Postgrey und Postfwd auf der DS

[jahlives]

In den letzten Tagen habe ich mir mal Postgrey und Postfwd auf die DS installiert. Da beides Perlscripte sind geht dies relativ einfach. Die nötigen Module kann man entweder bei ipkg suchen oder direkt von cpan laden.

Postgrey ermöglicht auf eine relativ einfache Weise die Implementation von Greylisting in den Postfix (smtp) Prozess. Der Vorteil von Greylisting ist ein deutlicher Einbruch beim Spamvolumen bei relativ wenig zusätzlicher Last auf dem Mailserver

Postfwd ist ein Policy Server. Dieser klinkt sich ebenfalls in den Postfix Prozess ein und kennt mächtigere Regeln und Möglichkeiten als die Konfig des Postfix Servers. Der Vorteil ist einerseits die grössere Mächtigkeit und andererseits, dass man damit eine zentrale Stelle hat, die die Regeln durchsetzt.

Bei Zeiten schreibe ich mal einen Beitrag dafür für's Forum und das Wiki

Gruss

tobi

 

[jahlives]

Postfwd installieren

Postfwd - Postfix Firewall Daemon - ist ein Policy Server, der wie eine Firewall für den Postfix Prozess agieren kann.

Voraussetzungen

• Zugang auf die DS als root via telnet oder ssh
• Umgang mit einem Konsoleneditor wie z.B. vi oder nano (via ipkg)
• Perl installiert (ich habe es mit der ipkg Version gemacht, weiss aber nicht ob die Default Version auch funzen würde)
• postfwd.pl
• Perl Module:
  • Net::Server::Multiplex
  • Net:NS
  Diese Module sollte es in ipkg geben und sonst kann man sie von cpan direkt laden
  

  perl -MCPAN -e shell
  install <Module>

Installation
Wenn die benötigten Module vorhanden sind, dann kann man einfach das Perlscript runterladen und in einem beliebigen Verzeichnis auf der DS speichern. Zusätzlich zum Perlscript muss eine Config Datei erstellt werden (beliebiger Name und Verzeichnis, der Einfachheit halber am besten postfwd.cf im gleichen Verzeichnis wie das Perlscript)
Beim Perlscript muss man ggf den Pfad zum Perl Interpreter noch anpassen v.a. wenn man die ipkg Version von Perl verwendet (erste Zeile im Perlscript)
Damit ist die Installation auch schon abgeschlossen

Konfiguration
Damit postfwd überhaupt weiss was zu tun ist, müssen im Config File Regeln und Aktionen definiert sein.
Die Regeln und Aktionen in postfwd sind ein sehr sehr umfangreiches Thema. Es hat jedoch in der Doc einige Beispiele. (z.B. http://postfwd.org/example-cfg.txt und http://hege.li/howto/spam/etc/postfwd/postfwd.conf)
Grundsätzlich ist eine Regel so aufgebaut

id=RULE-02 ;  sender==$$recipient ;  action=REJECT not allowed

id ist eine beliebige Zeichenfolge. Sollte jedoch im Config File eindeutig sein. Danach folgt die Bedingung (hier Senderadresse gleich Empfängeradresse) und danach die durchzuführende Aktion.
Dabei ist wichtig zu verstehen, dass nicht postfwd die Email verwirft, sondern die Aktion an Postfix zurückmeldet und dieser dann die Email ablehnt.
Bei action= kann also alles übergeben werden, was Postfix an Aktionen kennt (z.B. DEFER, OK, REJECT oder auch nummerische Fehlercodes z.B. 550 oder 450 oder auch eine selber definierte Postfix Aktion, dazu mehr beim Beitrag zu Postgrey).

Starten
Damit postfwd losrennen kann muss er auch gestartet werden. Das geht mit folgendem Befehl relativ einfach

/path/to/postfwd -d -f /path/to/postfwd.cf

Per default startet postfwd unter dem User nobody und lauscht auf Port 10040. Ob alles geklappt hat könnt ihr z.B. so prüfen

netstat -an | grep 10040

Intergration in Postfix
Damit der Postfix Server diesen Daemon auch verwenden kann muss man Postfix in dessen Konfig noch beibringen, diesen zu verwenden. Das geschieht in der main.cf unter dem Parameter smtpd_recipient_restrictions z.B.

smtpd_recipient_restrictions = ... ,
check_policy_service = inet:127.0.0.1:10040,
...

Nach einem Reload des Postfix sollte der policy service in die Mailzustellung integriert sein

 

[jahlives]

Postgrey installieren

Normalerweise ist bei Postfix bereits eine Greylist Methode implementiert. Diese scheint aber im Umgang mit der Datenbank etwas Probleme zu machen. Deshalb habe ich mich für diese (http://postgrey.schweikert.ch/) Version entschieden.

Voraussetzungen

• Zugang auf die DS als root via telnet oder ssh
• Umgang mit einem Konsoleneditor wie z.B. vi oder nano (via ipkg)
• Perl installiert (ich habe es mit der ipkg Version gemacht, weiss aber nicht ob die Default Version auch funzen würde)
• Perl Module:
  • Net::Server
  • IO::Multiplex
  • BerkeleyDB (Perl module)
  • Berkeley DB (Library, version ? 4.1)
    Diese Module sollte es in ipkg geben und sonst kann man sie von cpan direkt laden
• Postgrey Source

Installation
Archiv an beliebigen Platz entpacken. In postgrey den Pfad zur Config und den Pfad (Verzeichnis) für die Datenbank angeben. Die Datenbank selber wird dann von postgrey beim Starten falls nicht vorhanden angelegt. Darum musst der User unter dem postgrey läuft auch Schreibrechte auf dieses Verzeichnis haben (läuft bei mir unter nobody).
Auch sollte wieder der Pfad zum Perlinterpreter in postgrey falls nötig angepasst werden.

Konfiguration
postgrey hat in dem Sinne keine Konfig, sondern die Konfig wird beim Starten auf der Kommandozeile mittels Parameter übergeben

Starten
Zum Starten reicht auf der Kommandozeile ein

/path/to/postgrey -d --inet=127.0.0.1:10050 --delay=60 --user=nobody --group=nobody

damit sollte postgrey unter nobody:nobody auf Port 10050 und dem localhost laufen.

Integration in Postfix Prozess
Man könnte versucht sein in der main.cf einfach bei smtpd_recipient_restrictions einen weiteren check_policy_service einzubauen. Das wird aber in die Hose gehen, weil Postfix dann nur den zuletzt angegebenen Service nutzt. Die erste Var wird also von der zweiten Überschrieben.
Um das zu umgehen legt man in der main.cf am besten eine eigene Restriction Class an

smtpd_recipient_restrictions = ...,
check_policy_service inet:127.0.0.1:10040,
...
smtpd_restriction_classes = greylist
greylist = check_policy_service inet:127.0.0.1:10050

greylist kann beliebig gewählt werden. Es darf nur nich so heissen wie eine default Action von Postfix (z.B. OK, DEFER oder REJECT)
Danach kann postfwd über action=greylist den Postfix anweisen eine Mail durch den Greylist Service zu schleusen z.B

#postfwd.cf
....
id=GREY ; action=greylist

Damit schickt postfwd alle Emails durch den postgrey Service, welcher dann entscheidet ob eine Email verworfen oder akzeptiert wird

Optimierung
So eingestellt wird postgrey bei Absendern Probleme machen, die Einmalempfangsadressen verwenden (wie z.B. viele Mailinglisten). Um das zu umgehen, kann man eine sender_access Datei anlegen

dovecot.org OK
postfix.org   OK

diese mit postmap behandeln und dann in der main.cf diese Datei VOR dem policy check einbauen. Es ist extrem wichtig, dass ihr sicherstellt, das VOR dem sender_access check und dem policy_check ein reject_unauth_destination steht. Sonst habt ihr ganz schnell einen offenen relay Server produziert

smtpd_recipient_restrictions = ...,
[COLOR=Red]reject_unauth_destination[/COLOR],
check_sender_access hash:/path/to/sender_access,
check_policy_service inet:127.0.0.1:10040,
...

Gruss

tobi

 

[jahlives]

Länder IP auf Postfix blocken

Im Zuge der Diskussion über die bösen chinesischen Hacker habe ich einen Weg gesucht (und auch gefunden) chinesische IPs am Postfix zu blocken.
Das ganze funzt unter der Voraussetzung, dass postfwd korrekt installiert und in den Postfix Prozess eingebunden ist, überraschend einfach.

Geht zuerst auf eine Seite wie blockacountry.com und gebt das zu blockende Land an.
Kopiert dann alle IP Blöcke (ohne das restliche htaccess Gedöns!!) in einen Editor eurer Wahl und ersetzt alle Vorkommen von 'deny from '<<-- wichtig löscht auch das Leerzeichen. Danach habt ihr eine saubere Liste der IP-Blöcke.
Stellt sicher, dass ihr UNIX Zeilenendzeichen habt und kopiert das File auf eure DS (z.B. /opt/etc/postfix/ip_block.txt)
Öffnet danach das Konfigfile von Eurem postfwd und erstellt ganz am Anfang eine Regel in der folgenden Art

id=CHINA_BLOCK ; client_address==file:/opt/etc/postfix/ip_block.txt ; action=REJECT Ich nix wollen Mao. Und tschau. Dalai Lama ole

Danach den postfwd neustarten oder zuerst die Konfig testen

/path/to/postfwd --showconfig -f /path/to/postfwd.cf

Sollte etwas wie

Rule   0: id->"CHINA_BLOCK"; action->"REJECT Ich nix wollen Mao. Und tschau. Dalai Lama ole"; client_address->"==;218.10.17.182, ==;193.200.85.107, ==;85.214.80.15
7, ==;118.166.226.10, ==;58.14.0.0/15, ==;58.16.0.0/16, ==;58.17.0.0/17, ==;58.17.128.0/17, ==;58.18.0.0/16, ==;218.10.17.182, ==;193.200.85.107, ==;85.214.80.157
, ==;118.166.226.10, ==;58.14.0.0/15, ==;58.16.0.0/16, ==;58.17.0.0/17, ==;58.17.128.0/17, ==;58.18.0.0/16, ==;58.19.0.0/16, ==;58.20.0.0/16, ==;58.21.0.0/16, ==;
58.22.0.0/15, ==;58.24.0.0/15, ==;58.30.0.0/15, ==;58.32.0.0/13,[...]

ergeben. Dann den postfwd neustarten.

Gruss
tobi

 

[HarryPotter]

REJECT Ich nix wollen Mao. Und tschau. Dalai Lama ole

Ich lach mich tot

 

[Buntbaer2001]

@jahlives: Jetzt warst du schneller als ich... Aber erst in einer Antwort auf meine Anfrage zum Kauf (DS409 vs. DS409+: Welches NAS für File-/Web- und Mail-Dienste) schreiben, dass du es noch nicht hinbekommen hast...

Hatte mich auch gerade daran gemacht, eine Postgrey-Anleitung zu erstellen. Postgrey gibts auch als IPKG-Paket, was die Einbindung der perl-module noch einfacher macht...

Fallstricke könnten für den nicht so versierten Anwender auch noch die Erstellung der Config-Files postgrey_whitelist_clients und postgrey_whitelist_recipients, die postgrey ja voraus setzt.

Und für mich gibts nichts besseres... Denn mit greylisting werden (noch) die meisten Spammer abgewiesen und es immer wieder eine Freude, die Einträge im Log zu sehen...

Jan 24 16:32:49 Synology postfix/smtpd[16326]: connect from 93-47-3-179.ip110.fastwebnet.it[93.47.3.179]
Jan 24 16:32:51 Synology postgrey: action=greylist, reason=new, client_name=93-47-3-179.ip110.fastwebnet.it, client_address=93.47.3.179, sender=xxx@xxx.xx, recipient=yyy@yyy.yy
Jan 24 16:32:51 Synology postfix/smtpd[16324]: NOQUEUE: reject: RCPT from 93-47-3-179.ip110.fastwebnet.it[93.47.3.179]: 450 4.2.0 <yyy@yyy.yy>: Recipient address rejected: Greylisted! Come back in 3 minutes; from=<xxx@xxx.xx> to=<yyy@yyy.yy> proto=SMTP helo=<93-47-3-179.ip110.fastwebnet.it>

Grüße
Buntbaer2001

 

[Buntbaer2001]

Was mir noch auffällt:

Ein Startscript brauchts natürlich auch noch...

#!/bin/sh 
# 
# postgrey startup script 

case "$1" in 
        start) 
        # Startet Postgrey 
                /path/to/postgrey -d --inet=127.0.0.1:10050 --delay=60 --user=nobody --group=nobody --pidfile=/opt/var/run/postgrey.pid --greylist-text='Greylisted! Come back in 1 minute'
        ;; 
        stop) 
        # Stoppt Postgrey 
                killall postgrey
        ;; 
        *) 
                echo "Usage: $0 {start|stop}" 
                exit 1 
        ;; 
esac

Ich habe die Startparameter genommen, die jahlives oben angegeben hat.

Alle Startscripts der IPKG-Pakete liegen in /opt/etc/init.d/.

Wichtig ist, dass die Zeile mit "/path/to/postgrey ..." OHNE Umbruch gesichert wird! Und das Verzeichnis "/opt/var/run/" für das pid-file muss natürlich auch existieren. Wie üblich muss ein Startscript ausführbar mit den Rechten 755 gesichert werden.

chmod 755 /opt/etc/init.d/S10postgrey

Die Bezeichnung S10postgrey ist willkürlich. Ich habe nur zwei Startscripte. Syslog-ng trägt sich mit 01syslog-ng ein und postgrey wird eben danach aufgerufen.

Nach einem Neustart sollte dann in der Prozessliste auch postgrey mit auftauchen.

Synology> ps | grep post        
3505 root       7296 S   path/to/postgrey -d --inet=127.0.0.1:10050 --delay=60

Grüße
Buntbaer2001

 

[jahlives]

Ist die ipkg Version von postgrey das default postgrey von Postfix? Mit Postfix wird ja eine greylist.pl ausgeliefert. Nur heisst es, dass diese Version bei Handling der DB nicht besonders gut sein soll.
Würde mich wundernehmen welche Postgrey Implementation mit ipkg geliefert wird

 

[Buntbaer2001]

Ist die Version von David Schweikert, allerdings noch in 1.31. Im Prinzip müssen ja nur die Pfade an das IPKG-System angepasst werden...

Synology> more /opt/sbin/postgrey
#!/opt/bin/perl -T -w

# Postgrey: a Postfix Greylisting Policy Server
# Copyright (c) 2004-2007 ETH Zurich
# Copyright (c) 2007 Open Systems AG, Switzerland
# released under the GNU General Public License

# see the documentation with 'perldoc postgrey'

Grüße
Buntbaer2001

 

[jahlives]

@jahlives: Jetzt warst du schneller als ich... Aber erst in einer Antwort auf meine Anfrage zum Kauf (DS409 vs. DS409+: Welches NAS für File-/Web- und Mail-Dienste) schreiben, dass du es noch nicht hinbekommen hast...

Ich glaub dieser Thread den du meinst hat mich angespornt es nochmals zu probieren
Greylist ist echt perfekt für einen Mailserver, weil es bei sehr wenig mehr Last praktisch 99% des Spam killt.
Nur leider gibt es ein paar Probleme damit, dann nämlich wenn der Sender eine Einmaladresse verwendet oder ein grosser Pool an smtp Servern verwendet wird. Mein Provider versucht es bei einem Greylist Block noch 5 oder 6 Mal jedesmal von einem anderen smtp Server aus. Das bläht dann die Greylist unnötig auf.
Auch bei Mailinglisten muss man mit Greylist etwas aufpassen, sonst kann man schnell von der Liste fliegen.
Ich frage mich nur wie lange es dauert bis die Spammer ihre Bots angepasst haben und eine erneute Zustellung nach einer Wartezeit probieren

Gruss

tobi

 

[Buntbaer2001]

Installation:

1. Einloggen auf der Synology als root-User und installieren von postgrey

ipkg install postgrey

ipkg install postgrey

Die benötigten perl-Bibliotheken werden dabei gleich mit installiert.

2. Erstellen von benötigten Dateien
Postgrey benötigt für die Ausführung zwei Konfigurationsdateien. Vorlagen dieser Dateien liegen sind

/opt/share/postgrey/postgrey_whitelist_clients
/opt/share/postgrey/postgrey_whitelist_recipients

postgrey_whitelist_clients beinhaltet alle Hostnamen, die sofort und ohne Greylisting zugestellt werden. Bei den einzelnen Einträgen ist auch erklärt, warum die in die Whitelist aufgenommen wurden. Hier könnt ihr am Schluss der Datei noch die von euch benötigten Domains hinzu fügen. postgrey_whitelist_recipients beinhaltet alle Benutzer, für die das Whitelisting angewandt wird. Ist die Datei leer, so gilt Whitelisting für alle Benutzer.

Erstellt also zunächst das Standardkonfigurationsverzeichnis:

mkdir /opt/etc/postfix/

und kopiert dann die Datei postgrey_whitelist_clients in dieses Verzeichnis:

cp /opt/share/postgrey/postgrey_whitelist_clients /opt/etc/postfix

Bei mir gilt Whitelisting für alle Benutzer, deswegen erstelle ich eine leere Datei.

touch /opt/etc/postfix/postgrey_whitelist_recipients

Ihr könnt natürlich auch die Datei /opt/share/postgrey/postgrey_whitelist_recipients ins Konfigurationsverzeichnis kopieren.

Da ja noch Sicherungskopien existieren, könnt ihr die Dateien direkt bearbeiten. Je nach Vorliebe eben mit vi oder mit nano (ipkg install nano)

3. Erstellen eines Startscripts
Alle Startscripts der IPKG-Pakete liegen in /opt/etc/init.d/. Damit postgrey bei einem Neustart der Synology gestartet wird, ist noch ein Startscript anzulegen. Dieses Startscript sieht bei mir wie folgt aus:

#!/bin/sh 
# 
# postgrey startup script 

case "$1" in 
        start) 
        # Startet Postgrey 
                /opt/sbin/postgrey --delay=180 --inet=127.0.0.1:10024 -d --user=root --group=root --pidfile=/opt/var/run/postgrey.pid --greylist-text='Greylisted! Come back in 3 minutes'
        ;; 
        stop) 
        # Stoppt Postgrey 
                killall postgrey
        ;; 
        *) 
                echo "Usage: $0 {start|stop}" 
                exit 1 
        ;; 
esac

Die einzelnen Parameter bedeuten:

--delay Zeit in Sekunden, nach der die E-Mail angenommen wird (Standard ist hier 5 Minuten, mir reichen 3 Minuten)
--inet=127.0.0.1:10024 Der erste Part sagt, dass postgrey für alle Internetverbindungen hergenommen wird, der zweite Part ist der Port, auf dem postgrey gestartet wird.
-d Startet Postgrey daemonized, d.h. als Hintergrundprogramm
--user und --group Das hat die größten Probleme gemacht, da postgrey (zumindest bei mir und bisher) nur als root gestartet werden kann
--pidfile=/opt/var/run/postgrey.pid Hier soll das pid-file hin. Das Verzeichnis /opt/var/run existiert zunächst nicht und muss auch noch angelegt werden.
--greylist-text Hier habe ich meinen eigenen Text eingegeben, der im log erscheint und an den sendenden Mail Server zurück gegeben wird.

Wichtig ist, dass die Zeile mit "/opt/sbin/postgrey ..." OHNE Umbruch gesichert wird! Wie üblich muss ein Startscript ausführbar mit den Rechten 755 gesichert werden.

chmod 755 /opt/etc/init.d/S10postgrey

Die Bezeichnung S10postgrey ist willkürlich. Ich habe nur zwei Startscripte. Syslog-ng trägt sich mit 01syslog-ng ein und postgrey wird eben danach aufgerufen.

4. Testaufruf
Nachdem die Vorbereitungen abgeschlossen sind, kann postgrey mit

sh /opt/etc/init.d/S10postgrey start

testweise gestartet werden. Geht alles gut (kommt keine Fehlermeldung im Terminal), taucht danach ein Eintrag in der Prozessliste auf:

Synology> ps | grep post        
3505 root       7296 S   /opt/sbin/postgrey --delay=180 --inet=127.0.0.1:10024

Erscheint der Eintrag nicht, wird postgrey nicht gestartet. Dann kann die Suche aufwendig werden, da der normale syslog-daemon keine vernünftigen Logs liefert. Auch das war der Grund, syslog-ng zu installieren.

Wichtig ist - zumindest bei mir-, dass user/group root angegeben wird. Defaultwerte sind hier postgrey. Aber selbst das anlegen des User "postgrey" ließ postgrey bei mir nicht starten.

5. Konfiguration in main.cf
Damit nur die Mail Station (postfix) auch die E-Mails von postgrey überprüfen lässt, muss main.cf noch entsprechend konfiguriert werden. Je nach Konfiguration liegt diese Datei standardmäßig in

/usr/syno/mailstation/etc

Vor dem Bearbeiten fertigt man sich natürlich eine Sicherungskopie an.

cp /usr/syno/mailstation/etc/main.cf /usr/syno/mailstation/etc/main.cf.backup

Sucht in der main.cf den Eintrag, der mit

smtpd_recipient_restrictions

beginnt. Hier ist defaultmäßig (je nach Einstellungen in der GUI) folgendes angegeben:

smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination

Kopiert nun diesen Eintrag (in main.cf gilt immer nur der zuletzt gefunden Paramter) und fügt ihn weiter unten hinzu und ergänzt ihn wie folgt:

smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination, check_policy_service inet:127.0.0.1:10024

Die Option "check_policy_service net:127.0.0.1:10024" weist postfix an, jede eingehende E-Mail an postgrey zu senden. Natürlich muss hier der Port angegeben werden, den ihr konfiguriert habt.

Abschließend solltet ihr die Syno neu starten, um sicher zu sein, dass Postgrey auch nach einem Neustart funktioniert. Schickt euch auch zur Sicherheit von einem externen Mailaccount eine E-Mail und überprüft ob diese ankommt. Sollte etwas nicht ganz stimmen, so kann es sein, dass ihr überhaupt keine Mails mehr bekommt, da alle Zustellversuche abgewiesen werden.

Viel Erfolg!
Buntbaer2001

 

[HarryPotter]

Hab noch eine Frage wegen postfwd:

Muss ich ein Startscript erstellen, damit nach einem Reboot die Chinesen weiterhin geblockt werden?

Wenn ja, ist das hier korrekt:

#!/bin/sh
#
# S99postfwd.sh - startup script for postfwd
#
# This goes in /usr/syno/etc/rc.d and gets run at boot-time.

case "$1" in

start)
        /path/to/postfwd -d -f /path/to/postfwd.cf
       ;;

          stop)
            killall postfwd
       ;;

                *)
                 echo "usage: $0 { start | stop }"
                                     exit 1
        ;;

                esac

Und ist S99 richtig oder muss postfwd füher gestartet werden wegen Abhängigkeit von postfix?

 

[jahlives]

Ich würde postfwd vor postfix starten. Denn postfix hat u.U. in der Config einen Bezug zu postfwd oder postgrey und wenn die nicht laufen könnte sich postfix querlegen. Ich habe den Startaufruf für postfwd und postgrey ebenfalls in der Startdatei von postfix, damit alles zusammen gestartet und gestoppt wird
@buntbaer
postgrey unter root halte ich für heikel. Mein postgrey läuft sauber unter nobody

 

[HarryPotter]

Du meinst in

/usr/local/etc/rc.d/MailStation.sh

als erste Zeile in StartDaemons

und letzte Zeile in StopDaemons

?

 

[jahlives]

Ich habe ein eigenes Startscript für den Postfix. Aber mit dem von dir angegebenen Script müsste es ja auch gehen. Einfach dein postgrey Script nicht-ausführbar machen (chmod -x) und dann im Mailstation.sh bevor der Postfix gestartet wird ein sh /path/to/S99postgrey start > /dev/null und dort wo Postfix beendet wird nachdem der Postfix gestoppt wurde den gleichen Code einfach mit stop