daily, security mail - permission denied

Dan Lukes dan at obluda.cz
Thu Jan 16 16:57:55 CET 2003


Martin Salac wrote:
> Pokusil jsem se vyridit frontu:
> 
> mailserver# sendmail -v -qR
> 
> Running /var/spool/mqueue/h0G6QTsS048552 (sequence 1 of 71)
> <root at stanice1.mojedomena.cz>... Connecting to stanice1.mojedomena.cz. 
> via esmtp
> ...
> <root at stanice1.mojedomena.cz>... Deferred: Permission denied

	No, ta cast, ktera je nahrazena "..." je dost podstatna a je vazne 
skoda, ze byla odstranena ...

	Pokud je tato cast prazdna, mohlo by jit o nastaveni firewallu (neni 
dovoleno navazat spojeni na stanice1.mojedomena.cz port 25).

	Pokud to tu chybu ohlasi jako bezprostredni odpoved na prikaz "DATA" - 
pak jsou chybne nejspise prava do adresare /var/spool/mqueue na cilove 
stanici (tedy stanice1.mojedomena.cz).

	Pokud to tu chybu ohlasi az na zaver po predani dat, muze to byt bud' 
totez jak jiz uvedeno, pripadne mohou byt chybna prava do ciloveho 
adresare (/var/mail) pripadne je problem s pravy k programu mail.local, 
ktery zajistuje doruceni lokalni posty.

	V prvnim pripade je treba proverit schopnost spojit se na cilovy server 
(telnet stanice1.mojedomena.cz 25).

	V druhych dvou pripadech je rozumne prostudovat /var/log/maillog na 
cilovem pocitaci - tam by v kazdem pripade mel byt zaznam o spojeni a 
krome toho by tam melo byt vice udaju o chybe.

	A pokdu tohl enepomuze - pro dalsi analyzu by opravdu pomohlo prestat 
si hrat na "tajemstvi" a rozklicovat co to doopravdy je 
stanice1.mojedomena.cz, jake jsou presne adresy pouzite v mailech a tak 
dale. Ladeni nejakeho ciziho problemu "na dalku" je samo od sebe pomerne 
obtizny ukol - a pokud jeste  ke vsemu probiha prostrednictvim 
"filtrujiciho terminalu" muze byt zcela nemozne.

> Jakoby se mailserver dobyval zpet na stanici1. Ale proc?
> Vzdycky jsem si myslel, ze mail by mel dopadnout na stroj s MX zaznamem
> (mailserver) a na nem by se mela provest akce - bud poslat kam je
> urcen, nebo zaradit do /var/mail/* pokud patri mailserveru ... nebo se
> pletu?

	Ano a ne.

	U mailu se nejprve urci, jestli je "lokalni" - to se urcuje oproti 
seznamu "lokalnich" domen, tak jak jsou nastaveny v konfiguraci.

	Lokalni maily se predaji k vyrizeni programu mail.local (pokud 
virtusertable nebo alias nebo usertable nerikaji jinak) - tim prace 
sendmailu konci (ano, mail.local je obvykle zaradi to /var/mail/${USER})

	Nelokalni maily se predavaji podle MX (pokud mailertable nerika jinak) 
- pricemz, pokud se ukaze, ze uz neexistuje lepsi MX, ale mail presto 
neni (podle konfigurace) lokalni, pak jde o "local configuration error" 
a mail se vraci jako nedorucitelny.

	Nebo, jeste presneji - vyse uvedene plati pro "obvykle sendmail.cf" - 
chovani samozrejme muze byt naprosto (kdyz rikam naprosto opravdu myslim 
naprosto) odlisne - pokud si nekdo napise sendmail.cf, kterym ono 
naprosto odlisne chovani zpusobi.

					Dan

-- 
Dan Lukes      tel: +420 2 21914205, fax: +420 2 21914206
root  of FIONet,  KolejNET,  webmaster  of www.freebsd.cz
AKA: dan at obluda.cz, dan at freebsd.cz, dan at kolej.mff.cuni.cz




More information about the Users-l mailing list