Tips and Tux » antispam

MailScanner and Kaspersky 5.5

superpaia — Thu, 12 May 2011 12:01:18 +0000

Making MailScanner and Kaspersky friends!

Download Kaspersky, I use Ks Workstation, on your linux box (I use SuSE SLES10, so I have to download .rpm file).

Then configure MailScanner wrapper for Kaspersky :
/etc/MailScanner/virus.scanners.conf
with this option:
kaspersky-4.5 /usr/lib/MailScanner/kaspersky-wrapper /opt/kaspersky/kav4ws

and set correct link for wrapper:
cd /opt/kaspersky/kav4ws/bin
ln -s kav4ws-kavscanner kavscanner
ln -s kav4ws-keepup2date keepup2date

In /etc/MailScanner/MailScanner.conf
set
Virus Scanners = kaspersky-4.5

And, to verify all is ok try:
# MailScanner –lint
output should be
[...]
MailScanner.conf says “Virus Scanners = clamav antivir kaspersky-4.5″
[…[

Cyrus SASL + Postfix over Active Directory

superpaia — Tue, 30 Nov 2010 15:23:54 +0000

Cyrus SASL + Postfix over Active Directory

Postfix running on SLES 10 and Auth over a W2k3 R2 Server, via Kerberos (based, and authorised by, on Loris aw mcgyver.it work )

Prerequisite:

- Ntp working
- Active directory Server
- Postix Server
- RPM: krb5, krb5-apps-clients, krb5-clients, pam_krb5, krb5-plugin-kdb-ldap, cyrus-sasl, cyrus-sasl-plain, cyrus-sasl-saslauthd

From CLI:
# yast -i ntp postfix krb5 krb5-apps-clients krb5-clients pam_krb5 krb5-plugin-kdb-ldap cyrus-sasl cyrus-sasl-plain cyrus-sasl-saslauthd

Let’s Start. (NB backup all configuration files before changing it, ex: cp cfg.conf cfg.conf.orig)

Configure /etc/krb5.conf (warning, it’s case sensitive world!!)

—– [/etc/krb5.conf ]
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log

[libdefaults]
default_realm = DOMAIN.LOC
dns_lookup_realm = true
dns_lookup_kdc = true
ticket_lifetime = 24h
forwardable = yes

[realms]
ACME.COM = {
kdc = W2K3Server.DOMAIN.LOC:88
default_domain = DOMAIN.LOC
}

[domain_realm]
DOMAIN.LOC = DOMAIN.LOC
.DOMAIN.LOC = DOMAIN.LOC
domain.loc = DOMAIN.LOC
.domain.loc = DOMAIN.LOC

[appdefaults]
pam = {
debug = false
ticket_lifetime = 36000
renew_lifetime = 36000
forwardable = true
krb4_convert = false
}
—– [/etc/krb5.conf ]

Ok, now change /etc/pam.d/smtp adding

—– cut here ——
auth sufficient pam_krb5.so no_user_check validate
account sufficient pam_permit.so
—– end cutting —–

Changing sasl auth file

—– [/etc/sasl2/smtpd.conf]
pwcheck_method: saslauthd
—– [/etc/sasl2/smtpd.conf]

Now it’s time to change sasl daemon. Edit

—- [/etc/sysconfig/saslauthd]
SASLAUTHD_AUTHMECH=pam
—- [/etc/sysconfig/saslauthd]
leave default other vars

Let’s try our setting.
TIME It’ important. Kerberos does not allow big time differences between server and client when
client is authenticating on server.

Try executing a simple “kinit username”
Password for username@DOMAIN.LOC:

It you got an error stop and try your configuration, else you can continue.

You can verify authentication on realm DOMAIN.LOC with smtp domain, you execute:

testsaslauthd -u username -p password -r DOMAIN.LOC -s smtp

Now we can configure postfix, just working without auth smtp relay:

smtpd_recipient_restrictions = permit_mynetworks , permit_sasl_authenticated , reject_unauth_destination
smtpd_sasl_auth_enable = yes
smtpd_sasl_authenticated_header = yes
smtpd_sasl_local_domain = DOMAIN.LOC
broken_sasl_auth_clients = yes

Rif:
http://www.facebook.com/topic.php?uid=5364518177&topic=6425
Others Rif:
http://www.postfix.org/SASL_README.html
http://pn-it.com/blog/linux-ubuntu/postfix-mit-ldap-auth-ubuntu-10/
http://www.faqs.org/docs/Linux-HOWTO/LDAP-Implementation-HOWTO.html

Whitelist per postgrey

superpaia — Tue, 23 Nov 2010 09:16:28 +0000

Da qualche giorno alcuni ISP, es. google.com, soggetti a postgrey sono soggetti a ritardi di reinoltro importanti (ed intendo anche decine di ore). L’unico modo per risolvere la situazione è metterli in una whitelist che bypassi il controllo postgrey. Ciò sarebbe semplice se non fosse che gli smtp server di google.com (che spediscono per @gmail.com) sono un pò tanti e hanno nomi complessi, es. mail-yx0-f177.google.com o mail-yw0-f49.google.com.
Pertanto occorre agire con una whitelist che usi delle regular expression per intercettare tutti i server che si presentano al nostro smtp gateway come mail-qualsiasicosa.google.com.
Quindi:
1) creiamo il file con le regular expressions per postfix (quindi un .pcre), usando poi la sintassi dei classici file access di postfix per decidere cosa farne del “qualcosa” che verrà intercettato:
/^[^.]*(mx|smtp|mail|exchange|post|deliver)*?\.google\.com/ OK
2) facciamo sì che postfix vada a verificare questa corrispondenza prima del controllo postgrey:
in /etc/postfix/main.cf
smtpd_recipient_restrictions =
permit_mynetworks,
reject_unauth_destination,
[...]
check_client_access pcre:/etc/postfix/greylist_exceptions.pcre,
[...]
reject_rbl_client dnsbl.njabl.org,
check_policy_service inet:127.0.0.1:10023,
permit

in alternativa si può anche usare il servizio di white list http://www.dnswl.org/tech#postfix
Rif.

http://lists.ee.ethz.ch/postgrey/msg02407.html

superpaia — Sun, 11 Apr 2010 22:42:20 +0000

Ecco un bel sistema per trovare se qualche “bravo ragazzo” ha inserito una pagina php (e soprattutto qual’è il file!) nel nostro webserver (ovviamente “bucandolo”) per poter spedire email a mezzo mondo (nel caso specifico dove ho risolto il problema c’è in coda la bellezza di mezzo milione di email!):

Many email messages are sent from PHP scripts on the server. How can I find what domains these scripts are running on?

Lo cito perché ne vale la pena (è per Qmail, al di là che comunque si citi la piattaforma Plesk) :

Resolution

There is a way to find what the folder the PHP script that sends mail was run from. Note, the paths can be slightly differ from the listed below depending on your OS and Plesk version:

1) create /var/qmail/bin/sendmail-wrapper script with the content:

#!/bin/sh
(echo X-Additional-Header: $PWD ;cat) | tee -a /var/tmp/mail.send|/var/qmail/bin/sendmail-qmail “$@”

Note, it should be the two lines including ‘#!/bin/sh’.

2) then create log file /var/tmp/mail.send and grant it “a+rw” rights, make the wrapper executable, rename old sendmail and link it to the new wrapper:

~# touch /var/tmp/mail.send
~# chmod a+rw /var/tmp/mail.send
~# chmod a+x /var/qmail/bin/sendmail-wrapper
~# mv /var/qmail/bin/sendmail /var/qmail/bin/sendmail-qmail
~# ln -s /var/qmail/bin/sendmail-wrapper /var/qmail/bin/sendmail

3) Wait for an hour or so and revert sendmail back:

~# rm -f /var/qmail/bin/sendmail
~# ln -s /var/qmail/bin/sendmail-qmail /var/qmail/bin/sendmail

Examine /var/tmp/mail.send file, there should be lines starting with “X-Additional-Header:” pointing out to domains’ folders where the scripts which sent the mail are located.
You can see all the folders mail PHP scripts were run from with the following command:

~# grep X-Additional /var/tmp/mail.send | grep `cat /etc/psa/psa.conf | grep HTTPD_VHOSTS_D | sed -e ‘s/HTTPD_VHOSTS_D//’ `

f you see no output from the command above, it means that no mail was sent using PHP mail() function from the Plesk virtual hosts directory.

Installazione di MailScanner su SLES 11 a 64 bit – Parte 2

superpaia — Wed, 17 Feb 2010 15:42:06 +0000

Una volta fatte le opportune verifiche che la “configurazione base” funzioni, dal sito www.mailscanner.info scarico la versione più recente del file tar.gz per SuSE.
Lo decomprimo (io di solito creo una cartella /software dove mettere il software vario) e poi eseguo, dall’interno della cartella e come utente root, il comando ./install.sh
A questo punto l’installazione di MailScanner inizia, con relativa compilazione dei file necessari. Tutto in automatico!

Alla fine dell’installazione per i sistemi SuSe è necessario effettuare la seguente configurazione nel file /etc/MailScanner/MailScanner.conf :
Run As User = postfix
Run As Group = postfix
Incoming Queue Dir = /var/spool/postfix/hold
Outgoing Queue Dir = /var/spool/postfix/incoming
MTA = postfix
Monitors for ClamAV Updates = [...] /var/lib/clamav/*.cvd

Successivamente cambio i diritti sulle directory di servizio di MailScanner:
chown -R postfix:postfix /var/spool/MailScanner/incoming
chown -R postfix:postfix /var/spool/MailScanner/quarantine

Inserire nel file /etc/postfix/header_checks
la seguente riga: /^Received:/ HOLD

Poi, visto che sarà MailScanner ad occuparsi della gestione della posta agendo come MTA, spengo amavis e postfix e lo avvio.
(Naturalmente anche al runlevel di boot disabiliterò postfix/amavis e abiliterò MailScanner)

A questo punto verifico l’invio della posta con una connessione SMTP, solito telnet sulla porta 25 del server e verifica dei risultati con “tail -f /var/log/mail”.

Riferimenti:

http://www.mailscanner.info/postfix.html

Installazione di MailScanner su SLES 11 a 64 bit – Parte 1

superpaia — Mon, 15 Feb 2010 14:25:27 +0000

Installiamo MailScanner per la gestione attraverso interfaccia grafica (MailWatch) della posta su un server perimetrale

Prerequisito è l’installazione del sistema SuSE Linux Enterprise, a cui vanno aggiunti i pacchetti postfix, apache2, mysql e relativi tool (essendo un server posizionato in DMZ ho aggiunto anche bind, server dns).

Dopo l’installazione, se in possesso di codici, si procede agli aggiornamenti delle patch. Per questo utilizziamo YaST. Fatte le patch e dopo un bel riavvio installiamo gli applicativi.
Disabilitiamo i servizi in avvio automatico non necessari.

Procediamo per “step”, dapprima configuriamo il sistema postfix, integrandolo con amavis, clamav e spamassassin.

Si configurano paramentri base nel file /etc/postfix/main.cf sono:
myhostname = mail.dominiopubblico.it
inet_interfaces = all
relay_domains = dominiopubblico.it
mynetworks_style = host
mynetworks = 127.0.0.1, IP.DEL.SERVER.LINUX, IP.DEL.SERVER.diPostaAziendale

poi aggiungo il minimo indispensabile (che a volte è molto di più che trovo da qualche cliente già impostato…) per evitare “quintalate” di spam:
smtpd_helo_required = yes
disable_vrfy_commands = yes
smtpd_etrn_restrictions = reject
smtpd_recipient_restrictions =
reject_invalid_hostname,
reject_non_fqdn_sender,
reject_non_fqdn_recipient,
reject_unknown_sender_domain,
reject_unknown_recipient_domain,
permit_mynetworks,
reject_unauth_destination,
reject_rhsbl_sender dsn.rfc-ignorant.org,
reject_rhsbl_sender block.rhs.mailpolice.com,
reject_rhsbl_client block.rhs.mailpolice.com,
reject_rhsbl_client dynamic.rhs.mailpolice.com,
reject_rhsbl_sender dynamic.rhs.mailpolice.com,
reject_rhsbl_client blackhole.securitysage.com,
reject_rhsbl_sender blackhole.securitysage.com,
reject_rbl_client list.dsbl.org,
reject_rbl_client bl.spamcop.net,
reject_rbl_client zen.spamhaus.org,
reject_rbl_client dnsbl.njabl.org,
permit
smtpd_data_restrictions =
reject_unauth_pipelining,
permit

abilito l’interazione tra postfix e amavis:
content_filter = vscan:[127.0.0.1]:10024
e nel file /etc/postfix/master.cf configuro le righe:
localhost:10025 inet n - n - - smtpd -o content_filter=
vscan unix - - y - 2 smtp -o smtp_data_done_timeout=1200 -o smtp_send_xforward_command=yes -o disable_dns_lookups=yes

a questo punto nel file /etc/postfix/transport imposto l’indirizzo ip del server di posta finale:
dominiopubblico.it smtp:[IP.DEL.SERVER.diPostaAziendale]
salvo il file e poi “compilo” il file per postfix:
postmap /etc/postfix/transport

nel file di configurazione di Amavis è necessario (/etc/amavis.conf), almeno solo per ora, configurare la variable myhostname:
$myhostname = ‘mail-as.dominiopubblico.it’;

a questo posso riavviare il servizio postfix ed amavis ed il sistema è già pronto per i primi test di invio e ricezione della posta.
Su questa “base” andremo ad installare MailScanner e MailWatch successivamente.

Riferimenti:
www.postfix.org
www.novell.org

Consiglio:
Gnu/Linux ha il vantaggio di avere dei file di configurazione per i vari applicativi installati, prima della modifica io ho la buona abitudine di salvare il file di configurazione di base:
srvmail:/etc/postfix # cp main.cf main.cf.orig
Inoltre è opportuno avere la stessa buona abitudine per quando si agisce in maniera “pesante” su configurazioni già esistenti.

Postfix: Verifica LDAP in real-time

superpaia — Mon, 01 Feb 2010 23:22:29 +0000

Nella ricezione della posta è opportuno che sia verificata prima di essere inoltrata al server di posta, ovvero che il destinatario esista. Già con questo “piccolo” controllo parte dello spam non viene consegnato e non va ad usare risorse utili sul nostro server.

Quindi è fondamentale, assieme ad altri controlli, aggiungere questo tipo di verifica, per ottenere un servizio di posta migliore!

Questa piccola guida è riferita all’uso di Postfix, con supporto ldap, in ambiente Gnu/Linux con server Exchange o Lotus Domino

Query LDAP verso Lotus Domino:

la sintassi per postfix da aggiungere in /etc/postfix/main.cf è :

[...]

ldap_timeout = 10

ldap_search_base =

ldap_server_host = ip_del_server_di_posta_Domino

ldap_server_port = 389

ldap_query_filter = (mail=%s)

ldap_result_filter = %s

ldap_result_attribute = mail

ldap_scope = sub

ldap_bind = no

relay_recipient_maps = ldap:ldap

[...]

Query Ldap verso M$crosoft Exchange:

mentre nel caso di server M$crosoft Exchange la sintassi da aggiungere in /etc/postfix/main.cf è:

[...]

ldap_server_host = ip_del_server_di_posta_Exchange

ldap_search_base = dc=dominio,dc=it

ldap_version = 3

ldap_bind_dn = CN=postfix,CN=Users,DC=dominio,DC=it <– utente, “base”, inserito in Active Directory per poter fare la query LDAP

ldap_bind_pw = utente_postfix_password

ldap_query_filter = (proxyAddresses=smtp:%s)

ldap_result_attribute = mail

relay_recipient_maps = ldap:ldap

smtpd_recipient_limit = 240

[...]

In entrambi i casi occorre salvare il file e riavviare il servizio Postfix.