não tem absolutamente nada a ver com o fato do qregex
> > não estar funcionando. Se tu estas liberando 127.0.0.1 para ter  
> > qualquer
> > relay, é melhor bloquear endereços 127.0.0.0/8 na interface de rede
> > externa, bem como 192.168.1.0/24..
> >
> > Quanto ao qregex não funcionar, chegaste a testar outro arquivo ?
> > badmailfrom ? badhelo ?? Sei que parece estúpido, porém é preciso um
> > kill -HUP no qmail-smtpd para que ele releia os arquivos
> > do /var/qmail/control novamente.
> >
> > Abraço
> >
> > On Thu, 2009-07-02 at 15:29 -0300, Fernando Buzon Macedo wrote:
> >> O fato é o seguinte, o servidor está funcionando, só que estou
> >> openrelay!
> >>
> >> O problema é o badrcptto que não está funcionando!
> >>
> >> minhas configurações estão assim:
> >>  tcp:
> >> 127.0.0.1:allow,RELAYCLIENT=""
> >> 192.168.1.234:allow,
> >> RELAYCLIENT=""
> >> 192.168.:allow,RELAYCLIENT="",REQUIREAUTH=""
> >> :allow
> >>
> >> para rede externa não tem o RELAYCLIENT="", era para o badrcptto
> >> funcionar.
> >> Relay test 10
> >>>>> RSET
> >> <<< 250 flushed
> >>>>> MAIL FROM: <spamtest@[189.108.123.12]>
> >> <<< 250 ok
> >>>>> RCPT TO: <"relaytest%antispam-ufrj.pads.ufrj.br">
> >> <<< 250 ok
> >>
> >>>>> QUIT
> >> <<< 221 qmail.bebedouro.sp.gov.br Goodbye.
> >>
> >> E é bem aqui que o badrcptto deveria entrar em ação, *%*
> >> Mas é como se eu não tivesse o badrcptto.
> >>
> >> o /var/qmail/control/badrcptto está assim:
> >> *%*
> >> *!*
> >> *@*@*
> >>
> >>
> >> Ja estou ficando louco! rs
> >> Da uma luz ai vai...
> >>
> >> Desde ja te agradeço.
> >> Fernando
> >> Em 01/07/2009, às 17:13, Fernando Buzon Macedo escreveu:
> >>
> >>> Pessoal, será que não da pra aplicar os dois patch's no qmail  
> >>> (ldap e
> >>> badrcptto)?
> >>> Instalei o qmail-ldap portado pelo garga, mas ele não reconhece o
> >>> badrcptto.
> >>>
> >>> Tentei aplicar o patch manualmente mas um atrapalha o outro, se  
> >>> aplico
> >>> o patch do ldap da problema ao aplicar o badrcptto e vice-versa.
> >>>
> >>> Será que estou comendo bronha?
> >>>
> >>> Grande abraço a todos.
> >>> Fernando.
> >>> -------------------------
> >>> Histórico: http://www.fug.com.br/historico/html/freebsd/
> >>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >>>
> >>
> >> -------------------------
> >> Histórico: http://www.fug.com.br/historico/html/freebsd/
> >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
> 
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Mais detalhes sobre a lista de discussão freebsd