exim ban list

[corvax]

 deny    condition     = ${lookup{sender_address}wildlsearch{/usr/local/etc/exim/banlist}{yes}{no}}

в этой строке не хватает одного символа, который был в моем кондишине
советую внимательнее переносить текст
а еще лучше - юзать копипаст

[mclaud]

bash-2.05b# (echo 'helo f9.mail.ru' ; echo 'mail from:postmaster@mail.ru' ; echo 'rcpt to: admin@vniidad.ru' ; echo 'quit' ; ) | /usr/local/etc/exim/bin/exim -bh 194.67.57.39

**** SMTP testing session as if from host 194.67.57.39
**** but without any ident (RFC 1413) callback.
**** This is not for real!

>>> host in hosts_connection_nolog? no (option unset)
>>> host in host_lookup? yes (matched "*")
>>> looking up host name for 194.67.57.39
>>> IP address lookup yielded f9.mail.ru
>>> gethostbyname looked up these IP addresses:
>>>   name=f9.mail.ru address=194.67.57.39
>>> checking addresses for f9.mail.ru
>>>   194.67.57.39 OK
>>> host in host_reject_connection? no (option unset)
>>> host in sender_unqualified_hosts? no (option unset)
>>> host in recipient_unqualified_hosts? no (option unset)
>>> host in helo_verify_hosts? no (option unset)
>>> host in helo_try_verify_hosts? no (option unset)
>>> host in helo_accept_junk_hosts? no (option unset)
220 VNIIDAD ESMTP Welcome
250 unix.vniidad.ru Hello f9.mail.ru [194.67.57.39]
250 OK
>>> using ACL "acl_check_rcpt"
>>> processing "accept"
>>> check hosts = :
>>> host in ":"? no (end of list)
>>> accept: condition test failed
>>> processing "deny"
>>> check domains = +local_domains
>>> vniidad.ru in "@"? no (end of list)
>>> vniidad.ru in "+local_domains"? no (end of list)
>>> deny: condition test failed
>>> processing "deny"
>>> check dnslists = relays.ordb.org
>>> DNS list check: relays.ordb.org
>>> new DNS lookup for 39.57.67.194.relays.ordb.org
>>> DNS lookup for 39.57.67.194.relays.ordb.org failed
>>> => that means 194.67.57.39 is not listed at relays.ordb.org
>>> deny: condition test failed
>>> processing "deny"
>>> sender_address in "*@*.com"? no (end of list)
>>> sender_address in "*@bk.ru"? no (end of list)
>>> sender_address in "*@mail.ru"? no (end of list)
>>> check condition = ${lookup{sender_address}wildlsearch{/usr/local/etc/exim/banlist}{yes}{no}}
>>>                 = no
>>> deny: condition test failed
>>> processing "deny"
>>> check domains = !+local_domains
>>> vniidad.ru in "!+local_domains"? yes (end of list)
>>> check local_parts = ^[./|] : ^.*[@%!] : ^.*/\\.\\./
>>> admin in "^[./|] : ^.*[@%!] : ^.*/\.\./"? no (end of list)
>>> deny: condition test failed
>>> processing "accept"
>>> check local_parts = postmaster
>>> admin in "postmaster"? no (end of list)
>>> accept: condition test failed
>>> processing "require"
>>> check verify = sender
>>> >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
>>> routing postmaster@mail.ru
>>> calling relay_service router
>>> relay_service router declined for postmaster@mail.ru
>>> mail.ru in "@"? no (end of list)
>>> mail.ru in "! +local_domains"? yes (end of list)
>>> calling dnslookup router
>>> 194.67.23.20 in "0.0.0.0 : 127.0.0.0/8 : 192.168.0.0/24"? no (end of list)
>>> routed by dnslookup router
>>> ----------- end verify ------------
>>> require: condition test succeeded
>>> processing "accept"
>>> check domains = +local_domains
>>> vniidad.ru in "+local_domains"? no (end of list)
>>> accept: condition test failed
>>> processing "accept"
>>> check domains = +relay_to_domains
>>> vniidad.ru in "vniidad.ru"? yes (matched "vniidad.ru")
>>> vniidad.ru in "+relay_to_domains"? yes (matched "+relay_to_domains")
>>> check verify = recipient
>>> >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
>>> routing admin@vniidad.ru
>>> calling relay_service router
>>> fully qualified name = 192.168.0.101
>>> gethostbyname looked up these IP addresses:
>>>   name=192.168.0.101 address=192.168.0.101
>>> routed by relay_service router
>>> ----------- end verify ------------
>>> accept: condition test succeeded
250 Accepted
221 unix.vniidad.ru closing connection

[corvax]

таки надо было прочесть сначала мое следующее сообщение
посколько сообщение на счет дебагового вывода уже ничего не давало, и так было ясно, что дело в синтаксической ошибке при написании конфига

[mclaud]

не успел прочесть. Извини что так долго морочил голову. Спасибо!

[mclaud]

прошу прощения но как ты написал работает только с формами *@domain.some someone@domain.some, но не работает с *@*.some

[corvax]

прошу прощения но как ты написал работает только с формами *@domain.some someone@domain.some, но не работает с *@*.some

\N.+\.some\N

[mclaud]

тоесть добавить в конфиг
deny    message       = Restricted characters in address
         domains       = +local_domains
         local_parts   = ^[.] : ^.*[@%!/|] : \N.+\.com\N

[corvax]

прошу прощения но как ты написал работает только с формами *@domain.some someone@domain.some, но не работает с *@*.some

\N.+\.some\N

точнее
\N^.+\.some$\N
или
*.some

[corvax]

тоесть добавить в конфиг
deny    message       = Restricted characters in address
         domains       = +local_domains
         local_parts   = ^[.] : ^.*[@%!/|] : \N.+\.com\N

конечно нет. ибо .com - это ни разу не local_part
я вообще-то писал выражение для лукапа в файл

[mclaud]

спасибо - все заработало как надо.
Может ответишь еще на 3 вопроса?
1. Можно ли сделать исключения - если у меня забанин .com можно ли разрешить lukoil.com
2. необходимо ли засовывать exim в chroot - почитал по инету-вроде не надо
3. лог exim растет и не режется, а - /var/log/maillog режется и зипуется по cron. Где к крону прицепить в добавок и /var/spool/exim/log/mainlog

[corvax]

спасибо - все заработало как надо.
Может ответишь еще на 3 вопроса?
1. Можно ли сделать исключения - если у меня забанин .com можно ли разрешить lukoil.com

можно

2. необходимо ли засовывать exim в chroot - почитал по инету-вроде не надо

как правило не используют раобту exim в chroot environment

3. лог exim растет и не режется, а - /var/log/maillog режется и зипуется по cron. Где к крону прицепить в добавок и /var/spool/exim/log/mainlog

в зависимости от системы:
/etc/newsyslog.conf
/etc/logrotate.d/
/etc/logrotate.conf

[mclaud]

спасибо - все заработало как надо.
Может ответишь еще на 3 вопроса?
1. Можно ли сделать исключения - если у меня забанин .com можно ли разрешить lukoil.com

можно

я надеялся на более раскрытый ответ

[corvax]

спасибо - все заработало как надо.
Может ответишь еще на 3 вопроса?
1. Можно ли сделать исключения - если у меня забанин .com можно ли разрешить lukoil.com

можно

я надеялся на более раскрытый ответ

надеятся на что-то и формулировать вопрос - разные процессы. на прямой вопрос "можно ли?" - был дан не менее прямой ответ - "да". вопроса "как?" я не наблюдал ни тогда ни сейчас

для того, чтобы сделать исключения, надо в файле с масками адресов через двоеточие указать какое-нить значение в случае исключений. например:

Код: Выделить всё

*@lukoil.com : skip
*.com

в данном конкретном случае порядок следования записей имеет значение, т. е. исключения нужно указывать раньше, чем запрещающие записи...

и соответствующим образом нужно изменить condition:

Код: Выделить всё

deny    set acl_m0     = ${lookup{sender_address}wildlsearch{/usr/local/etc/exim/banlist}{$value}{not found}}
           condition     = ${if eq{$acl_m0}{not found}{no{yes}}
           condition     = ${if eq{$acl_m0}{skip}{no{yes}}
           message    = Sender address blacklisted

на самом деле можно кроме значения "ok" использовать и другие ("defer", "deny", "drop") и соответствующим образом их обрабатывать
еще можно в значении, скажем через двоеточние или pipe,  указать текст сообщения smtp клиенту (об этом я кажется уже писал)

[mclaud]

пишет
invalid "condition" value "no{yes"

[corvax]

пишет
invalid "condition" value "no{yes"

в обоих кондишенах надо после "no" поставить "}"