Lexa Software: Nginx-ru@sysoev.ru archive

		Apache-Talk @lexa.ru
		Inet-Admins @info.east.ru
		Filmscanners @halftone.co.uk
		Security-alerts @yandex-team.ru
		nginx-ru @sysoev.ru

СТАТЬИ

ПЕРСОНАЛЬНОЕ

ПРОГРАММЫ

ПИШИТЕ
ПИСЬМА

АРХИВ :: nginx-ru

Nginx-ru mailing list archive (nginx-ru@sysoev.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: nginx-0.7.34

To: nginx-ru@xxxxxxxxx
Subject: Re: nginx-0.7.34
From: Maxim Dounin <mdounin@xxxxxxxxxx>
Date: Wed, 4 Nov 2009 15:08:48 +0300
In-reply-to: <3c97affb0911032250r5ffa67cdwad58554af9e69b10@xxxxxxxxxxxxxx>
References: <20090210165313.GH45851@xxxxxxxxxxxxx> <4992CD77.8070105@xxxxxxxxx> <20090211144154.GD17519@xxxxxxxxxx> <4992E6E0.1040206@xxxxxxxxx> <20090211152322.GE17519@xxxxxxxxxx> <3c97affb0905131031s420f1edene2e235a0b111489d@xxxxxxxxxxxxxx> <20090513195004.GQ75343@xxxxxxxxxx> <3c97affb0905131414u79ec1e12p84da23d880bbf485@xxxxxxxxxxxxxx> <20090514093055.GS75343@xxxxxxxxxx> <3c97affb0911032250r5ffa67cdwad58554af9e69b10@xxxxxxxxxxxxxx>

Hello!

On Wed, Nov 04, 2009 at 09:50:00AM +0300, Kirill Morozov wrote:

> Подниму ветку, так как проблема так и не решилась.
> 
> Я не знаю как описать проблему более доступно. Проблема собственно в том,
> что postfix почему-то перестал считать клиента авторизованным.
> 
> # rpm -q postfix
> postfix-2.5.6-1.fc10.x86_64
> 
> пакет пересобран с XCLIENT патчем для 2.5

Какой патч?

Я знаю ровно один патч для XCLIENT к постфиксу - от Антона 
Южанинова:

http://citrin.ru/nginx:xclient-login-patch

И его не существует в версии "для 2.5" по крайней мере в публичном 
доступе.  Опубликованый в настоящий момент патч для 2.3.7 на 2.5.6 
чисто не накладывается.

> smtpd_helo_restrictions =
>         permit_mynetworks,
>         permit_sasl_authenticated,
>         check_helo_access regexp:/etc/postfix/helo_regexp,
>         check_helo_access regexp:/etc/postfix/dialup_checks,
>         reject_invalid_hostname,
> #       reject_non_fqdn_hostname,
> #       reject_unknown_hostname,
>         permit
> 
> smtpd_sasl_auth_enable = yes
> smtpd_sasl_application_name = smtpd
> smtpd_sasl_local_domain = [mx0.fedora.su]
> smtpd_sasl_security_options = noanonymous
> smtpd_sasl_type = dovecot
> smtpd_sasl_path = /var/run/dovecot/auth-client
> broken_sasl_auth_clients = yes
> smtpd_authorized_xclient_hosts = 78.140.133.89
> 
> 
> permit_sasl_authenticated <-- не срабатывает и далее срабатывает одно из
> > правил и блокирует клиента
> 
> 
> откатываемся на nginx 0.6 - и все работает.

Что показывает

postconf smtpd_delay_reject

?

Если "no", то в 0.6.* эти проверки просто не отрабатывают для 
клиента, ибо его HELO/EHLO отдельно не посылается, только в 
составе XCLIENT.

Maxim Dounin

> 
> 
> 2009/5/14 Maxim Dounin <mdounin@xxxxxxxxxx>
> 
> > Hello!
> >
> > On Thu, May 14, 2009 at 01:14:23AM +0400, Kirill Morozov wrote:
> >
> > > Да дело как-раз в том, что теперь постфикс у нас работает не совсем так
> > как
> > > хотелось бы, пришлось откатиться на 6-ую ветку nginx.
> >
> > Возможно, проще правильно настроить postfix?  В чём именно
> > проблема?
> >
> > Maxim Dounin
> >
> > > 2009/5/13 Maxim Dounin <mdounin@xxxxxxxxxx>
> > >
> > > > Hello!
> > > >
> > > > On Wed, May 13, 2009 at 09:31:29PM +0400, Kirill Morozov wrote:
> > > >
> > > > > 2009/2/11 Maxim Dounin <mdounin@xxxxxxxxxx>
> > > > >
> > > > > > Hello!
> > > > > >
> > > > > > On Wed, Feb 11, 2009 at 05:55:28PM +0300, Anton Yuzhaninov wrote:
> > > > > >
> > > > > > > Maxim Dounin wrote:
> > > > > > >> On Wed, Feb 11, 2009 at 04:07:03PM +0300, Anton Yuzhaninov
> > wrote:
> > > > > > >>
> > > > > > >>> Igor Sysoev wrote:
> > > > > > >>>> Изменения в nginx 0.7.34
> > > > > >  10.02.2009
> > > > > > >>>>
> > > > > > >>>>     *) Добавление: теперь после команды XCLIENT nginx посылает
> > > > > > >>>> команду         HELO/EHLO.
> > > > > > >>>>        Спасибо Максиму Дунину.
> > > > > > >>> А зачем это нужно? В XCLIENT и так можно указать HELO
> > > > > > >>
> > > > > > >> В postfix'е это HELO не попадёт в мильтеры, так что в общем
> > случае
> > > > > > >> нельзя.
> > > > > > >>
> > > > > > >
> > > > > > > По хорошему это надо фиксить на стороне postfix - по команде
> > XCLIENT
> > > > > > > часть milter callback-ов вызывается, насколько помню, а часть
> > почему
> > > > то
> > > > > > > нет. Нужно чтобы вызывались все, для которых в XCLIENT указаны
> > > > данные.
> > > > > >
> > > > > > Да.  Но позиция Wietse по этому вопросу была высказана достаточно
> > > > > > однозначно, и проще забыть что XCLIENT умеет HELO, чем
> > > > > > пользоваться.  Цена вопроса - round-trip.
> > > > > >
> > > > > > Maxim Dounin
> > > > > >
> > > > > >
> > > > > *) Добавление: теперь после команды XCLIENT nginx посылает команду
> > > > >       HELO/EHLO.
> > > > >       Спасибо Максиму Дунину.
> > > > > а можно ли сделать это отключаемым из конфига?
> > > >
> > > > А смысл?  Экономить round-trip к процессу постфикса?  По сравнению
> > > > с процессом упомянутый round-trip - это такие копейки, что
> > > > говорить смешно.
> > > >
> > > > При этом HELO= в XCLIENT'е известно что не работает и не будет
> > > > работать корректно в постфиксе, по крайней мере при использовании
> > > > milter'ов.  Т.е. использовать его - это способ прострелить себе
> > > > ногу.
> > > >
> > > > Maxim Dounin
> > > >
> > > >
> > > --
> > > Kirill Morozov
> > > KIMO2-RIPE, RHCE
> >
> >
> 
> 
> -- 
> Kirill Morozov
> Fedora-Hosting.com

Follow-Ups:
- Re: nginx-0.7.34
  - From: Kirill Morozov

References:
- nginx-0.7.34
  - From: Igor Sysoev
- Re: nginx-0.7.34
  - From: Anton Yuzhaninov
- Re: nginx-0.7.34
  - From: Maxim Dounin
- Re: nginx-0.7.34
  - From: Anton Yuzhaninov
- Re: nginx-0.7.34
  - From: Maxim Dounin
- Re: nginx-0.7.34
  - From: Kirill Morozov
- Re: nginx-0.7.34
  - From: Maxim Dounin
- Re: nginx-0.7.34
  - From: Kirill Morozov
- Re: nginx-0.7.34
  - From: Maxim Dounin
- Re: nginx-0.7.34
  - From: Kirill Morozov

Prev by Date: Re: nginx-0.8.22
Next by Date: Re: nginx-0.8.22
Previous by thread: Re: nginx-0.7.34
Next by thread: Re: nginx-0.7.34
Index(es):
- Date
- Thread