IPFire mit Mail-Proxyfunktion

[5p9]

Dies ist der eigentlich Post:

Hi zusammen,

ich hätte da mal eine Frage. Ich würde gern den IPFire mit einem Mailserver versehen wollen, der aber nur als SMTP- und POP3-Proxy funkieren soll. Hauptaufgabe ist der Einsatz von SPAM-Nachrichten zu filtern/ kennzeichnen inkl. der "normalen" E-Mails dann weiter an den Exchange zu schicken. Ähnlich wie der bekannte Copfilter: http://www.ipcopwiki.de/index.php/Copfilter

Ist dies soweit mit den gegebenen Addons von IPFire möglich? Wenn ja welche Addons benötige ich an dieser Stelle? Ich würde hier gerne den IPCop ablösen wollen, jedoch ist diese Funktion mit copfilter aktiv.

VG, 5p9

Es haben sich jedoch einige Änderungen ergeben. Diese sind ab hier:
http://forum.ipfire.org//viewtopic.php? ... 9#msg75399
schnell zu sehen was passiert ist.

Die Source für die Proxyfunktionen sind derzeit noch hier abgelegt:
http://people.ipfire.org/~ummeegge/Mailproxy/


EDIT: Link ins noch aktuelle Wiki http://wiki.ipfire.org/de/optimization/mailproxy/start

[5p9]

Hi,

hab mal etwas weiter gesucht und bin auf folgendes gestoßen:
How To Configure Postfix As A Mail Proxy http://agix.com.au/blog/?p=1996
Da ja Postfix in der Version 2.10 verfügbar ist sollte das ja umsetzbar sein, dazu noch Spamassassin und ClamAV und fertig, oder?

Jemand Einwände oder Ergänzungen dazu?

VG, 5p9

edit: hier eine weitere Ergänzung http://www.linuxjournal.com/article/7778

[5p9]

Morgen,

keiner noch eine Idee oder Info zu diesem Thema?

VG, 5p9

[ummeegge]

Hallo 5p9,
mal wieder ein paar Tage frei, dann gibts auch gleich mal eine Rückmeldung  .

Es gibt doch im Wiki ein How-To für Postfix, Amavisd, Spamassasin, ClamAV und auch Fetchmail welches hier --> http://wiki.ipfire.org/de/addons/mailserver/start zu finden ist. Ich denke da sollten sich ein paar gut Hinweise ergänzend zu deinen Links finden lassen.

Grüsse

UE

[5p9]

Hi ummeegge,

schön das du mal wieder da bist. Bist wohl in letzter Zeit viel unterwegs. 

Danke für den Link. Den kenne ich schon, nur habe ich bezgl meines Wunsches nicht all zu viel an Infos finden können. Ist sicherlich machbar und ich dachte mir ich bin nicht der Erste der das so einsetzten möchte, aber die Resonanz ist etwas Mau zu diesem Thema. Warum auch immer

Ich seh schon, ich muss es einfach mal angehen und dazu dann eine Doku darüber schreiben 

VG, 5p9

[ummeegge]

Ja ist echt sauviel los bei mir z.Zt, bin aber mal wenigstens wieder zuhause ;-) ....

Hätte mir denken können das du die Seite schon kennst, aber man kann ja nie wissen.

Als SMTP Proxy könnte das hier --> http://freecode.com/projects/proxsmtp ja auch eine Idee sein.
pop3 Proxy --> http://p3scan.sourceforge.net/
bzw. als imap proxy --> http://www.imapproxy.org/ ich denke da geht auch dovecot...
Müsste aber alles mal wieder kompiliert werden, von daher sind deine Ansätz besser denke ich.

Ich erinnere mich dunkel das es da auch was gab was alle 3 beinhalt hatte, da war auch noch ein NTP Proxy mit bei, komme aber gerade nicht mehr drauf... Wenn´s mir wieder einfällt schreib ich dir  .

Liebe Grüsse

UE

EDIT: Hab´s  schau doch mal hier rein --> http://getpopfile.org/docs/optionreference, der heisst zwar popfile, ist aber noch für mehr zu gebrauchen, die Konfiguration geht auch über eine UI. Hatte das mal irgendwann gebaut aber nicht mehr weiterverfolgt. Wenn´s interessiert, muss ich mal schauen.

[ummeegge]

Warum in die Ferne schweifen wenn auch eigentlich alles da ist  . Schau mal hier rein --> http://nginx.org/en/docs/mail/ngx_mail_core_module.html .

nginx gibt es ja schon auf dem Fire. Leider nicht mit den compiletime options --> http://git.ipfire.org/?p=ipfire-2.x.git ... ads/core73 <-- Zeile 97 . Hab gerade mal die 1.4.3er Version geladen und bin gerade mal am Kompilieren.

configure sagt:

Code: Select all

--with-mail                        enable POP3/IMAP4/SMTP proxy module
--with-mail_ssl_module             enable ngx_mail_ssl_module

scheinbar gibt es:

Code: Select all

--with-imap 
--with-imap_ssl_module

so gar nicht mehr. Wenn er fertig ist und du natürlich noch interesse hast, kann ich die das Package mal zukommen lassen.

Grüsse

UE

[5p9]

Hi ummeegge,

Wow...wie konnte ich das nur über lesen Super, du bist der Beste. Klar habe ich Interesse!

Jedoch musst du mich kurz aufklären was der Unterschied zwischen --with-mail und --with-imap zu bedeuten hat wenn with-mail Enable Pop3/imap4/SMTP beinhaltet?

Verstehe oder sehe es nicht gerade was du mir damit sagen möchtest

VG,5p9

[ummeegge]

Moin 5p9,
schön das du damit was anfangen kannst...
Ich meinte damit das sich die Optionen für´s Kompilieren mit dem Versionssprung verändert haben. Wenn du dir das LFS File im Git anschaust findest du "--with-imap" etc. . Bei einem "./configure --help" gibt es die Optionen mit imap nicht mehr, die wurde durch "--with-mail" etc. abgelöst. Ist aber auch nicht weiter tragisch, ist ja auch alles mit bei (SMTP, POP3 und IMAP4).

Hatte im rootfile einen kleinen Fehler drinne weswegen er mir übernacht das leider nicht fertig gebaut hat. Habe das gerade nochmal repariert  , dauert allerdings noch einwenig und ich muss leider gleich los... Heute Abend gibts dann das Package  .

Grüsse

UE

[5p9]

Hi & guten Morgen,

danke für deinen Einsatz.

weswegen er mir übernacht das leider nicht fertig gebaut hat

Hat aber noch keine Eile! 

"./configure --help" gibt es die Optionen mit imap nicht mehr

Ah, okay verstehe. Das ngx sieht recht einfach aus und scheint die einfachen Funktionen zu unterstützen. Finde ich so auf den ersten Blick recht charmant aus, klein und fein einfach.

Bis denne, 5p9

[ummeegge]

So juten Abend,
gerad Heim gekommen und gleich vor die Kiste (Schuh sogar noch an ). Der Fire hat auch brav fertig gebaut und tada da isses --> http://people.ipfire.org/~ummeegge/nginx-1.4.3-2/&nbsp; .

Wie oben erklärt hab ich nun

Code: Select all

--with-mail                        enable POP3/IMAP4/SMTP proxy module
--with-mail_ssl_module             enable ngx_mail_ssl_module

verwendet und die imap Klamotte rausgeschmissen.

Nach Installation gibt mir ein

Code: Select all

nginx -V

folgendes aus:

root:/opt/pakfire/tmp# nginx -V
nginx version: nginx/1.4.3
TLS SNI support enabled
configure arguments: --prefix=/usr/share/nginx/ --conf-path=/etc/nginx/nginx.conf --sbin-path=/usr/sbin/nginx --pid-path=/var/run/nginx.pid --lock-path=/var/lock/nginx.lock --http-client-body-temp-path=/var/spool/nginx/client_body_temp --http-proxy-temp-path=/var/spool/nginx/proxy_temp --http-fastcgi-temp-path=/var/spool/nginx/fastcgi_temp --http-log-path=/var/log/nginx/access.log --error-log-path=/var/log/nginx/error.log --user=nobody --group=nobody --with-http_ssl_module --with-mail --with-mail_ssl_module --with-http_stub_status_module --with-http_dav_module --with-http_sub_module --add-module=nginx_tcp_proxy_module/

sieht also gut aus soweit.

Wäre Klasse wenn du bescheid gibst wie alles Funkt, vielleicht kann ich das ja dann so irgendwann mal in´s Git mal Pushen.

Enjoy !!!

Grüsse

UE

[5p9]

Hi ummeegge,

cool. So ähnlich war es heute bei mir auch Nur ich habe meinen neuen WLAN-AP mit MULTI-SSID und VLAN ans Netz gehängt. Gefällt mir soweit sehr gut, bis auf das nach einem Firmware-Upgrade (backup natürlich gemacht bevor ich das eingspielt habe) das System wieder auf Default zurück fallen lässt. Na ja.

Wäre Klasse wenn du bescheid gibst wie alles Funkt, vielleicht kann ich das ja dann so irgendwann mal in´s Git mal Pushen.

Mache ich sofort wenn ich das am Laufen habe! Dauert aber sicherlich noch ein wenig. Danke für die schnelle Zustellung! Wünsche noch einen angenehmen Abend.

VG, 5p9

[ummeegge]

Das hört sich gut an . Dein VLAN scheint aber ansonsten mittlerweile weitestgehend gut zu funken oder ?

Ja wäre toll wenn du dir das mal anschaust, könnte doch eine ganz nette Lösung sein mit nginx. Ich komme derzeit leider gerade nicht wirklich dazu... So nun erstmal Essen.

Hab nen schönen Abend...

So long

UE

[5p9]

Hi,

Dein VLAN scheint aber ansonsten mittlerweile weitestgehend gut zu funken oder ?

ja ich denke das es soweit rockt. Snort lauscht auch drauf, ob dieser aber hier auch mal was findet (ich wills nicht hoffen) ist die andere Frage. Sollte ich auch mal testen ob er bei nem "hack" irgendwie auch wirklich reagiert - NMAP-Power

Nur der Traf im WUI denke ich hat beim VLAN mit blue+green noch so sein "Problemchen", siehe Anhang, was mich aber nicht sonderlich stört.

Ich komme derzeit leider gerade nicht wirklich dazu...

Mach ich und sogar noch produktiv. Ist mein nächstes Projekt (ipcop to ipfire).
Wird sicherlich ganz interessant ob das alles so funktioniert.

So nun erstmal Essen.

Dann lass es dir mal schmecken.

VG, 5p9

PS: Hab dich nciht vergessen mit IPFire Testsetup über IPSec & Co. nur bin ich acuh i.M. sehr kurz angebunden. Aber dazu Mail ich dir dann bei Zeiten.

[5p9]

Hi,

hier mal eine kurze Zusammenfassung was bisher geschah. Ich hoffe der ein oder andere kann mich bei der Konfig etwas unterstützen sollten hier fehlerhafte Werte eingetragen sein. Im Moment mache ich das alles im Blindflug, da ich Tests ausserhalb der regulären Arbeitszeit ansetzten müsste, was natürlich ärgerlich wäre wenn ich hier Fehler gemacht habe.

Installation Addons:

• nginx - is so nicht in den Addons enthalten ummeegge hat hier einen Link bereitgestellt, danke dafür
• Amavis
• Spamassasin
• Clamav

Nun wie hier beschrieben rc und Berechtigung für amavis clamav gesetzt:
http://wiki.ipfire.org/de/addons/mailse ... sin_clamav

Jedoch nicht content_filter=amavis:[127.0.0.1]:10024 gesetzt da ich kein postfix installiert habe.

Config nginx /etc/nginx.conf

Hier denke ich könnte ich ein Problem mit dem smtp-auth bekommen. Seht ihr das auch so?

Code: Select all

user nginx nginx;
worker_processes 1;

error_log /var/log/nginx/error_log debug;

events {
        worker_connections 1024;
        use epoll;
}
http {

        log_format main
                '$remote_addr - $remote_user [$time_local] '
                '"$request" $status $bytes_sent '
                '"$http_referer" "$http_user_agent" '
                '"$gzip_ratio"';


        server {
                listen 127.0.0.1:8008;
                server_name localhost;
                access_log /var/log/nginx/localhost.access_log main;
                error_log /var/log/nginx/localhost.error_log info;

                root /var/www/localhost/htdocs;

                location ~ .php$ {
                        add_header Auth-Server 127.0.0.1;
                        add_header Auth-Port 25;
                        return 200;
                }
        }
}

mail {
        server_name localhost;

        auth_http localhost:8008/auth-smtppass.php;

        server {
                listen 192.168.XXX.YYY:25;
                protocol smtp;
                timeout 5s;
                proxy on;
                xclient off;
                smtp_auth none;
        }
}

Config amavis /etc/amavisd.conf

Ich habe zzgl die Zeilennummer mit angegeben hier die entsprechenden Domain hinterlegen:

Code: Select all

 21 $mydomain = 'meine.domain';   # a convenient default for other settings

Hier habe ich die Werte auf default gelassen, ich denke das das so stimmen sollte:

Code: Select all

103 $virus_admin               = "virusalert\@$mydomain";  # notifications recip.
104
105 $mailfrom_notify_admin     = "virusalert\@$mydomain";  # notifications sender
106 $mailfrom_notify_recip     = "virusalert\@$mydomain";  # notifications sender
107 $mailfrom_notify_spamadmin = "spam.police\@$mydomain"; # notifications sender
108 $mailfrom_to_quarantine = ''; # null return path; uses original sender if undef

Config spamassassin /etc/mail/spamassassin/local.cf

Spamtag setzten lassen:

Code: Select all

 10 #   Add *****SPAM***** to the Subject header of spam e-mails
 11 #
 12  rewrite_header Subject *****SPAM*****

Code: Select all

 15 #   Save spam messages as a message/rfc822 MIME attachment instead of
 16 #   modifying the original message (0: off, 2: use text/plain instead)
 17 #
 18  report_safe 1

Netzwerk definieren:

Code: Select all

 21 #   Set which networks or hosts are considered 'trusted' by your mail
 22 #   server (i.e. not spammers)
 23 #
 24  trusted_networks 192.168.XXX. # vertrauenswürdiges Netzwerk angeben
 25  internal_networks 192.168.XXX.YYY #IP des Mailservers hinter der Fire

Code: Select all

 38 #   Use Bayesian classifier (default: 1)
 39 #
 40  use_bayes 1
 41
 42
 43 #   Bayesian classifier auto-learning (default: 1)
 44 #
 45  bayes_auto_learn 1

Weitere Headers hinterlegt - kommen aus der alten IPCop-Umgebung:

Code: Select all

 48 #   Set headers which may provide inappropriate cues to the Bayesian
 49 #   classifier
 50 #
 51 # bayes_ignore_header X-Bogosity
 52 # bayes_ignore_header X-Spam-Flag
 53 # bayes_ignore_header X-Spam-Status
 54
 55 bayes_ignore_header X-GMX-Antispam
 56 bayes_ignore_header X-AntiVirus
 57 bayes_ignore_header X-AntiSpam
 58 bayes_ignore_header X-Antispam
 59 bayes_ignore_header X-Spamcount
 60 bayes_ignore_header X-Spamsensitivity
 61 bayes_ignore_header X-Sanitizer-URL
 62 bayes_ignore_header X-Sanitizer
 63 bayes_ignore_header X-Sanitizer-Rev
 64 #bayes_ignore_header X-Copfilter
 65 bayes_ignore_header X-Filtered-With
 66 bayes_ignore_header X-Spam-Scanned
 67 bayes_ignore_header X-Virus-Scanned
 68 bayes_ignore_header X-RenAttach-Info
 69 #bayes_ignore_header X-P3Scan
 70 bayes_ignore_header X-Filtered-With

So, die Frage ist sieht das so okay aus? Meinungen und Verbesserungsvorschläge sind erwünscht!

Wie geht amavis, spamassassin und clamav mit verdächtigen Mails um? Habe ich das richtig gesehen das diese unter mail/tmp/ angelegt werden. Ich will nicht das diese gelöscht werden, so das ich auf diese immer zurück greifen könnte.

spamassassin hat ja auch die with- und blacklist_to add@address Funktion, wie könnte ich hier eine blacklist.cf am sinnigsten anlegen?

VG, 5p9