Nowe posty

Autor Wątek: Bezpieczenstwo  (Przeczytany 3952 razy)

reed

  • Gość
Bezpieczenstwo
« dnia: 2006-04-21, 14:16:36 »
Otóż udało mi się ustalic że serwer przyjmuje pocztę z adresu lokalnego i z adresu zewnetrzengo. Moge przesylac poczte wewnatrz. Ale nie moge nic wyslac na zewnatrz.
Zaznacze jeszcze raz ze mam ROUTER przed serwerem na ktorym jest NAT port tcp/25 jest przepuszczany wiec nie wiem czemu postfix wywala takie bledy :

Apr 20 15:57:46 lispol postfix/smtp[641]: connect to onet.pl[213.180.130.200]: Connection timed out (port 25)
Apr 20 15:57:46 lispol postfix/smtp[641]: D6D1CF8071: to=, relay=none, delay=105399, status=deferred (connect to onet.pl[213.180.130.200]: Connection timed out)
Apr 20 16:50:45 lispol postfix/smtpd[776]: warning: dict_nis_init: NIS domain name not set - NIS lookups disabled

Ktoś ma jakiś pomysł co z tym zrobić ?

Plik main.cf wygląda tak :


queue_directory = /var/spool/postfix
command_directory = /var/lib/postfix/admin
daemon_directory = /var/lib/postfix/daemons
mail_owner = postfix
myhostname = poczta.eth1.pl
disable_dns_lookups = yes
myorigin = $myhostname
inet_interfaces = all
proxy_interfaces = 10.0.0.138
mydestination = $myhostname, localhost.$mydomain, localhost
unknown_local_recipient_reject_code = 550
# mynetworks = 10.0.0.0/24, 127.0.0.0/8
relay_domains = $mydestination
# alias_maps = hash:/etc/aliases
# alias_database = hash:/etc/aliases
# home_mailbox = Mailbox
mail_name = Sendmail
mail_version = 8.12.10
smtpd_banner = $myhostname ESMTP $mail_name ($mail_version)
debug_peer_level = 2
debugger_command =
         PATH=/bin:/usr/bin:/usr/local/bin:/usr/X11R6/bin
         xxgdb $daemon_directory/$process_name $process_id & sleep 5
sendmail_path = /usr/sbin/sendmail
newaliases_path = /usr/bin/newaliases
mailq_path = /usr/bin/mailq
setgid_group = postdrop
html_directory = /etc/postfix/html_files
manpage_directory = /usr/local/man
sample_directory = /etc/postfix
readme_directory = /etc/postfix/readme_files
# ======== OPCJE DODANE, OPCJE DLA SASL ORAZ TLS ========
# sprawdzamy domenę wysyłajšcego list na nasz adres,
# jeli nie posiada wpisu A lub MX to odrzucamy jego list;
# jeli wpis z jego nazwš usera, user@domena lub domena
# znajduje się w pliku /etc/postfix/spam/access
# to odrzucamy/kasujemy po odebraniu ten list (patrz dalej)
## smtpd_sender_restrictions = reject_unknown_sender_domain, hash:/etc/postfix/spam/access
# chcemy sprawdzać IP wysyłajšcego przed możliwociš
# relayowania listu, jeli jego IP znajduje się w bazie
# relays.ordb.org (lub innej tu podanej) to odrzucamy list (REJECT), jeli
# IP jest ok to prosimy o hasło użytkownika, jeli ok to wysyłamy list,
# w przeciwnym wypadku odrzucamy go, chyba, że jest zaadresowany na adres relay_domains
## smtpd_recipient_restrictions = reject_rbl_client relays.ordb.org,permit_sasl_authenticated,reject_unauth_destination hash:/etc/postfix/domain.access
# -- SASL -----------------------------------
# włšczamy obsługę SASL
## smtpd_sasl_auth_enable = yes
# czy można wysłać list bez zgody SASL? tak, bo może to być list z localhost..
## broken_sasl_auth_clients = yes
# nie chcemy anonymous..
## smtpd_sasl_security_options = noanonymous
# TLS WZOROWANY NA NAJNOWSZYM OPISIE WBUDOWANEGO MECHANIZMU w postfixie
## smtp_tls_CAfile = /etc/postfix/ssl/cacert.pem
## smtp_tls_cert_file = /etc/postfix/ssl/host-cert.pem
## smtp_tls_key_file = /etc/postfix/ssl/host-key.pem
## smtp_tls_session_cache_database = btree:/var/run/smtp_tls_session_cache
## smtp_use_tls = yes
## smtpd_tls_CAfile = /etc/postfix/ssl/cacert.pem
## smtpd_tls_cert_file = /etc/postfix/ssl/host-cert.pem
## smtpd_tls_key_file = /etc/postfix/ssl/host-key.pem
## smtpd_tls_received_header = yes
## smtpd_tls_session_cache_database = btree:/var/run/smtpd_tls_session_cache
## smtpd_use_tls = yes
## tls_random_source = dev:/dev/urandom
## smtpd_tls_loglevel = 1

## oznaczają że tak ma w sumie chodzić serwer ale ponieważ nie działał zbyt dobrze to część wywaliłem i chcę żeby chodził na ustawieniach domyślnych żeby zobaczyć czy wogóle ruszy

Dzieki za pomoc

lamaglama

  • Gość
Bezpieczenstwo
« Odpowiedź #1 dnia: 2006-04-21, 15:33:42 »
2006-04-21 14:16:36 reed napisał:

> Otóż udało mi się ustalic że serwer przyjmuje pocztę z adresu lokalnego i z adresu zewnetrzengo.
 > Moge przesylac poczte wewnatrz. Ale nie moge nic wyslac na zewnatrz.
 > Zaznacze jeszcze raz ze mam ROUTER przed serwerem na ktorym jest NAT port tcp/25 jest
 > przepuszczany wiec nie wiem czemu postfix wywala takie bledy :
 >

ok przepuściłeś port 25 z internetu do siebie , a nie zablokowałeś czasem wyjścia od siebie na port 25 do internetu ?

reed

  • Gość
Bezpieczenstwo
« Odpowiedź #2 dnia: 2006-04-21, 15:40:08 »
> ok przepuściłeś port 25 z internetu do siebie , a nie zablokowałeś czasem wyjścia od siebie na
 > port 25 do internetu ?

Nie podejrzewam ponieważ :

1) Na Routerze jest cały czas ruch puszczony w jednym kierunku bez żadnych blokad - BTW nawet nie wiem jak na tym speedtouch-u zablokować jakiś port wychodzący ;) ale to inna bajka

2) Jak sie telnetuje z serwera na onet to mi odpowiada

# telnet poczta.onet.pl 25
Trying 213.180.130.206...
Connected to poczta.onet.pl.
Escape character is \\'^]\\'.
220 ESMTP-server (k9) our local time is now Fri, 21 Apr 2006 15:39:32 +0200

A więc to nie port :/

lamaglama

  • Gość
Bezpieczenstwo
« Odpowiedź #3 dnia: 2006-04-21, 15:48:10 »
2006-04-21 14:16:36 reed napisał:

poza tym to powinno się łączyć na port 25 z nie onet.pl a poczta.onet.pl bo to on obsługuje poctę tej domeny

> host onet.pl
onet.pl has address 213.180.130.200
onet.pl mail is handled by 1 poczta.onet.pl.

i coś z tym NIS\\'em masz nie tak ...

> Otóż udało mi się ustalic że serwer przyjmuje pocztę z adresu lokalnego i z adresu zewnetrzengo.
 > Moge przesylac poczte wewnatrz. Ale nie moge nic wyslac na zewnatrz.
 > Zaznacze jeszcze raz ze mam ROUTER przed serwerem na ktorym jest NAT port tcp/25 jest
 > przepuszczany wiec nie wiem czemu postfix wywala takie bledy :
 >
 > Apr 20 15:57:46 lispol postfix/smtp[641]: connect to onet.pl[213.180.130.200]: Connection timed
 > out (port 25)
 > Apr 20 15:57:46 lispol postfix/smtp[641]: D6D1CF8071: to=,
 > relay=none, delay=105399, status=deferred (connect to onet.pl[213.180.130.200]: Connection
 > timed out)
 > Apr 20 16:50:45 lispol postfix/smtpd[776]: warning: dict_nis_init: NIS domain name not set -
 > NIS lookups disabled
 >
 > Ktoś ma jakiś pomysł co z tym zrobić ?
 >
 > Plik main.cf wygląda tak :
 >
 >
 > queue_directory = /var/spool/postfix
 > command_directory = /var/lib/postfix/admin
 > daemon_directory = /var/lib/postfix/daemons
 > mail_owner = postfix
 > myhostname = poczta.eth1.pl
 > disable_dns_lookups = yes
 > myorigin = $myhostname
 > inet_interfaces = all
 > proxy_interfaces = 10.0.0.138
 > mydestination = $myhostname, localhost.$mydomain, localhost
 > unknown_local_recipient_reject_code = 550
 > # mynetworks = 10.0.0.0/24, 127.0.0.0/8
 > relay_domains = $mydestination
 > # alias_maps = hash:/etc/aliases
 > # alias_database = hash:/etc/aliases
 > # home_mailbox = Mailbox
 > mail_name = Sendmail
 > mail_version = 8.12.10
 > smtpd_banner = $myhostname ESMTP $mail_name ($mail_version)
 > debug_peer_level = 2
 > debugger_command =
 >          PATH=/bin:/usr/bin:/usr/local/bin:/usr/X11R6/bin
 >          xxgdb $daemon_directory/$process_name $process_id & sleep 5
 > sendmail_path = /usr/sbin/sendmail
 > newaliases_path = /usr/bin/newaliases
 > mailq_path = /usr/bin/mailq
 > setgid_group = postdrop
 > html_directory = /etc/postfix/html_files
 > manpage_directory = /usr/local/man
 > sample_directory = /etc/postfix
 > readme_directory = /etc/postfix/readme_files
 > # ======== OPCJE DODANE, OPCJE DLA SASL ORAZ TLS ========
 > # sprawdzamy domenę wysyłajšcego list na nasz adres,
 > # jeli nie posiada wpisu A lub MX to odrzucamy jego list;
 > # jeli wpis z jego nazwš usera, user@domena lub domena
 > # znajduje się w pliku /etc/postfix/spam/access
 > # to odrzucamy/kasujemy po odebraniu ten list (patrz dalej)
 > ## smtpd_sender_restrictions = reject_unknown_sender_domain, hash:/etc/postfix/spam/access
 > # chcemy sprawdzać IP wysyłajšcego przed możliwociš
 > # relayowania listu, jeli jego IP znajduje się w bazie
 > # relays.ordb.org (lub innej tu podanej) to odrzucamy list (REJECT), jeli
 > # IP jest ok to prosimy o hasło użytkownika, jeli ok to wysyłamy list,
 > # w przeciwnym wypadku odrzucamy go, chyba, że jest zaadresowany na adres relay_domains
 > ## smtpd_recipient_restrictions = reject_rbl_client
 > relays.ordb.org,permit_sasl_authenticated,reject_unauth_destination
 > hash:/etc/postfix/domain.access
 > # -- SASL -----------------------------------
 > # włšczamy obsługę SASL
 > ## smtpd_sasl_auth_enable = yes
 > # czy można wysłać list bez zgody SASL? tak, bo może to być list z localhost..
 > ## broken_sasl_auth_clients = yes
 > # nie chcemy anonymous..
 > ## smtpd_sasl_security_options = noanonymous
 > # TLS WZOROWANY NA NAJNOWSZYM OPISIE WBUDOWANEGO MECHANIZMU w postfixie
 > ## smtp_tls_CAfile = /etc/postfix/ssl/cacert.pem
 > ## smtp_tls_cert_file = /etc/postfix/ssl/host-cert.pem
 > ## smtp_tls_key_file = /etc/postfix/ssl/host-key.pem
 > ## smtp_tls_session_cache_database = btree:/var/run/smtp_tls_session_cache
 > ## smtp_use_tls = yes
 > ## smtpd_tls_CAfile = /etc/postfix/ssl/cacert.pem
 > ## smtpd_tls_cert_file = /etc/postfix/ssl/host-cert.pem
 > ## smtpd_tls_key_file = /etc/postfix/ssl/host-key.pem
 > ## smtpd_tls_received_header = yes
 > ## smtpd_tls_session_cache_database = btree:/var/run/smtpd_tls_session_cache
 > ## smtpd_use_tls = yes
 > ## tls_random_source = dev:/dev/urandom
 > ## smtpd_tls_loglevel = 1
 >
 > ## oznaczają że tak ma w sumie chodzić serwer ale ponieważ nie działał zbyt dobrze to część
 > wywaliłem i chcę żeby chodził na ustawieniach domyślnych żeby zobaczyć czy wogóle ruszy
 >
 > Dzieki za pomoc

lamaglama

  • Gość
Bezpieczenstwo
« Odpowiedź #4 dnia: 2006-04-21, 15:51:00 »
ale twój postfix atakuje port 25 hosta onet.pl a nie poczta.onet.pl ;]
coś z dns , resolverem itp może , bo pewnie nie masz nic  z tym NISem naćkane w main.cf ?


 > 2) Jak sie telnetuje z serwera na onet to mi odpowiada
 >
 > # telnet poczta.onet.pl 25
 > Trying 213.180.130.206...
 > Connected to poczta.onet.pl.
 > Escape character is \\'^]\\'.
 > 220 ESMTP-server (k9) our local time is now Fri, 21 Apr 2006 15:39:32 +0200
 >
 > A więc to nie port :/

lamaglama

  • Gość
Bezpieczenstwo
« Odpowiedź #5 dnia: 2006-04-21, 16:46:11 »
http://archives.neohapsis.com/archives/postfix/2002-03/1487.html

spróbuj wywalić/wykomentować tą linię, może to to (nie mam gdzie tego teraz sprawdzić ;] )  :

disable_dns_lookups = yes

albo zamień na

disable_dns_lookups = no

:]

lamaglama

  • Gość
Bezpieczenstwo
« Odpowiedź #6 dnia: 2006-04-21, 16:49:00 »
o i tu jeszcze raz to samo :)

http://www.seaglass.com/postfix/faq.html#dnsigmx


2006-04-21 16:46:11 lamaglama napisał:

> http://archives.neohapsis.com/archives/postfix/2002-03/1487.html
 >
 > spróbuj wywalić/wykomentować tą linię, może to to (nie mam gdzie tego teraz sprawdzić ;] )  :
 >
 > disable_dns_lookups = yes
 >
 > albo zamień na
 >
 > disable_dns_lookups = no
 >
 > :]
 >

reed

  • Gość
Bezpieczenstwo
« Odpowiedź #7 dnia: 2006-04-22, 19:08:32 »
niestety to nie działa :/

nadal nie moge wyslac poczty bo odpytuje mi hosta A a nie MX hosta :/

Czarownik

  • Gość
Bezpieczenstwo
« Odpowiedź #8 dnia: 2006-04-21, 01:38:24 »
Witam. Jestem poczatkujacy. Powiedzmy ze oferuje konta uzytkownikow ktore maja shell, mail, ftp. I chce zrobic teraz tak, zeby user nie mogl wyjsc ze swojego katalogu wyzej. Probowalem uzyc chmod 711 /home ale to powoduje jedynie zakas wylistowania kont innych uzytkownikow. wie ktos jak takie cos zrobic? pozdrawiam.

chmooreck

  • Gość
Bezpieczenstwo
« Odpowiedź #9 dnia: 2006-04-21, 09:24:11 »
ten temat byl juz poruszany na forum... z dosc burzliwa dyskusja z tego, co pamietam ;-)