Date: Thu, 17 May 2001 21:21:44 +0200 (CEST) From: Claus Guttesen <none@cguttesen--yahoo.dk.lh.bsd-dk.dk> Subject: Re: Sendmail/Connection attempt to UDP 127.0.0.1:512 To: bsd-dk@bsd-dk.dk, bsd-dk@bsd-dk.dk
--- Michael Rasmussen <none@michael.r--grafisk.dk> skrev: .lh.bsd-dk.dk>
Hej Claus,
>
> Jeg svarer lidt sent, da jeg lige ville se om andre
> sad inde med lidt
> sendmail viden her på listen :)
Ingen problemer.
>
>
> Jeg har faktisk selv overvejet Postfix, da jeg har
> hørt flere tale varmt
> om det. Men jeg har aldrig rigtig fået taget mig
> sammen til at hoppe væk
> fra sendmail. Men skulle Postfix ikke være mere
> sikkert også?
Witse som har skrevet hovedparten af Postfix, har
tidligere administreret Sendmail på mange platforme,
og så mange punkter som kunne forbedres. Da han tog et
års orlov fra IBM valgte han at skrive Postfix som et
alternativ til bl.a. Sendmail. Han har sammen med en
anden person skrevet programmet SATAN, som finder
sikkerhedsbrister, så han har skrevet Postfix med
tanke på at eliminere sikkerhedsbrister, så
sikkerheden er der taget vare på, uden at der
naturligvis gives nogen garanti.
>
> Hidtil har min mail-server kun kørt på mit intranet,
> så sikkerhed har
> ikke været så højt prioriteret. Dog er jeg ved at
> sætte serveren online
> nu, og derfor ville det jo være en god anledning til
> at skifte til
> Postfix :) (selv om min sendmail dog er sat korrekt
> op, m.h.t. *ikke* at
> være et open-relay.)
Jeg fik engang et tips om at telnette til
mail-abuse.org fra mail-serveren. Denne vil (hvis
dette tillades på din FW) koble op på din smtp-server
og forsøge at bruge samme tricks som spammere benytter
sig af. Sidst jeg telnettede til denne site udførte
den 23 test. Tilsvarende steder findes sikkert på
internettet. Finder den et smuthul vil den komme med
en melding på skærmen, dette skrives naturligvis osse
i log-filen (oftest /var/log/maillog). Lav en 'tail -f
/var/log/maillog' mens du tester. Du bestemmer hvilken
fil loggen skal skrive til ved at editere filen
/etc/syslog.conf og enten ændre eller tilføje linien
'mail.info /var/log/maillog'.
>
>
> Jeg tror jeg vil hoppe over på Postfix, da jeg før
> har prøvet Qmail og
> det ikke helt faldt i min smag. Men findes der en
> "todo" guide til
> FreeBSD, eller er det bare så enkelt som(?):
>
Jeg henter den seneste stabile udgave, som kaldes
postfix samt en frigivelses-dato. Ønsker du at hente
en mere eksperimentiel udgivelse, kan du hente
snapshot-udgaverne. Men skal den ikke udføre de mest
avancerede opgaver, kan du sikkert nøjes med
postfix-udgaverne.
> # cd /usr/ports/mail/postfix
> # make replace
>
> Jeg har ikke prøvet ovenstående, men læst at det
> skulle være den bedste
> måde at konvertere på. Men hvad skal man så gøre
> manuelt bagefter
> (konvertering af virtualuser, local_domain_names
> o.l. filer)?
>
Jeg plejer at pakke filen ud, hoppe ned i
under-biblioteket og har blot skrevet 'make'. Når den
er færdig med at kompilere Postfix, så bliver jeg
root, og laver en 'sh INSTALL.sh'. Den vil erstatte
Sendmail med Postfix. Det eneste jeg her skal være
opmærksom på her er at tmp-området skal være på en
anden partition end den partition du installerer fra,
og har valgt /tmp når den spørger om et temporært
område.
Jeg har aldrig erstattet Sendmail som har været
skræddersyet til et bestemt miljø, men har været så
heldig at de installationer jeg har foretaget har
været på "nye" maskiner. Derfor har jeg blot kørt en
standard erstat-sendmail-helt-og-aldeles, og har
skruet på main.cf-filen.
Jeg var tidligere ansat i et rederi som har fem
datterselskaber, derfor satte jeg maskinen op til at
tage imod mail maskinens eget domæne samt for fire
andre navngivne domæner (maskinens eget domæne er
implicit, og skal derfor ikke angives). Jeg har læst
ordet virtualuser og virtualdomain, men har aldrig fåe
det ind i mit hoved, hvad dette gør. Er det den
foroven beskrevne funktion med at tillade at den
modtager mail for andre domæner?
Jeg har ikke adgang til min maskine i dag, men kan
sende en generisk skabelon på filen main.cf i morgen.
Her skal man bl.a. angive de subnet Postfix skal være
relay for. Af andre tjeks man kan lave er at angive en
tekst-fil som skal (bort-)filtrere mail med en bestemt
overskrift (eller emne). Det famøde ILOVEYOU-virus kan
stoppes på denne måde. Postfix vil simpeltet sende en
reject til den mail-server som forsøger at sende
mailen med dette subject-felt. Denne tjek er dog ikke
særlig intelligent, da det blot drejer sig om at ændre
i overskriften, så slipper den forbi. Men det er en
quick-and-dirty-solution.
Postfix har (sidst jeg tjekkede for et par måneder
siden) ikke indbyget mulighed for at skanne selve
mailen og evt. vedhæng, så det kan være vanskelligt at
stoppe mails som f.eks. har Visual Basic-scripts
vedhæftet. Dette arbejdes der vist nok på, så det
kommer nok i en fremtidig release.
Lidt statistik fra mit gamle firma. Den oprindelige
maskine jeg satte op med Postfix, kørte på en gammel
Digital-desktop-PC med 48 MB RAM samt en Pentium II
133 af en art samt to diske på 1 GB hver samt RedHat
6.2. Denne maskine håndterede i snit 25.000-30.000
mails om dagen på hverdage med en samlet datamængde på
1 GB. Alt dette blev routet over i vores
cc:Mail-system. Maskinen kørte og kørte og kørte,
indtil nytårsskiftet 2000, hvor alle maskiner måtte
lukkes ned.
BTW1. Sæt en ekstra mail-server op på en gammel
maskine, og definer minimum to mx-records, hvor din
produktionsmaskine har størst prioritet. Dette sikrer
at du i det mindste fortsat kan modtage mail fra
internettet hvis din produktionsmaskine går ned af en
eller anden årsag.
BTW2. Lav en stor /var-partionen. Postfix (som så
mange andre programmer) bruger /var-partitionen som
arbejdsområde. Løber den fuld, stopper mail
sandsynligvis.
BTW3. Du kan konfigurere din kerne med ipfilter, så
den osse fungerer som brandvæg/mur. Har selv testet
ipfilter, men har ikke prøvet det ude på internettet,
men ipfilter skal være ret godt.
> Er der i øvrigt nogle fordele ved at vælge
> postfix-current i stedet for?
>
Ønsker du stabilitet og har du et relativt statisk
miljø, kan du sagtens bruge den stabile udgave.
> btw:
> De ovenstående spørgsmål vil sikkert også kunne
> bruges til at skabe en
> lille "sendmail -> postfix" howto, på dansk, til
> www.bsd-dk.dk :)
Sikker, jeg vil gerne give mit bidrag.
Held og lykke.
Claus
>
>
> --
> Med venlig hilsen
> Michael Rasmussen <none@michael.r--grafisk.dk.lh.bsd-dk.dk>
>
______________________________________________________
Går mail for langsomt for dig?
Så prøv Yahoo! Messenger - her kan du i løbet af få sekunder udveksle beskeder med de venner, der er online.
Messenger finder du på adressen: http://dk.messenger.yahoo.com
This archive was generated by hypermail 2b30 : Wed 15 Nov 2006 - 18:24:08 CET