|
| Postfix og rbl Fra : Martin Kiefer |
Dato : 22-04-02 17:43 |
|
Hejsa
Nogen der har fået maps_rbl_domains = relays.ordb.org og
smtpd_recipient_restrictions = reject_maps_rbl til at virke på en RH7.2?
min postfix går fuldstændig i stå når jeg indsætter disse to linier i min
main.cf
Btw min version af postfix er 1.1.4-2
--
Mvh
Martin Kiefer
www.kiefer.dk
| |
Jacob Bunk Nielsen (22-04-2002)
| Kommentar Fra : Jacob Bunk Nielsen |
Dato : 22-04-02 18:08 |
|
"Martin Kiefer" <martin@kiefer.dk> writes:
> Nogen der har fået maps_rbl_domains = relays.ordb.org og
> smtpd_recipient_restrictions = reject_maps_rbl til at virke på en RH7.2?
Ja.
> min postfix går fuldstændig i stå når jeg indsætter disse to linier i min
> main.cf
Hvad siger den i din /var/log/maillog?
> Btw min version af postfix er 1.1.4-2
Jeg bruger 1.1.7 nu, men har brugt flere tidligere versioner over de
sidste 1½-2 år eller noget i den retning.
--
Jacob - www.bunk.cc
Eat drink and be merry, for tomorrow we diet.
| |
Martin Kiefer (22-04-2002)
| Kommentar Fra : Martin Kiefer |
Dato : 22-04-02 19:17 |
|
"Jacob Bunk Nielsen" <spam@bunk.cc> wrote in message
news:spamdrop+m3znzvy83t.fsf@paven.bunk.cc...
>
> Ja.
>
Gost at høre
>
> Hvad siger den i din /var/log/maillog?
>
Den siger f.eks.: Apr 22 16:07:13 net postfix/smtpd[9377]: fatal: parameter
"smtpd_recipient_restrictions": specify at least one working instance of:
check_relay_domains, reject_unauth_destination or reject
Det ser jo egentlig ud til at den ikke vil acceptere en:
smtpd_recipient_restrictions = reject_maps_rbl
Men hvorfor ikke?
> Jeg bruger 1.1.7 nu, men har brugt flere tidligere versioner over de
> sidste 1½-2 år eller noget i den retning.
>
Oki, så burde det jo kunne komme til at virke.
--
Mvh
Martin Kiefer
www.kiefer.dk
| |
Henrik Larsson (24-04-2002)
| Kommentar Fra : Henrik Larsson |
Dato : 24-04-02 11:54 |
|
> Den siger f.eks.: Apr 22 16:07:13 net postfix/smtpd[9377]: fatal:
parameter
> "smtpd_recipient_restrictions": specify at least one working instance of:
> check_relay_domains, reject_unauth_destination or reject
>
> Det ser jo egentlig ud til at den ikke vil acceptere en:
> smtpd_recipient_restrictions = reject_maps_rbl
>
> Men hvorfor ikke?
I loggen skriver den at du skal benytte check_relay_domains,
reject_unauth_destination eller reject.
Hvis du kun benytter den linie som du skriver, bliver du jo et åbent relay
for alle de servere der ikke står i rbl databasen. Jeg kan ikke tro at det
er det du ønsker.
En gyldig konfiguration kunne jo være:
smtpd_recipient_restrictions = permit_mynetworks, reject_maps_rbl,
check_relay_domains
Dette betyder:
- Tillad trafik fra dine netværk ($mynetworks)
- Afvis servere der er listet i rbl
- Tillad de domæner som du har sat til at relaye
Mvh Henrik
| |
Jacob Bunk Nielsen (22-04-2002)
| Kommentar Fra : Jacob Bunk Nielsen |
Dato : 22-04-02 19:44 |
|
"Martin Kiefer" <martin@kiefer.dk> writes:
> Den siger f.eks.: Apr 22 16:07:13 net postfix/smtpd[9377]: fatal: parameter
> "smtpd_recipient_restrictions": specify at least one working instance of:
> check_relay_domains, reject_unauth_destination or reject
Jeg bruger:
maps_rbl_domains = relays.ordb.org, bl.spamcop.net
smtpd_client_restrictions = reject_maps_rbl
Du bruge smtpd_recipient_restrictions, hvor jeg bruger
smtpd_client_restrictions.
--
Jacob - www.bunk.cc
Look! A ladder! Maybe it leads to heaven, or a sandwich!
| |
Martin Kiefer (22-04-2002)
| Kommentar Fra : Martin Kiefer |
Dato : 22-04-02 21:22 |
|
"Jacob Bunk Nielsen" <spam@bunk.cc> wrote in message
news:spamdrop+m3u1q3y3o3.fsf@paven.bunk.cc...
> maps_rbl_domains = relays.ordb.org, bl.spamcop.net
> smtpd_client_restrictions = reject_maps_rbl
>
> Du bruge smtpd_recipient_restrictions, hvor jeg bruger
> smtpd_client_restrictions.
>
Nu hænger postfix da i det det mindste ikke længere, kender du et sted hvor
man kan teste om det overhovedet virker. Altså om postfix så reelt også
kører mails igennem rbl?
--
Mvh
Martin Kiefer
www.kiefer.dk
| |
Allan Olesen (22-04-2002)
| Kommentar Fra : Allan Olesen |
Dato : 22-04-02 21:35 |
|
"Martin Kiefer" <martin@kiefer.dk> wrote:
>Nu hænger postfix da i det det mindste ikke længere, kender du et sted hvor
>man kan teste om det overhovedet virker. Altså om postfix så reelt også
>kører mails igennem rbl?
www.ordb.org
--
Allan
| |
Allan Joergensen (22-04-2002)
| Kommentar Fra : Allan Joergensen |
Dato : 22-04-02 21:54 |
|
Martin Kiefer <martin@kiefer.dk> wrote:
> Nu hænger postfix da i det det mindste ikke længere, kender du et sted hvor
> man kan teste om det overhovedet virker. Altså om postfix så reelt også
> kører mails igennem rbl?
Eksempelvis http://www.ordb.org/faq/#test_blocking
--
Allan Joergensen aka [DW] on eu.openprojects.net
"I don't get it..." "Oh, now THERE'S a surprise!"
| |
Jacob Bunk Nielsen (22-04-2002)
| Kommentar Fra : Jacob Bunk Nielsen |
Dato : 22-04-02 21:49 |
|
"Martin Kiefer" <martin@kiefer.dk> writes:
> Nu hænger postfix da i det det mindste ikke længere, kender du et sted hvor
> man kan teste om det overhovedet virker. Altså om postfix så reelt også
> kører mails igennem rbl?
Nej, faktisk ikke. Men jeg afviser ~100 mails om måneden på min, så
min virker fint
Kender du nogen i asien? Så kan du teste ved fx at putte fx
cn.cdb.flof.dk i listen, få den til at afvise alt hvad der kommer fra
Kina (og tilsvarende for andre lande i Asien). Desværre er det endnu
kun adresser uddelt af APNIC der er kommet på listen.
Jeg skal lige lære Perl, så skal jeg skrive et eller andet til at
parse < http://www.ripe.net/ripencc/mem-services/general/allocs4.html>
og lave en zonefil ud af det
Er der i øvrigt nogen der ved om der findes en tilsvarende liste for
adresser uddelt af ARIN?
--
Jacob - www.bunk.cc
Don't mind him; politicians always sound like that.
| |
Jacob Bunk Nielsen (22-04-2002)
| Kommentar Fra : Jacob Bunk Nielsen |
Dato : 22-04-02 21:51 |
|
Allan Olesen <aolesen@post3.tele.dk> writes:
>>Nu hænger postfix da i det det mindste ikke længere, kender du et sted hvor
>>man kan teste om det overhovedet virker. Altså om postfix så reelt også
>>kører mails igennem rbl?
>
> www.ordb.org
Hvor på siden kan man få den til at sende en mail fra et åbent relay,
så man kan se at den filtrerer en mail fra?
--
Jacob - www.bunk.cc
People who go to conferences are the ones who shouldn't.
| |
Peter Brodersen (22-04-2002)
| Kommentar Fra : Peter Brodersen |
Dato : 22-04-02 21:55 |
|
On Mon, 22 Apr 2002 22:50:43 +0200, Jacob Bunk Nielsen <spam@bunk.cc>
wrote:
>Hvor på siden kan man få den til at sende en mail fra et åbent relay,
>så man kan se at den filtrerer en mail fra?
http://www.ordb.org/faq/#test_blocking
--
- Peter Brodersen
| |
Martin Kiefer (22-04-2002)
| Kommentar Fra : Martin Kiefer |
Dato : 22-04-02 22:08 |
| | |
Allan Olesen (23-04-2002)
| Kommentar Fra : Allan Olesen |
Dato : 23-04-02 16:47 |
|
Jacob Bunk Nielsen <spam@bunk.cc> wrote:
>Hvor på siden kan man få den til at sende en mail fra et åbent relay,
>så man kan se at den filtrerer en mail fra?
Fornemmer jeg et retorisk spørgsmål?
--
Allan
| |
Hroi Sigurdsson (22-04-2002)
| Kommentar Fra : Hroi Sigurdsson |
Dato : 22-04-02 21:59 |
|
Jacob Bunk Nielsen wrote:
> Nej, faktisk ikke. Men jeg afviser ~100 mails om måneden på min, så
> min virker fint
Og du nærlæser loggen for at sikre dig at der ikke er falske positiver?
> Kender du nogen i asien? Så kan du teste ved fx at putte fx
> cn.cdb.flof.dk i listen, få den til at afvise alt hvad der kommer fra
> Kina (og tilsvarende for andre lande i Asien). Desværre er det endnu
> kun adresser uddelt af APNIC der er kommet på listen.
Filtrer APNIC fra:
GET http://www.iana.org/assignments/ipv4-address-space | grep APNIC |
awk '{print $1}'
> Jeg skal lige lære Perl, så skal jeg skrive et eller andet til at
> parse < http://www.ripe.net/ripencc/mem-services/general/allocs4.html>
> og lave en zonefil ud af det
Hvad vil du filtrere fra på den liste?
> Er der i øvrigt nogen der ved om der findes en tilsvarende liste for
> adresser uddelt af ARIN?
Min erfaring siger mig at mange adresser, som burde være registreret i
ARIN og RADB whois, ikke er det (hvis vi snakker route objekter).
--
Hroi Sigurdsson hroi@asdf.dk
Danske nyhedsfeeds i RSS-format: http://asdf.dk/rss/da/
| |
Klaus Alexander Seis~ (22-04-2002)
| Kommentar Fra : Klaus Alexander Seis~ |
Dato : 22-04-02 22:14 |
|
Hroi Sigurdsson skrev:
>> Kender du nogen i asien? Så kan du teste ved fx at putte fx
>> cn.cdb.flof.dk i listen, få den til at afvise alt hvad der
>> kommer fra Kina (og tilsvarende for andre lande i Asien).
>> Desværre er det endnu kun adresser uddelt af APNIC der er
>> kommet på listen.
>
> Filtrer APNIC fra:
>
> GET http://www.iana.org/assignments/ipv4-address-space | grep APNIC
> | awk '{print $1}'
Jo, men det blokerer rub og stub fra APNIC-blokkene. Med cdb.flof.dk
har man muligheden for kun at blokere enkelte lande ved at foranstille
iso-3166-landekoden foran cdb.flof.dk, fx Kina: cn.cdb.flof.dk. Men
der er også lavet en bekvem pseudo-landekode, ap, som indeholder alle
adresserne i APNIC: ap.cdb.flof.dk.
> Min erfaring siger mig at mange adresser, som burde være registreret
> i ARIN og RADB whois, ikke er det (hvis vi snakker route objekter).
Og selv om IPv4-listen på ftp://ftp.apnic.net/pub/apnic/dbase/data/
bliver opdateret hver uge, er der også mange adresser som ikke er
registrerede hos APNIC, men burde være det.
// Klaus
--
><> vandag, môre, altyd saam
| |
Jacob Bunk Nielsen (22-04-2002)
| Kommentar Fra : Jacob Bunk Nielsen |
Dato : 22-04-02 22:17 |
|
Hroi Sigurdsson <hroi@asdf.dk> writes:
>> Nej, faktisk ikke. Men jeg afviser ~100 mails om måneden på min, så
>> min virker fint
>
> Og du nærlæser loggen for at sikre dig at der ikke er falske positiver?
Ja. Det er der sjældent. Jeg afviser dog også temmelig meget mail ved
at jeg filtrerer HTML-mails fra (vha. header_checks) - det ryger der
somme tider en forkert mail på, men folk er ved at lære at de ikke kan
sende HTML-ting til mig
>> Kender du nogen i asien? Så kan du teste ved fx at putte fx
>> cn.cdb.flof.dk i listen, få den til at afvise alt hvad der kommer fra
>> Kina (og tilsvarende for andre lande i Asien). Desværre er det endnu
>> kun adresser uddelt af APNIC der er kommet på listen.
>
> Filtrer APNIC fra:
>
> GET http://www.iana.org/assignments/ipv4-address-space | grep APNIC |
> awk '{print $1}'
Humlen er at man med "mit" (det er egentlig ikke mig der er bagmanden,
jeg kører bare den ene nameserver for zonen) filter kan filtrerer på
lande, og ikke kun på om en adresse er uddelt af APNIC, RIPE NCC eller
ARIN.
Således kan man filtrerer på fx cn.cdb.flof.dk (cdb for Country
DataBase) for at filterer Kina fra, tw.cdb.flof.dk for at filtrere
Taiwan fra osv.
Hele APNIC kan filtereres som ap.cdb.flof.dk.
>> Jeg skal lige lære Perl, så skal jeg skrive et eller andet til at
>> parse < http://www.ripe.net/ripencc/mem-services/general/allocs4.html>
>> og lave en zonefil ud af det
>
> Hvad vil du filtrere fra på den liste?
Jeg skal lave den om til en zonefil, så fx *.242.212.dk.cdb.flof.dk
(212.242.0.0/16 er uddelt til Cybercity i Danmark) har en A-record der
peger på 127.0.0.2 og en TXT-record der siger noget klogt om at
Danmark er filtreret.
> Min erfaring siger mig at mange adresser, som burde være registreret i
> ARIN og RADB whois, ikke er det (hvis vi snakker route objekter).
Har du noget indtryk af hvordan den liste hos fx RIPE er i forhold til
virkeligheden?
--
Jacob - www.bunk.cc
How untasteful can you get?
| |
Alex Holst (22-04-2002)
| Kommentar Fra : Alex Holst |
Dato : 22-04-02 22:45 |
|
Jacob Bunk Nielsen <spam@bunk.cc> wrote:
> Humlen er at man med "mit" (det er egentlig ikke mig der er bagmanden,
> jeg kører bare den ene nameserver for zonen) filter kan filtrerer på
> lande, og ikke kun på om en adresse er uddelt af APNIC, RIPE NCC eller
> ARIN.
[..]
Er dette dokumenteret nogle steder?
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/
| |
Hroi Sigurdsson (22-04-2002)
| Kommentar Fra : Hroi Sigurdsson |
Dato : 22-04-02 23:22 |
|
Jacob Bunk Nielsen wrote:
> Ja. Det er der sjældent. Jeg afviser dog også temmelig meget mail ved
> at jeg filtrerer HTML-mails fra (vha. header_checks) - det ryger der
> somme tider en forkert mail på, men folk er ved at lære at de ikke kan
> sende HTML-ting til mig
Du er priviligeret når du kan tillade dig at filtrere HTML fra :).
> Humlen er at man med "mit" (det er egentlig ikke mig der er bagmanden,
> jeg kører bare den ene nameserver for zonen) filter kan filtrerer på
> lande, og ikke kun på om en adresse er uddelt af APNIC, RIPE NCC eller
> ARIN.
Smart.
> > Hvad vil du filtrere fra på den liste?
>
> Jeg skal lave den om til en zonefil, så fx *.242.212.dk.cdb.flof.dk
> (212.242.0.0/16 er uddelt til Cybercity i Danmark) har en A-record der
> peger på 127.0.0.2 og en TXT-record der siger noget klogt om at
> Danmark er filtreret.
Kan du bruge http://asdf.dk/euroip/ til noget? Sig til og jeg skal sende
diverse perlscripts som parser RPSL'en og lægger det i database til dig.
> > Min erfaring siger mig at mange adresser, som burde være registreret i
> > ARIN og RADB whois, ikke er det (hvis vi snakker route objekter).
>
> Har du noget indtryk af hvordan den liste hos fx RIPE er i forhold til
> virkeligheden?
Mit indtryk er at der er bedre styr på registrering i RIPE end andre
steder. Jeg vil tro at prefix-filtrering udfra routeobjekter er mere
udbredt i Europa end andre steder (jeg er ny i inter-AS rutning, så tag
mig ikke på ordet).
--
Hroi Sigurdsson hroi@asdf.dk
Danske nyhedsfeeds i RSS-format: http://asdf.dk/rss/da/
| |
Jacob Bunk Nielsen (22-04-2002)
| Kommentar Fra : Jacob Bunk Nielsen |
Dato : 22-04-02 23:53 |
|
Alex Holst <a@area51.dk> writes:
> Jacob Bunk Nielsen <spam@bunk.cc> wrote:
>> Humlen er at man med "mit" (det er egentlig ikke mig der er bagmanden,
>> jeg kører bare den ene nameserver for zonen) filter kan filtrerer på
>> lande, og ikke kun på om en adresse er uddelt af APNIC, RIPE NCC eller
>> ARIN.
> [..]
>
> Er dette dokumenteret nogle steder?
Nej, ikke endnu. Jeg har lovet at gøre det, men endnu ikke haft
tid. Når der kommer noget, så kommer det på < http://cdb.flof.dk/>, jeg
har fået sat en virtuel host op, men så kom jeg ikke længere på grund
af mangel på tid.
Jeg skal se om jeg kan få tid til at lave noget i weekenden, om ikke
andet bare det mest basale.
--
Jacob - www.bunk.cc
One planet is all you get.
| |
Jacob Bunk Nielsen (23-04-2002)
| Kommentar Fra : Jacob Bunk Nielsen |
Dato : 23-04-02 00:12 |
|
Hroi Sigurdsson <hroi@asdf.dk> writes:
> Du er priviligeret når du kan tillade dig at filtrere HTML fra :).
Der røg nogle stykker til at starte med, men nu om dage er det
relativt få. Til at starte med måtte jeg hacke sourcen til Postfix for
at få den til at give en meningsfyldt fejlbesked. Nu om dage kan man
heldigvis klare det i en konfigurationsfil.
Til at starte med krævede det at man holdt lidt øje med logfilerne for
at se hvem der røg i filteret. Nu om dage har de fleste jeg mailer med
lært det, hvis de da overhovedet sendte HTML til at starte med.
> Kan du bruge http://asdf.dk/euroip/ til noget?
Ja, det ser sørme fint ud. Hvor tit bliver listerne opdateret?
Hvor meget bliver smidt væk på at du kun tager net der er større end
/20 med?
Umiddelbart er det ikke et kæmpe problem at have med i en zone, hvor
jeg forestiller mig at du ikke har dem med fordi det giver unødig
belastning af diverse routere at filtere en masse små net.
Måske du vil undvære en kopi af det script der laver ovenstående
lister? Så kan jeg måske selv tilpasse det til at tage alle net med,
uanset størrelse.
> Sig til og jeg skal sende diverse perlscripts som parser RPSL'en og
> lægger det i database til dig.
Det skal bare laves til en zonefil i BIND-format. Det er sikkert
ganske let, hvis man kan Perl. Hvis du har nogle scripts, som parser
filerne, så må du da gerne sende dem, så kan jeg altid selv se om jeg
kan gennemskue hvad de gør.
(Jeg er ikke selv Perl-haj.)
Umiddelbart er projektet indtil nu vist strandet på blot at være et
privat hyggeprojekt og mangel på tid. Det der findes nu er som sagt
slet ikke min fortjeneste.
--
Jacob - www.bunk.cc
Dead? No excuse for laying off work.
| |
Klaus Alexander Seis~ (23-04-2002)
| Kommentar Fra : Klaus Alexander Seis~ |
Dato : 23-04-02 06:34 |
|
Jacob Bunk Nielsen skrev:
>> Kan du bruge http://asdf.dk/euroip/ til noget?
>
> Ja, det ser sørme fint ud.
Der er osse blokke i <ftp://ftp.ripe.net/ripe/local-ir/allocations>,
som...
> Hvor tit bliver listerne opdateret?
....opdateres daglig.
// Klaus
--
><> vandag, môre, altyd saam
| |
Jacob Bunk Nielsen (23-04-2002)
| Kommentar Fra : Jacob Bunk Nielsen |
Dato : 23-04-02 11:21 |
|
Klaus Alexander Seistrup <jakabov119@magnetic-ink.dk> writes:
>>> Kan du bruge http://asdf.dk/euroip/ til noget?
>>
>> Ja, det ser sørme fint ud.
>
> Der er osse blokke i <ftp://ftp.ripe.net/ripe/local-ir/allocations>,
Det ser jo også godt ud.
Øv øv, hvorfor skal der også ligge alt det her eksamensræs her om et
par uger
Jeg tror desværre ikke rigtig på at jeg får gjort noget ved det før
efter jeg har overstået alle mine eksamener her til sommer.
--
Jacob - www.bunk.cc
Worth seeing? Yes, but not worth going to see.
| |
Klaus Alexander Seis~ (23-04-2002)
| Kommentar Fra : Klaus Alexander Seis~ |
Dato : 23-04-02 12:53 |
|
Jacob Bunk Nielsen skrev:
> Jeg tror desværre ikke rigtig på at jeg får gjort noget ved det
> før efter jeg har overstået alle mine eksamener her til sommer.
Nej, men det haster vel heller ikke mere end det jager.
// Klaus
--
><> vandag, môre, altyd saam
| |
Jacob Bunk Nielsen (23-04-2002)
| Kommentar Fra : Jacob Bunk Nielsen |
Dato : 23-04-02 20:53 |
|
Allan Olesen <aolesen@post3.tele.dk> writes:
>>Hvor på siden kan man få den til at sende en mail fra et åbent relay,
>>så man kan se at den filtrerer en mail fra?
>
> Fornemmer jeg et retorisk spørgsmål?
I så fald fornemmer du forkert.
Jeg havde ikke set det link Peter gav.
For at teste om man har sat sin MTA rigtig op skal man jo have den til
at afvise en mail fra en server, som er i den sorte gryde. Så var
spørgsmålet bare lige hvor man finder sådan en. Det svarer
< http://www.ordb.org/faq/#test_blocking> heldigvis på.
--
Jacob - www.bunk.cc
He who laughs last didn't get the joke.
| |
Allan Olesen (23-04-2002)
| Kommentar Fra : Allan Olesen |
Dato : 23-04-02 22:07 |
|
Jacob Bunk Nielsen <spam@bunk.cc> wrote:
>Så var
>spørgsmålet bare lige hvor man finder sådan en. Det svarer
>< http://www.ordb.org/faq/#test_blocking> heldigvis på.
Ja, det var jo det, jeg skrev.
--
Allan
| |
Jacob Bunk Nielsen (23-04-2002)
| Kommentar Fra : Jacob Bunk Nielsen |
Dato : 23-04-02 22:59 |
|
Allan Olesen <aolesen@post3.tele.dk> writes:
>>Så var
>>spørgsmålet bare lige hvor man finder sådan en. Det svarer
>>< http://www.ordb.org/faq/#test_blocking> heldigvis på.
>
> Ja, det var jo det, jeg skrev.
Du gav bare ikke et dybt link, så det var let at finde den relevante
information. Men lad nu det ligge.
--
Jacob - www.bunk.cc
Needs are a function of what other people have.
| |
Uffe R. B. Andersen (22-04-2002)
| Kommentar Fra : Uffe R. B. Andersen |
Dato : 22-04-02 22:28 |
|
On Mon, 22 Apr 2002 18:43:00 +0200, "Martin Kiefer" <martin@kiefer.dk>
wrote:
>Nogen der har fået maps_rbl_domains = relays.ordb.org og
>smtpd_recipient_restrictions = reject_maps_rbl til at virke på en RH7.2?
Ja, men ikke uden kamp :) En del skriven frem og tilbage på en
SSLUG-mailliste og så var den der. Prøv at kigge på
< http://www.kalibalik.dk/anders/linuxtips/rbl.html> - det er den
opsætning vi kom frem til skulle virke.
--
Med venlig hilsen - Sincerely
Uffe R. B. Andersen - mailto:urb@twe.net
http://www.twe.net/
| |
|
|