qmail a prilis mnoho informaci...

Filip Flajšar linux na ssos.cz
Úterý Červen 29 10:48:49 CEST 2004



> -----Original Message-----
> From: Matus UHLAR - fantomas [mailto:uhlar na fantomas.sk]
> Sent: Tuesday, June 29, 2004 10:21 AM
> To: linux na linux.cz
> Subject: Re: qmail a prilis mnoho informaci...
> 
> >> nastavte si prosim odsadzovanie textu, ku ktoremu sa vyjadrujete.
> >> Ako mam vediet ktore z nequotovanych riadkov ste pisali vy a ktore
> kolega
> >> Houstek?
> 
> Filip Flajšar <linux na ssos.cz> wrote:
> > Omlouvam se, neumim pouzivat outlook tak dobře jako vy...
> 
> mam pocit ze tento problem uz je vyrieseny ;-)

Ja tez.
 
> Inac, uz sa k vasmu mailu uz vyjadril kolega Houstek (a iba s nim
> suhlasim) takze ho len doplnim...
> 
> >> > Misto unknown by mel byt reverzni preklad IP adresy klienta, ktery se
> >> > nekona (patrne pouzivate debiani instalaci qmailu+tcpserveru, kde je
> >> > tcpserver volan s parametrem -H, z IMHO pomerne pochybnych duvodu,
> >> > nicmene u privatni adresy to je stejne jedno), za Helo je to, co SMTP
> >> > klient (patrne nejaky MUA) poskytl v SMTP za HELO (je to tedy ciste
> >> > zalezitost klienta) a pochopitelne i IP adresa klienta.
> >> >
> >> > To me nenapadlo, ale kdo pouziva reverzni preklady pro vnitrni sit?
> >>
> >> kazdy spravny systemak? :)
> 
> > Jo? Tak to bych chtel videt. Ještě jsem se s zadnym nesetkal. Uz vidim
> > admina, který nemá nic jiného na praci, nez delat reversy na stanice (co
> > když je jich třeba 10 000?
> 
> 1. skriptom
> 2. napriklad bind pozna dirtektivu GENERATE ktorou sa daju generovat
>    zaznamy
> 3. da sa pouzit nejaky alternativny DNS system napriklad MyDNS

Nikdy jsem se s tim nesetkal, tak asi proto. 

> >> >> b) Da se to modifikovat i bez zasahu ve zdrojaku (nekde v
> >> >> /var/qmail/control/) nebo musim upravit zdrojak
> >> >
> >> > Bez uprav zdrojaku qmail k nevyplneni nebo jinemu vyplneni Received:
> >> > tezko donutite.
> >> >
> >> > Tak pujdu codit :-)
> >>
> >> radsej nie...
> >
> > Proc ne? Mate pocit, ze bych to zvladl lepe nez vy?
> 
> mam pocit ze sa chystate urobit hlupost, ktora odporuje RFCckam a navyse
> by vam mohla sposobit problem.

Praveze jsem nechtel odporovat RFC a to je rozdil, chtel jsem jen tu
hlavicku upravit tak abych místo vnitrniho ipcka dal třeba id pocitace,
tudiz ja bych vedel co je to za pocitac. To RFC neodporuje.
 
> >> > Jde mi o to, proc by v hlavicce mely byt informace o vnitrni siti. To
> >> > by mohla byt dost uzitecna věc pro pripadneho utocnika. Samozrejme,
> >> > ze chci mit cisty stit, ale zaroven i cistou sit. Třeba něco jako:
> >> >
> >> > ------------------------- cut -------------------------
> >> > Received: from unknown (HELO smtp.server) (vnejsi ip MTA)
> >> >  by 'vnejsi ip MTA' with SMTP; 23 Jun 2004 09:41:15 -0000
> >> > ------------------------- cut -------------------------
> >> >
> >> > Jak rikate, pro debug to je uzitecna informace, ale pokud mi vse bezi
> >> > jak ma? Nebo pripadne ve zdrojaku upravit tak, ze hlavicku prepisu
> >> > viz vise a do logu na localhostu zapisu hlavicku v puvodnim stavu
> >> > (pro pripadny debug)
> >>
> >> co urobite, ked dakto z vasich pouzivatelov zacne spamovat? posielat
> >> virusy?
> 
> >> sledovanim logov to zistite extremne tazko, pretoze qmailovske logy su
> na
> >> VELKY PRD, co je jednym z dovodov, preco sme sa na qmail vybodli...
> >> (google: qmail bugs and wishlist)
> 
> > Me qmail sedi nejvic. Muj problem ne? Zadal jsem radu, ale ne nekonecne
> > rozmlouvani, ze qmail je naprd, zkus postfix nebo jestli si masochista,
> > pust se do sendmailu. Coz je v této konferenci uplne normální, ze
> > většina odpovídá tak, aby vypadalo, ze odpověděli, pritom ve zkutecnosti
> > tady vznikaji flame kvuli absolutnim kravinam. Myslite, ze vam zabralo
> > vice casu napsat:
> > V control to nejde, musite upravit zdrojak. Drzte se ale RFC xxxx.
> 
> 1. nenapisal som ze sa mate zriect qmailu a prejst na nieco ine, napisal
> som, preco sme sa ho zriekli my. Zriekli sme sa ho hlavne kvoli velmi
> zlemu
> logovaniu, co by prave vam mohlo sposobit problemy keby daktora z vasich
> stanic zacala masivne sieir spamy virusy cervy atd.

Ja se jen tak qmailu nezreknu, mi sedi na 100%, zase tu nemame takovy
traffic, aby nestihal, nebo nevim co. Nejvetsi traffic na nasem mailserveru
dela tato konference, takze pocitam, ze nasim mailserverem projde tak cca
500 mailu denne. 

> 2. RFC uz bolo menovane a to nemienim opakovat. Rad vsak zopakujem, ze to
> co chcete urobit je hlupost, nerobte to. Tym, ze v mailoch vidite ip
> adresy
> vnutornych stanic, nic nepokazite, dokonca ja som uz takto jeden problem
> objavil a oznamil zakaznikovi...

Ono je to asi na jednu stranu dobry, ale celkem me to zarazilo, ze je tam
videt to ipcko. Spis prekvapeni.
 
> > Je to jeden radek, vy jste jich napsal daleko vice. To taky ukazuje
> > schopnost organizovat si svůj vlastní cas, za tu dobu by ste mozna
> udelal
> > daleko vice jinych, uzitecnejsich, veci.
> 
> myslim, ze som urobil. Napisal som vam kopu dovodov preco nerobit to co
> chcete.


Chapu, jsou i jiné reseni, které mi poradil Honza Houstek.

> > Jinak jak jsem jiz rikal, ze prepisu zdrojak, kde hlavicka bude bez
> > vnitrnich ip adres a do logu se bude ukladat cela hlavicka - nezmenena.
> Je
> > tu nejaky problem? Není.
> 
> je tu jeden risk - jedna informacia bude oddelena od inej (mail od
> hlavicky). Co za istych okolnosti moze stazit patranie. Moze sa napr.
> preplnit disk (velmi vam narastie velkost log suborov, specialne ak si
> chcete byt isty ze zalogujete vsetko potrebne). Moze byt zle nastaveny cas
> na serveri. a este sa mozno nieco najde...

Při nasem trafficu a diskovym polem na logy s tim nepocitam. Muzu třeba
logovat id zprávy, ip klienta, datum, cas, atd.
To by nebylo od věci.
 
> >> ak budete mat v hlavicke mailu IP adresu, zistite vinnika z prveho
> >> reportu.
> >
> > To zjistim z logu.
> 
> Ak urobite poriadne logovanie pre qmail, do toho. Obavam sa vsak, to bude
> zlozitejsia robota ako zapisat do logu hlavicky mailov ktore presli
> serverom...

Jednou to někdo bude muset udelat. Vice méně jsme se o tom bavili s panem
Houstekem - jake by to mohlo byt, ale nenamitnu ani rady/tipy od vas, co
byste logach qmailu očekávali. Jinak s vami musim souhlasit, ze qmailovske
logy jsou fakt na prd. 

-- Filip Flajšar




Další informace o konferenci Linux