Relay do Qmail pelo pfSense

donardo

Boa tarde pessoal!

Não queria abrir o tópico pois achei que só pesquisando no fórum encontraria a solução para meu problema.
Mas não teve outro jeito vou precisar de ajuda da comunidade pfSense.

Tenho a seguinte situação:

• Um servidor de e-mails rodando Qmail (muito mal configurado, já está assim a anos)
• Uma maquina rodando pfSense

Queria fazer o pfSense de relay para esse meu qmail, para assim agilizar na entrega das mensagens como melhorar o filtro de spam.

Já baixei o pacote do Postfix Forwarding no pfSense só que minha duvida está na configuração.
O que devo fazer depois de instala-lo?
Preciso autentificar os usuários nele?
Preciso liberar a faixa de ips?
Preciso instalar mais alguma coisa para filtrar os SPAM?

Se alguém puder me dar uma luz sobre isso fico muito agradecido, talvez o tópico venha ajudar alguns amigos que possam a vir passar pela mesma situação.

Agradeço desde já!

marcelloc

Donardo,

Primeiramente, bem vindo ao fórum!  :)

@donardo:

O que devo fazer depois de instala-lo?

olhar as opções de todas as abas em services -> postfix forwarder e configurar em quais interfaces você vai escutar o daemon.

@donardo:

Preciso autentificar os usuários nele?

Ainda não incluí nenhuma função de autenticação no pacote.

@donardo:

Preciso liberar a faixa de ips?

dentro de access lists, cadastre os ips que podem enviar emails para a internet em mynetwork.
Se o seu qmail faz autenticação, continue apontando os usuarios para ele e configure no qmail o ip do postfix como smart host.
Desta forma o qmail autentica, recebe e repassa para o postfix.

@donardo:

Preciso instalar mais alguma coisa para filtrar os SPAM?

Se quiser passar um antivirus e ter um controle maior no conteúdo da mensagem, instale também o mailscanner.

att,
Marcello Coutinho

donardo

Obrigado Marcelo,  ;)

Então em resumo, se eu apontar o meu Qmail para o pfSense ele vai começar a mandar os e-mail diretamente pelo Postfix?
Estava vendo alguma coisa sobre "Valid recipients" não é preciso incluir os que utilizaram o Relay?

marcelloc

Valid recipients é usado para rejeitar emails nao cadastrados no domínio.

Nao esqueça de conferir se o ip do pfsense é mx do domínio e de remover o nat antes de subir o postfix, se a lista estiver vazia ele aceita qualquer destinatário para o domínio cadastrado.

donardo

Vou aproveitar o tópico já aberto por mim mesmo  ;D

Estava utilizando o relay tranquilamente até ontem quando comecei a usar o Postfix Forwarder também até ai tudo bem.
Fui dar uma olhada nas opções de Antispam e marquei a seguinte opção Use Third part antispam depois disso algumas coisas não
continuaram funcionando como deveriam.

O Forwarding está funcionando mas o relay não. Todos os e-mails que meu Qmail envia para o pfSense ficam na fila do Qmail e não são mais enviados.
Já desmarquei a opção e nada de funcionar tente reinciar o pacote e nada também.

Alguém de ideia do que posso fazer?

marcelloc

@donardo:

Fui dar uma olhada nas opções de Antispam e marquei a seguinte opção Use Third part antispam depois disso algumas coisas não
continuaram funcionando como deveriam.

Qual ferramenta você marcou? você instalou o mailscanner? você provavelmente esta com todas as mensagens na pasta hold esperando algum antispam (mailscanner) filtrar as mensagens e devolver ao postfix.

donardo

Pois então…
Não instalei nenhum, deve ser esse meu problema.
Eu quase fui lá e instalei mas antes de fazer mais bobagens preferi pedir ajuda dos universitários hehe :D

donardo

Só para constar.
Segui a sugestão do @marcelloc e deu certo, meu relay voltou a funcionar.

Próximo passo vai ser configurar o mailscanner para funcionar legal e depois quem sabe implementar o MailWatch. Até falando nisso, alguem já o instalou no pfSense?

Não vi nenhum pacote nativo para pfSense só alguns métodos alternativos para a instalação.

marcelloc

@donardo:

Próximo passo vai ser configurar o mailscanner para funcionar legal e depois quem sabe implementar o MailWatch. Até falando nisso, alguem já o instalou no pfSense?

O mailwatch quebra o pfsense 2.0 por conta da diferença de versão do php

você pode testar no 2.1.

Algumas funções do mailwatch você consegue implementar no pfsense, mas a parte de spam por caixa não vai funcionar já que o postfix passa tudo para o servidor interno.

att,
Marcello Coutinho

donardo

A batalha com continua…

Instalei o MailScanner mas não tinha colocado para rodar ainda, depois que o coloquei comecei a acompanhar o maillog e começou a exibir os seguintes warnings e erros:

Jun 27 09:03:01 mx MailScanner[29194]: Using SpamAssassin results cache
Jun 27 09:03:01 mx MailScanner[29194]: Connected to SpamAssassin cache database
Jun 27 09:03:02 mx MailScanner[29194]: Enabling SpamAssassin auto-whitelist functionality...
Jun 27 09:03:06 mx MailScanner[35880]: I have found clamavmodule scanners installed, and will use them all by default.
Jun 27 09:03:06 mx MailScanner[35880]: ClamAV Module ERROR:: Could not load databases from /var/db/clamav
Jun 27 09:03:06 mx MailScanner[36179]: MailScanner E-Mail Virus Scanner version 4.83.5 starting...
Jun 27 09:03:06 mx MailScanner[36179]: Reading configuration file /usr/local/etc/MailScanner/MailScanner.conf
Jun 27 09:03:06 mx MailScanner[36179]: Reading configuration file /usr/local/etc/MailScanner/conf.d/README
Jun 27 09:03:06 mx MailScanner[36179]: Syntax error in line 145, value "" for allowscripttags is not one of allowed values "yes","disarm","no"

un 27 09:47:57 mx postfix/postscreen[17599]: fatal: btree:/var/db/postfix/postscreen_cache: unable to get exclusive lock: Resource temporarily unavailable
Jun 27 09:47:58 mx postfix/master[16461]: warning: process /usr/local/libexec/postfix/postscreen pid 17599 exit status 1
Jun 27 09:47:58 mx postfix/master[16461]: warning: /usr/local/libexec/postfix/postscreen: bad command startup -- throttling

Como havia comentando, depois de ativei a opção na aba do postfix "Use Third part antispam" as coisas começaram a não funcionar mais muito bem.

marcelloc

Verifica cada aba do mailscanner, salvando a configuração em cada uma. Isso deve resolver a falta do parametro na linha 145

Rode o freshclam na console para atualizar a base de dados do antivirus.

donardo

Desativei o Mailscanner mas continuam aparecendo isso nos logs do Postfix:

Jul  3 23:20:07 mx postfix/postscreen[57397]: fatal: btree:/var/db/postfix/postscreen_cache: unable to get exclusive lock: Resource temporarily unavailable
Jul  3 23:20:08 mx postfix/master[9340]: warning: process /usr/local/libexec/postfix/postscreen pid 57397 exit status 1
Jul  3 23:20:08 mx postfix/master[9340]: warning: /usr/local/libexec/postfix/postscreen: bad command startup – throttling

Alguma ideia?

donardo

Enviei na empolgação e não tinha pesquisado.
Encontrei isso:
http://forum.pfsense.org/index.php?action=printpage;topic=46334.0

Só não entendi o porque de rodar esse comando?!

marcelloc

Qual comando? O freshclam? Se estiver usando o maiscanner, é melhor usa-lo com a base atualizada.

donardo

@marcelloc

Na verdade o meu problema está em que que postfix não está mais enviando os e-mails que o Qmail está passando para ele.
E acho que está relacionado ao erros que acusam no log.

Jul  3 23:20:07 mx postfix/postscreen[57397]: fatal: btree:/var/db/postfix/postscreen_cache: unable to get exclusive lock: Resource temporarily unavailable
Jul  3 23:20:08 mx postfix/master[9340]: warning: process /usr/local/libexec/postfix/postscreen pid 57397 exit status 1
Jul  3 23:20:08 mx postfix/master[9340]: warning: /usr/local/libexec/postfix/postscreen: bad command startup -- throttling

marcelloc

Já tentou reinstalar os pacotes?

Nunca vi este erro do postscreen nos meus servidores

donardo

Bom, resetei todo meu pfSense instalei o pacote do Postfix novamente e agora a principio tudo funciona.
A unica coisa que percebi nos logs é esse warning

Jul  5 10:16:57 mx postfix/smtpd[25918]: warning: connect to private/anvil: Connection refused
Jul  5 10:16:57 mx postfix/smtpd[25918]: warning: problem talking to server private/anvil: Connection refused
Jul  5 10:16:58 mx postfix/smtpd[25918]: warning: connect to private/anvil: Connection refused
Jul  5 10:16:58 mx postfix/smtpd[25918]: warning: problem talking to server private/anvil: Connection refused

marcelloc

Este daemon controla a quantidade de conexões por segundo ou por host. Estes warnings aparecem porque ela esta desabilitada por padrão. Se quiser habilitar, acesse a aba antispam do postfix, campo Anvil Daemon

att,
Marcello Coutinho

donardo

Tempo passou e meu problema:
Jul  3 23:20:07 mx postfix/postscreen[57397]: fatal: btree:/var/db/postfix/postscreen_cache: unable to get exclusive lock: Resource temporarily unavailable
Jul  3 23:20:08 mx postfix/master[9340]: warning: process /usr/local/libexec/postfix/postscreen pid 57397 exit status 1
Jul  3 23:20:08 mx postfix/master[9340]: warning: /usr/local/libexec/postfix/postscreen: bad command startup – throttling

Continuou...

Fui ler com mais atenção o tópico...
http://forum.pfsense.org/index.php?action=printpage;topic=46334.0

E vi que você @marcelloc respondeu para o cara o seguinte:
"You can workaround this issue by listening postfix on localhost only and then nat external ips to 127.0.0.1."

Só que não entendi muito bem como realizar isso, podem me dar uma luz?

Agradecido  8)

marcelloc

@donardo:

Fui ler com mais atenção o tópico…
http://forum.pfsense.org/index.php?action=printpage;topic=46334.0

E vi que você @marcelloc respondeu para o cara o seguinte:
"You can workaround this issue by listening postfix on localhost only and then nat external ips to 127.0.0.1."

Esta configuração é para usar o postfix quando o pfsense está trabalhando em duas caixas com o carp ativado.
Você coloca o postfix na 127.0.0.1 e usa o nat para fazer o forward do ip válido(carp) para o daemon.