nickstep
-
Posts
9 -
Joined
-
Last visited
Posts posted by nickstep
-
-
оказалось, что сработал firewalld и блокирнул всё на вход, кроме порта для ssh.
-
1
-
-
Проблема началась после попытки обновить ssl-сертификат вэб-консоли.
Проверка работы nginx показывает, что служба запущена. При этом попытка войти дает ошибку ERR_CONNECTION_REFUSED.
Откатил виртуальную машину на последний бекап, перезагрузил - таже история.
В логах nginx ошибок не вижу, но и подключений тоже.Служба ksmg пишет active/running, при этом сервер по порту 25 не отзывается, также как и 443.
Сертификат ssl истек 19/05/2024 -
Иногда просачиваются письма, являющиеся спамом, но никак не распознаваемые спм-фильтром.
Есть ли куда их отправить для дообучения? -
В 21.03.2024 в 16:56, mivimex сказал:
Напишите, как именно решили
для проброса авторизации (я использую проверку через запрос по imap ко внутреннему почтовому серверу) ставим Dovecot.
- правим /etc/dovecot/dovecot.conf, оставляя только imap включенным из протоколов "protocols = imap"
- правим /etc/dovecot/conf.d/10-auth.conf разрешая plaintext "disable_plaintext_auth = no". в конце отключаем все ексеншены и добавляем свой "!include auth-proxy.conf.ext"
- создаем свой экстеншен /etc/dovecot/conf.d/auth-proxy.conf.ext
passdb {
driver = imap
args = host=тут_ip_адрес_почтового_сервера
default_fields = userdb_imapc_user=%u userdb_imapc_password=%w
}
userdb {
driver = prefetch
}правим /etc/dovecot/conf.d/10-master.conf (режем обращения со внешних адресов, добавляя "address = 127.0.0.1" и настраиваем сервис авторизации для postfix'а плюс откусывая авторизацию по локальным пользователя)
service imap-login {
inet_listener imap {
#port = 143
address = 127.0.0.1
}
inet_listener imaps {
#port = 993
#ssl = yes
address = 127.0.0.1
}
service pop3-login {
inet_listener pop3 {
#port = 110
address = 127.0.0.1
}
inet_listener pop3s {
#port = 995
#ssl = yes
address = 127.0.0.1
}}
service auth {
# Postfix smtp-auth
unix_listener /var/spool/postfix/private/auth {
mode = 0666
user = postfix
group = postfix
}# Auth process is run as this user.
#user = $default_internal_user
}- правим /etc/dovecot/conf.d/10-ssl.conf (отключаем обязательность ssl, иначе будет для всех требовать)
ssl = no
- правим etc/dovecot/conf.d/10-logging.conf
log_path = /var/log/dovecot
auth_verbose = yes- регистрируем в службах
systemctl enable dovecot- перезапускаем и проверяем статус systemctl status dovecot (лог можно посмотреть tail /var/log/dovecot -f)
systemctl restart dovecot
настраиваем postfix (при перенастройке ksmg все это перезапишется, потому после отладки своих конфигов изменения следует внести в шаблоны ksmg /opt/kaspersky/ksmg-appliance-addon/share/master.cf.template и /opt/kaspersky/ksmg-appliance-addon/share/main.cf.template, но по согласованию с ТП Касперского)
- правим /etc/postfix/master.cf (включаем smtps, чтобы можно было авторизоваться и по 465)
smtps inet n - n - - smtpd
...
-o smtpd_proxy_filter=unix:/var/run/ksmg/ksmg_smtp_sock
-o smtpd_proxy_options=speed_adjust
- правим /etc/postfix/main.cf
добавляем permit_sasl_authenticated и reject_unauthenticated_sender_login_mismatch после permit_mynetworks
smtpd_relay_restrictions =
...
permit_mynetworks,
permit_sasl_authenticated, # разрешаем отправку на внешние адреса после авторизации
reject_unauthenticated_sender_login_mismatch, # блокируем отправку через наш сервер от имени наших пользователей без авторизации
...
# это как раз для блокировки без авторизации
smtpd_sender_login_maps = hash:/etc/postfix/smtpd_sender_login_maps
# здесь добавляем механизм авторизации через dovecot в конце файла
smtpd_sasl_auth_enable = yes
smtpd_sasl_type = dovecot
smtpd_sasl_path = private/auth
broken_sasl_auth_clients = yes
smtpd_sasl_security_options = noanonymous
- создаем файл /etc/postfix/smtpd_sender_login_maps
@наш_домен reject
- создаем базу smtpd_sender_login_maps.db, иначе postfix будет ругаться на отсутствие базы
postmap /etc/postfix/smtpd_sender_login_maps
(в итоге должна появиться /etc/postfix/smtpd_sender_login_maps.db)- перезапускаем postfix
systemctl restart postfix- проверяем статус
systemctl status postfixв логах /var/log/maillog не должно быть явных ошибок типа нет файла smtpd_sender_login_maps.db
-
при обновлении ksmg изменения в templates пропадут?
-
KSMG меняет master.cf и main.cf при перенастройке из web-морды - как восстанавливать (или переопределить) нужные параметры для postfix'а независимо от того, что "наменял" ksmg.
-
Всем спасибо, задачку решил.
-
Схема следующая:
есть почтовый домен, отмеченный на ksmg как локальный. С публичных адресов поток по портам 25, 465 попадает на ksmg, для этого домена настроена маршрутизация на локальный почтовый сервер на порт 25.
отправка внешней почты у почтового сервера опять же настроена на передачу на ksmg для проверки и он уже далее отправляет получателям.вариант 1. (тут проблем нет)
клиент в локальной сети отправляет письма локальному почтовому серверу с обязательной авторизацией, тот пересылает ksmg, тот после проверки далее.вариант 2.
клиент ВНЕ локальной сети подключается по публичному адресу на 25 порт и попадает на ksmg.
и насколько я понял, может отправить любое письмо без авторизации, т.к. ksmg про авторизацию на локальном почтовом сервере ничего не знает.
Как этого избежать? Понятно, что один из вариантов подключать клиентов через 587, который пробрасывается на почтовый сервер. Но порт 25 ksmg всё равно принимает, т.е. проблема так не решится.
Поможет ли мне вариант, к примеру, такой настройки - в основных параметрах МТА я для "Адрес назначения сообщений" укажу свой локальный почтовый сервер, а его отправку поменяю на отправку напрямую?
Нет кнопки "Добавить лицензию" KSMG версия 2.0.1.6960 (2.0 MR1)
in Kaspersky Security for Mail Server
Posted
Заканчивается пробная лицензия, хотел добавить свежекупленную и ... нет кнопки добавить лицензию в Общие/Лицензирование. Только удалить текущий ключ.
Куда бежать (что делать)?