Требовать от внешних пользователей авторизации — это то же самое, что запретить им отправку почты (входящей для вас почты). Для такого запрета можно просто не подключать SMTP-сервер к внешнему интерфейсу.
Если имеются в виду ваши сотрудники, подключающиеся извне, то они и так без авторизации не смогут отправлять почту на не-локальные адреса. Т.е. авторизация будет требоваться.
Конечно, именно это я и имел ввиду (надеясь на телепатию ).
У меня сейчас авторизации не требует, ни при отправке на локальные, ни при отправке на не-локальные адреса.
Не могу понять где это обрубить.
То что при локальных подключениях при отправке не требует авторизации — это нормально, упрощает вам настройку клиентов (у вас ведь нет злоумышленников в ЛС? да даже если и есть, это в ЛС легко отслеживается устраняется)
LexXP пишет: Отпавка сообщения извне:
MAIL FROM: <lex@mydomain.ru>
RCPT TO: <root@mydomain.ru>
Отправка извне без авторизации на локальный домен — тоже так и должно быть. Это принцип работы MX-сервера.
LexXP пишет: И все таки есть-ли возможность установить smtp аутентификацию и для отправки с локальных ящиков?
Добавить эту опцию легко, одна строка в конфиг, но я хочу показать, что она не нужна. В предыдущих версиях Eserv эта опция есть, и она периодически причиняла вред (невозможность отправки почты из PHP-скриптов с локального, закрытие MX'а и т.д.) — т.к. если ручка управления есть, то непременно кто-нибудь её бездумно включает, вызывая ненужные проблемы и вопросы.
ac пишет: Отправка извне без авторизации на локальный домен — тоже так и должно быть. Это принцип работы MX-сервера.
То есть получается, что любой может настроить почтовую программу, выдать себя за меня и рассылать из вне почту всем сотрудникам организации от моего имени?
LexXP пишет: То есть получается, что любой может настроить почтовую программу, выдать себя за меня и рассылать из вне почту всем сотрудникам организации от моего имени?
Это никак от авторизации не зависит. Любой спамер может выдать себя за вас и разослать от вашего имени спам на весь интернет. Такое злодейство можно немного ограничить только настройкой SPF-политик и доменных ключей для своего домена, либо S/MIME для себя лично. "Немного" — потому что все ещё не многие серверы проверяют доменные ключи, а уж проверка конечными получателями по подписям "действительно ли это письмо пришло от LexXP, или это хитрый спамер" вообще из области фантастики, к сожалению.
LexXP пишет: При отправке из вне на внешний почтовый ящик выдает в логах следующее:
RCPT TO: <lexxp@ngs.ru>
550 we do not relay (your IP=89.189.170.108 logged)
причем не зависимо от того проходит успешно smtp авторизация или нет
Из чего следует, что не зависимо? В этой сессии авторизации не было никакой — ни успешной, ни ошибочной. И почта от внешнего неавторизованного пользователя наружу не принята, т.е. релей закрыт, всё хорошо. Можете теперь включить в почтовом клиенте "SMTP-сервер требует авторизацию" и попробовать аналогичную внешнюю сессию в авторизованном режиме.
ac пишет: Можете теперь включить в почтовом клиенте "SMTP-сервер требует авторизацию" и попробовать аналогичную внешнюю сессию в авторизованном режиме.
Вот результат:
2010-05-06 09:55:48;89.189.170.108;@;5252;400;OUT;220 Eserv v4.23.4741 ESMTP. Thu, 06 May 2010 09:55:48 +0700 ()
2010-05-06 09:55:48;89.189.170.108;@;5252;400;IN;HELO NetBook
2010-05-06 09:55:48;89.189.170.108;@;5252;400;OUT;250 mail.mydomain.ru Hello [89.189.170.108]
2010-05-06 09:55:48;89.189.170.108;@;5252;400;IN;MAIL FROM: <lex@mydomain.ru>
2010-05-06 09:55:49;89.189.170.108;@;5252;400;OUT;250 lex@mydomain.ru OK
2010-05-06 09:55:49;89.189.170.108;@;5252;400;IN;RCPT TO: <lexxp@ngs.ru>
2010-05-06 09:55:49;89.189.170.108;@;5252;400;OUT;550 we do not relay (your IP=89.189.170.108 logged)
2010-05-06 09:55:49;89.189.170.108;@;5252;400;IN;QUIT
2010-05-06 09:55:49;89.189.170.108;@;5252;400;OUT;221 Goodbye.
Не выполняет ваш NetBook авторизацию, даже не выясняет способ авторизации. Какая программа? О настройке почтовых клиентов можно почитать (точнее посмотреть здесь: http://www.eserv.ru/EservMailClients
OE 6 должен уметь SMTP-авторизацию. А это точно он обращается? Что-то мне кажется, что OE в любой ситуации говорит EHLO.
Как ситуация выглядит со стороны клиента?
Со стороны клиента это выглядит так: не зависимо от того стоит галочка об авторизации в ОЕ или нет, сообщение отправляется на внутреннюю почту, а на внешний ящик говорит
OUT;550 we do not relay (your IP=89.189.170.108 logged)
после настройки циски отправка из внешней сессии на внешний ящик без аутентификации не работает, с аутентификацией все OK. (что и требовалось)
При отправке почты внутри домена аутентификация не требуется, а хотелось бы.
Если имеются в виду ваши сотрудники, подключающиеся извне, то они и так без авторизации не смогут отправлять почту на не-локальные адреса. Т.е. авторизация будет требоваться.
У меня сейчас авторизации не требует, ни при отправке на локальные, ни при отправке на не-локальные адреса.
Не могу понять где это обрубить.
ред: 04.05.2010 05:48
Отправка с локального НЕ существующего на внешний ящик:
Я спрашивал про
Отправка извне без авторизации на локальный домен — тоже так и должно быть. Это принцип работы MX-сервера.
Добавить эту опцию легко, одна строка в конфиг, но я хочу показать, что она не нужна. В предыдущих версиях Eserv эта опция есть, и она периодически причиняла вред (невозможность отправки почты из PHP-скриптов с локального, закрытие MX'а и т.д.) — т.к. если ручка управления есть, то непременно кто-нибудь её бездумно включает, вызывая ненужные проблемы и вопросы.
То есть получается, что любой может настроить почтовую программу, выдать себя за меня и рассылать из вне почту всем сотрудникам организации от моего имени?
Это никак от авторизации не зависит. Любой спамер может выдать себя за вас и разослать от вашего имени спам на весь интернет. Такое злодейство можно немного ограничить только настройкой SPF-политик и доменных ключей для своего домена, либо S/MIME для себя лично. "Немного" — потому что все ещё не многие серверы проверяют доменные ключи, а уж проверка конечными получателями по подписям "действительно ли это письмо пришло от LexXP, или это хитрый спамер" вообще из области фантастики, к сожалению.
Из чего следует, что не зависимо? В этой сессии авторизации не было никакой — ни успешной, ни ошибочной. И почта от внешнего неавторизованного пользователя наружу не принята, т.е. релей закрыт, всё хорошо. Можете теперь включить в почтовом клиенте "SMTP-сервер требует авторизацию" и попробовать аналогичную внешнюю сессию в авторизованном режиме.
Вот результат:
Как ситуация выглядит со стороны клиента?
Создайте на своем Eserv тестовую учетную запись, сообщите мне её (имя,пароль,IP) на support@eserv.ru, посмотрю что там с авторизацией.
Отключите ваш firewall (похоже на Cisco Pix), это он портит протокол.
При отправке почты внутри домена аутентификация не требуется, а хотелось бы.