Shader, a.k.a @Hesed
Администратор, программист
Information
- Rating
- Does not participate
- Location
- Даугавпилс, Латвия, Латвия
- Registered
- Activity
Specialization
System Software Engineer, DevOps
Lead
Software development
Database
PHP
Python
DevOps
System administration
Linux
Network technologies
Designing application architecture
Позор на самом деле, потому что в последний инцидент со спамом через почтовик была вовлечена авторизованная учётка (у пользователя test был гениальный пароль). Радость эта шла извне сети и поэтому не попадала под внутренний антиспам на SNORT'е. После такого забыть поставить проверку — просто непростительно. Спасибо за напоминание :)
Не совсем — воробьёв очень уж много :). Поэтому в системе задействован snort, на который миррорится smtp трафик и который чутко его слушает. В случае превышения допустимого значения (найденного в своё время эмпирическим путём), по SNMP засылает команду на коммутатор или на модем (не к ночи будь помянут), выставляя на порту соответствующий CoS. Блокировка smtp трафика происходит на маршрутизаторах по соответствующему ip access-list.
На практике получается, что боты не умеют не жадничать и моментально попадают в блокировку. False positive срабатывания крайне редки и укладываются в статистическую погрешность :). Разумеется, есть политики исключений для определённых категорий клиентов, которым действительно нужен большой поток исходящей почты (например, охранка + sms) — они проверяются по-другому. В целом, abuse ящик очень чутко реагирует на любой срач в сети. Последняя жалоба на спам была забавной — спам шёл с нормально авторизующегося аккаунта — у пользователя test был гениальный пароль, его только идиот бы не подобрал. В остальном спам-боты не проходят, а вот жалобы на брутфорс из сети последнее время зачастили, ну не читать же HTTP запросы теперь…
2. Если классы не пересекаются, то проблемы быть не должно, но да, можно исключить вообще. Пытаться перенести что-то из старой конфигурации было довольно дурной идеей…
По Вашему предыдущему комментарию:
virtual_mailbox_base
указан в секции «virtual» только чтобы логически разделить секции настроек по группам. Выглядит «немного» некорректно, там из «дружбы» толькоvirtual_transport
и есть. Подумаю над изменением формулировок. Спасибо за конструктивную критику.График сделан системой OpenNMS. Данные собираются по SNMP. На почтовом сервере в
snmpd.conf
указываются extend'ыА сами файлы в
/var/tmp/
пишутся черезsyslog-ng
, который пишет их на основании логов. Статья по этой системе у меня пока лежит в виде опорных планов и кусков кода. Соберу камни и критику по этому туториалу, извлеку урок и возьмусь с новымисиняксилами.А для обучалки хорошо подходит git+gitlab или redmine, позволяя отслеживать и наглядно отображать изменения конфигураций в привычном интерфейсе.
Поэтому я поставил цель показать последовательность настройки основных систем почтового сервера с нуля в рамках единой статьи, ориентируясь на начинающих.
Fail2ban у меня крутится на многих серверах, защищая даже от любопытных глаз, которые ищут всякие phpmyadmin, пытаются залогиниться в OTRS систему и т.п. Ну не люблю я грязные error_log'и =). Кастомные правила для него пишутся очень легко и инструмент для тестирования весьма удобен (fail2ban-regex).
Поднять сервер, систему и бэкап куда проще, чем заставить эту конструкцию работать. Разобравшись с таким внедрением, освоить какую-то новую систему и восполнить недостающие технические навыки должно быть раз плюнуть.
Date: Mon, 20 Aug 2012 15:52:32 GMT
Connection: Close
Не X-header, конечно, но ведь заголовок же. Когда-то этот сервер стоял и на хабре, сейчас нашёл только один живой сайт на нём.