Обновлённый Debian 7: выпуск 7.9
Проект Debian с радостью сообщает о девятом обновлении своего предыдущего стабильного выпуска Debian 7 (кодовое имя wheezy ). Это обновление в основном содержит исправления проблем безопасности стабильного выпуска, а также несколько корректировок серьёзных проблем. Рекомендации по безопасности опубликованы отдельно и указываются при необходимости.
Заметьте, что это обновление не является новой версией Debian 7, но лишь обновлением некоторых включённых в выпуск пакетов. Нет необходимости выбрасывать компакт-диски и DVD с выпуском wheezy , для обновления устаревших пакетов нужно лишь обновиться через актуальное зеркало Debian после установки.
Тем, кто часто устанавливает обновления с security.debian.org, не придётся обновлять много пакетов, большинство обновлений с security.debian.org включены в данное обновление.
Новые установочные носители, образы компакт-дисков и DVD, содержащие обновлённые пакеты, будут доступны позже в обычном месте.
Обновление до этого выпуска по сети производится обычным способом — указанием aptitude (или apt) (см. справочную страницу sources.list(5)) одного из многих FTP или HTTP зеркал Debian. Исчерпывающий список зеркал доступен на странице:
Исправления различных ошибок
Данное обновление предыдущего стабильного выпуска вносит несколько важных исправлений для следующих пакетов:
| Пакет | Причина |
|---|---|
| amd64-microcode | Обновление микрокода |
| base-files | Обновлённая для редакции версия |
| bley | Удаление dnsbl.ahbl.org из настройки по умолчанию, поскольку он был отключён |
| clamav | Новый выпуск основной ветки разработки; исправление деления на ноль и переполнения адресной арифметики в библиотеке libmspack |
| commons-httpclient | Исправление неполного исправления CVE-2012-6153 с проверкой CN [CVE-2014-3577] |
| conky | Объявление отношения Breaks+Replaces с conky ( |
| debian-installer | Использование результата выполнения команды ‘apt-config dump’ для определения того, где искать файл sources.list |
| debian-installer-netboot-images | Повторная сборка с поддержкой новой версии программы установки |
| debian-security-support | Добавление пакета в Wheezy |
| debmirror | Поддержка нового места расположения файла Contents; поддержка HTTPS; добавление опций —keyring, —include-field и —exclude-field |
| debootstrap | Добавление поддержки Stretch; разрешение символьных ссылок для точек монтирования относительно целевого окружения chroot до их размонтирования |
| didjvu | Исправление небезопасного временного файла, используемого при вызове c44 |
| exactimage | Исправление переполнения целых чисел в функции ljpeg_start в dcraw [CVE-2015-3885] |
| frogr | Использование крайних точек SSL для Flickr API; исправление аварийной остановки в gcrypt |
| gamera | Исправление небезопасного использования временного файла [CVE-2014-1937] |
| gnome-shell | Исправление вычисления числа недель |
| hp2xx | Исправление аварийных остановок |
| httpcomponents-client | Исправление проверки, что имя узла сервера совпадает с именем домена в поле CN [CVE-2012-6153, CVE-2014-3577] |
| ikiwiki | Исправление XSS в селекторе openid; обратный перенос дополнения blogspam из экспериментального выпуска, поскольку версия в wheezy более не может использоваться |
| intel-microcode | Обновление микрокода |
| ircd-hybrid | Отключение SSL3 для уменьшения вероятности атаки POODLE |
| lame | Проверка неправильной частоты дискретизации на вводе и числа каналов, предотвращение обработки некорректных wav, вызывающих исключение плавающей точки, исправление проверки, чтобы частота дискретизации была целым числом |
| lcms | Повторное создание пакета для удаления несвободных файлов тестирования и цветовых профилей; исправление отказа в обслуживании [CVE-2013-4160] |
| libdatetime-timezone-perl | Обновление данных |
| libdbd-pg-perl | Исправление проблемы взаимодействия между клиентами Wheezy и более новыми версиями PostgreSQL |
| libfcgi | Решение проблемы с повреждением содержимого стека путём использовани poll(), а не select() |
| libraw | Исправление переполнения целых чисел в функции ljpeg_start [CVE-2015-3885] |
| linux | Обновление до стабильного выпуска 3.2.68; drm, agp: обновление до 3.4.106; [rt] Обновление до 3.2.68-rt99 |
| linux-ftpd-ssl | Исправление NLST пустого каталога приводит к ошибке сегментирования |
| maven | Использование по умолчанию HTTPS при загрузке артефактов из репозитория Maven Central |
| mdbtools | Исправление переполнения в некоторых мемо полях и выводе двоичных данных |
| mediatomb | Отключение по умолчанию пользовательского интерфейса |
| mercurial | Исправление ошибки при обработке чувствительных к регистру имён каталогов, позволяет удалённо выполнять при загрузке код [CVE-2014-9390] |
| mozilla-noscript | Исправление пересчёта сценариев в Iceweasel >= 35 |
| netcf | Исправление ipcalc_netmask; предотвращение утечки памяти при прослушивании интерфейсов |
| open-vm-tools | Обработка изменений структуры в более новых выпусках ядра (d_alias до d_u.d_alias) |
| openafs | Исправление сборки модуля ядра в случае, если d_alias находится в объединении d_u; исправление потенциального повреждения mmapped файлов |
| opencv | Обновление лицензионной информации для модуля gpu |
| openvswitch | Исправление сборки openvswitch-datapath-dkms |
| osc | Исправление инъекции сценария командной оболочки [CVE-2015-0778] |
| partconf | Исключение устройств CD/DVD из поиска разделов |
| pdf2djvu | Исправление небезопасного использования временного файла при вызове c44 |
| pgbouncer | Исправление удалённой аварийной остановки — некорректная последовательность пакетов приводит к поиску NULL-указателя [CVE-2015-4054] |
| phpbb3 | Исправление уязвимости CSRF [CVE-2015-1432] и инъекции CSS [CVE-2015-1431]; исправление возможного перенаправления [CVE-2015-3880] |
| policyd-weight | Удаление использования устаревшего RBL rhsbl.ahbl.org; обновление списка RBL по умолчанию на страницах руководства так, чтобы он соответствовал действительности |
| postgresql-9.1 | Новый выпуск основной ветки разработки |
| rawtherapee | Исправление ошибок с очисткой ввода в dcraw [CVE-2015-3885] |
| spamassassin | Удаление ссылок на DNSBL ahbl.org, который прекратил свою работу |
| ssl-cert | Использование SHA2 для заново создаваемых сертификатов; установка маски режима создания пользовательских файлов, чтобы гарантировать, что создаваемый ключ не открыт всем для чтения во время работы make-ssl-cert |
| sudo | Определение неизменённых файлов sudoers из lenny и squeeze, чтобы избежать вопросов dpkg о файлах настроек при обновлении до wheezy |
| tcllib | Исправление уязвимости XSS в модуле html для элементов |
| tomcat7 | Исправление ошибки FTBFS путём проверки того, чтобы тесты модульного тестирования SSL используют протоколы TLS; повторное создание устаревших сертификатов для тестирования |
| tzdata | Новый выпуск основной ветки разработки |
| unrar-nonfree | Исправление уязвимости, связанной со сменой каталога при помощи символьных ссылок |
| unzip | Исправление unzip считает некоторые файлы символьными ссылками , исправление переполнения буфера и аварийного завершения в zipinfo |
| user-mode-linux | Повторная сборка для текущего ядра |
| vigor | Использование функций регулярных выражений libc вместо имебщихся, чтобы избежать необходимости для независимого применения исправлений безопасности |
| vpim | Сборка для ruby 1.9 (версия по умолчанию в wheezy) |
| wesnoth-1.10 | Исправление безопасности: запрет включения файлов .pbl из WML [CVE-2015-5069, CVE-2015-5070] |
| wireless-regdb | Обновление данных |
Обновления безопасности
В данный выпуск внесены следующие обновления безопасности. Команда безопасности уже выпустила рекомендации для каждого из этих обновлений:
| Идентификационный номер рекомендации | Пакет |
|---|---|
| DSA-2978 | libxml2 |
| DSA-3057 | libxml2 |
| DSA-3076 | wireshark |
| DSA-3118 | strongswan |
| DSA-3119 | libevent |
| DSA-3120 | mantis |
| DSA-3121 | file |
| DSA-3122 | curl |
| DSA-3123 | binutils |
| DSA-3123 | binutils-mingw-w64 |
| DSA-3124 | otrs2 |
| DSA-3125 | openssl |
| DSA-3126 | php5 |
| DSA-3127 | iceweasel |
| DSA-3128 | linux |
| DSA-3129 | rpm |
| DSA-3130 | lsyncd |
| DSA-3131 | xdg-utils |
| DSA-3133 | privoxy |
| DSA-3134 | sympa |
| DSA-3135 | mysql-5.5 |
| DSA-3136 | polarssl |
| DSA-3137 | websvn |
| DSA-3138 | jasper |
| DSA-3139 | squid |
| DSA-3140 | xen |
| DSA-3141 | wireshark |
| DSA-3142 | eglibc |
| DSA-3143 | virtualbox |
| DSA-3145 | privoxy |
| DSA-3146 | requests |
| DSA-3149 | condor |
| DSA-3150 | vlc |
| DSA-3151 | python-django |
| DSA-3152 | unzip |
| DSA-3153 | krb5 |
| DSA-3154 | ntp |
| DSA-3155 | postgresql-9.1 |
| DSA-3156 | vlc |
| DSA-3156 | mplayer |
| DSA-3156 | liblivemedia |
| DSA-3158 | unrtf |
| DSA-3159 | ruby1.8 |
| DSA-3160 | xorg-server |
| DSA-3161 | dbus |
| DSA-3162 | bind9 |
| DSA-3164 | typo3-src |
| DSA-3165 | xdg-utils |
| DSA-3166 | e2fsprogs |
| DSA-3167 | sudo |
| DSA-3168 | ruby-redcloth |
| DSA-3169 | eglibc |
| DSA-3170 | linux |
| DSA-3171 | samba |
| DSA-3172 | cups |
| DSA-3174 | iceweasel |
| DSA-3176 | request-tracker4 |
| DSA-3177 | mod-gnutls |
| DSA-3178 | unace |
| DSA-3180 | libarchive |
| DSA-3181 | xen |
| DSA-3182 | libssh2 |
| DSA-3183 | movabletype-opensource |
| DSA-3184 | gnupg |
| DSA-3185 | libgcrypt11 |
| DSA-3186 | nss |
| DSA-3187 | icu |
| DSA-3188 | freetype |
| DSA-3189 | libav |
| DSA-3190 | putty |
| DSA-3191 | gnutls26 |
| DSA-3192 | checkpw |
| DSA-3193 | tcpdump |
| DSA-3194 | libxfont |
| DSA-3195 | php5 |
| DSA-3196 | file |
| DSA-3197 | openssl |
| DSA-3198 | php5 |
| DSA-3199 | xerces-c |
| DSA-3200 | drupal7 |
| DSA-3201 | iceweasel |
| DSA-3202 | mono |
| DSA-3203 | tor |
| DSA-3204 | python-django |
| DSA-3205 | batik |
| DSA-3206 | dulwich |
| DSA-3207 | shibboleth-sp2 |
| DSA-3208 | freexl |
| DSA-3209 | openldap |
| DSA-3210 | wireshark |
| DSA-3211 | iceweasel |
| DSA-3213 | arj |
| DSA-3214 | mailman |
| DSA-3215 | libgd2 |
| DSA-3216 | tor |
| DSA-3217 | dpkg |
| DSA-3218 | wesnoth-1.10 |
| DSA-3220 | libtasn1-3 |
| DSA-3221 | das-watchdog |
| DSA-3222 | chrony |
| DSA-3223 | ntp |
| DSA-3224 | libxrender |
| DSA-3224 | libx11 |
| DSA-3225 | gst-plugins-bad0.10 |
| DSA-3226 | inspircd |
| DSA-3227 | movabletype-opensource |
| DSA-3228 | ppp |
| DSA-3229 | mysql-5.5 |
| DSA-3230 | django-markupfield |
| DSA-3231 | subversion |
| DSA-3232 | curl |
| DSA-3233 | wpa |
| DSA-3237 | linux |
| DSA-3243 | libxml-libxml-perl |
| DSA-3245 | ruby1.8 |
| DSA-3248 | libphp-snoopy |
| DSA-3249 | jqueryui |
| DSA-3250 | wordpress |
| DSA-3251 | dnsmasq |
| DSA-3252 | sqlite3 |
| DSA-3253 | pound |
| DSA-3257 | mercurial |
| DSA-3259 | qemu |
| DSA-3259 | qemu-kvm |
| DSA-3260 | iceweasel |
| DSA-3261 | libtest-signature-perl |
| DSA-3261 | libmodule-signature-perl |
| DSA-3262 | xen |
| DSA-3263 | proftpd-dfsg |
| DSA-3265 | zendframework |
| DSA-3266 | fuse |
| DSA-3268 | ntfs-3g |
| DSA-3269 | postgresql-9.1 |
| DSA-3271 | nbd |
| DSA-3272 | ipsec-tools |
| DSA-3273 | tiff |
| DSA-3274 | virtualbox |
| DSA-3277 | wireshark |
| DSA-3278 | libapache-mod-jk |
| DSA-3280 | php5 |
| DSA-3282 | strongswan |
| DSA-3283 | cups |
| DSA-3284 | qemu |
| DSA-3285 | qemu-kvm |
| DSA-3286 | xen |
| DSA-3287 | openssl |
| DSA-3289 | p7zip |
| DSA-3290 | linux |
| DSA-3291 | drupal7 |
| DSA-3295 | cacti |
| DSA-3296 | libcrypto++ |
| DSA-3297 | unattended-upgrades |
| DSA-3298 | jackrabbit |
| DSA-3300 | iceweasel |
| DSA-3302 | libwmf |
| DSA-3303 | cups-filters |
| DSA-3304 | bind9 |
| DSA-3305 | python-django |
| DSA-3308 | mysql-5.5 |
| DSA-3309 | tidy |
| DSA-3310 | freexl |
| DSA-3312 | cacti |
| DSA-3318 | expat |
| DSA-3319 | bind9 |
| DSA-3320 | openafs |
| DSA-3321 | opensaml2 |
| DSA-3321 | xmltooling |
| DSA-3322 | ruby-rack |
| DSA-3323 | icu |
| DSA-3325 | apache2 |
| DSA-3326 | ghostscript |
| DSA-3327 | squid3 |
| DSA-3329 | linux |
| DSA-3330 | activemq |
| DSA-3331 | subversion |
| DSA-3333 | iceweasel |
| DSA-3335 | request-tracker4 |
| DSA-3336 | nss |
| DSA-3337 | gdk-pixbuf |
| DSA-3338 | python-django |
| DSA-3340 | zendframework |
| DSA-3341 | conntrack |
| DSA-3344 | php5 |
| DSA-3345 | iceweasel |
Удалённые пакеты
Следующие пакеты были удалены из-за обстоятельств, на которые мы не можем повлиять:
| Пакет | Причина |
|---|---|
| cia-clients | Бесполезен, так как cia.vc больше нет |
| get-iplayer | Сломан из-за изменений поставщика содержимого |
| typo3-src | Более не поддерживается |
URL
Полный список пакетов, которые были изменены в данной редакции:
Текущий предыдущий стабильный выпуск:
Предлагаемые обновления для предыдущего стабильного выпуска:
Информация о предыдущем стабильном выпуске (информация о выпуске, известные ошибки и т. д.):
Анонсы безопасности и информация:
О Debian
Проект Debian — объединение разработчиков свободного программного обеспечения, которые жертвуют своё время и знания для создания абсолютно свободной операционной системы Debian.
Контактная информация
Более подробную информацию вы можете получить на сайте Debian https://www.debian.org/, либо отправив письмо по адресу , либо связавшись с командой стабильного выпуска по адресу .
Назад к остальным новостям Debian или на домашнюю страницу проекта Debian.
Эта страница также доступна на следующих языках:
Как установить язык по умолчанию
- О Debian
- Общественный договор
- Кодекс поведения
- Свободное ПО
- Партнёры
- Пожертвования
- Юридическая информация
- Защита персональных данных
- Как с нами связаться
- Где взять Debian
- Установка по сети
- ISO-образы CD/USB
- Поставщики CD
- Предустановка
- Новости
- Новости проекта
- События
- Информация о выпусках
- Инструкции по установке
- Книги о Debian
- Вики-страницы Debian
- Поддержка
- Международный Debian
- Информация о безопасности
- Сообщения об ошибках
- Списки рассылки
- Архивы списков рассылки
- Перенос на другие архитектуры
- Карта сайта
- Поиск
- Блог Debian
- Микроновости Debian
- Планета Debian
Для связи обратитесь к нашей странице контактов. Также доступен исходный код веб-сайта.
Последнее изменение: Срд, 3 Апр 2019, 23:26:13 UTC Последняя сборка: Пнд, 11 Дек 2023, 03:14:24 UTC
Авторские права © 2015-2023 SPI и другие; См. условия лицензии
Debian является зарегистрированным товарным знаком компании Software in the Public Interest, Inc. (Программное обеспечение в интересах общества)Dnsbl ahbl org как удалить
dnsbl.ahbl.org, tor.ahbl.org
вот эти два думаю можно убрать из списка спам листов т.к на любой ip они возвращают результат.Комментарий пока не оценивали 0
Посмотреть Добавить в закладки
Можно попробовать racktables для этих целей использовать
Всего голосов 1: ↑1 и ↓0 +1
Посмотреть Добавить в закладкиЯ ожидал отсутствие backdoor после очередного фикса, ну и добросовестности производителя конечно же.
Кстати говоря про китайцев. На деле они оказываются куда более защищёнными, во первых каждый производитель пилит свой интерфейс к камере — что сужает вектор атаки, да и то, что китайцы не апдейтят свой софт — клише.Всего голосов 1: ↑1 и ↓0 +1
Посмотреть Добавить в закладкиДоступ к какого рода камерам предоставят? Конечно интереснее всего смотреть за парковкой перед домом (вход в подъезд).
Будут ли такие камеры доступны рядовым пользователям?Всего голосов 2: ↑2 и ↓0 +2
Посмотреть Добавить в закладки
на камерах разрешение не ахти — проще уж символ.
Всего голосов 1: ↑1 и ↓0 +1
Посмотреть Добавить в закладки
Реквестую — веб интерфейс со встроенным плеером — лениво копировать урл каждый раз)
Всего голосов 8: ↑8 и ↓0 +8
Посмотреть Добавить в закладки
насчёт 64х линукса — коллеги вроде не жаловались.Залипающий kvm, который приходится ребутить, пропадающий ip при выключении питания — глюков у супермикры много.
Тоже не сталкивался. Один сервер был с переодически недоступны IPMI ( переставал видеть шлюз сети через 30 минут вновь его видел).
Вероятно у вас опыта побольше — как никак ДЦ. Тем не менее работать с SM существенно проще чем с hp или dell (с того же линукса).Комментарий пока не оценивали 0
Посмотреть Добавить в закладкиПользовался разными средствами (HP iLO, Dell DRAC, IBM IMM, SM IPMI, Intel RMM).
iLO — просит денег, DRAC- особо нареканий нет, но и плюсов тоже не обнаружил, IBM — просит денег ну и особо удобным я его не назвал бы. RMM — не под всеми ОС/браузерами работает.
ИМХО SuperMicro вне конкуренции, работает — денег не просит, и штатно умеет всё делать + адекватно работает на всех платформах.Всего голосов 2: ↑1 и ↓1 0
Посмотреть Добавить в закладкиРассказ в стиле «скандалы интриги расследования», представляю себе подобный разбор на северокорейском форуме отечественных МСВС или БолгенОС.
Всего голосов 4: ↑4 и ↓0 +4
Посмотреть Добавить в закладки
12 таких штук стоят 10$, и никто не жужжит)
Всего голосов 1: ↑1 и ↓0 +1
Посмотреть Добавить в закладки
к разговору о справедливости «маржи» просто оставлю здесь
Всего голосов 2: ↑2 и ↓0 +2
Посмотреть Добавить в закладкиНа работе использую racktables. Оч удобно учитывать оборудования, сетей и тд. Проект развивается. Гибкая настройка прав доступа.
Комментарий пока не оценивали 0
Посмотреть Добавить в закладкиDyr, видимо мы «избалованны» продакшеном и бюджетами.
StepanTomsk, Реальный мир таков, что обычно право руководство. И сколько бы бумажек не напиши, крайним будет технический исполнитель, потому как не настоял на своём решение.
Искренне надеюсь что у вас это не так.Всего голосов 1: ↑1 и ↓0 +1
Посмотреть Добавить в закладкиАдская схема для организации хранения данных.
Какова вероятность того что навернётся md3? Какова вероятность того что навернётся md4 в целом?
Рассуждения на тему надежности RAID5Также я не завидую тому кто будет разбираться в данной схеме в случае поломки во время вашего отпуска/больничного/смены места работы.
2) Нет ничего плохого в экономичности. Сокращенные ресурсы заставляют мозг работать и искать варианты, а не действовать по шаблону.
Да, согласен, что ограниченный бюджет заставляет мозги думать, но он никак вас не оправдает в глазах того же руководства после фатального факапа.
unixforum.org
Решено: EXIM и фильтры (Не работают фильтры)
Обсуждение настройки и работы сервисов, резервирования, сетевых настроек и вопросов безопасности ОС.
Модератор: SLEDopit
6 сообщений • Страница 1 из 1
leksstav Сообщения: 329Решено: EXIM и фильтры
Сообщение leksstav » 13.10.2009 00:59
Такая вот трабла с с конфигом эксима, не работают фильтры.
Кто может помочь в этом вопросе ? В режике по спам листам банит и все пока что.$this_var = "primary_hostname = suseguru.suseguru.ru hide mysql_servers = 127.0.0.1/postfix/postfix/postfixadmin domainlist local_domains = $' AND \ `active`='1'>> domainlist relay_to_domains = $' AND \ `active`='1'>> hostlist relay_from_hosts = localhost:127.0.0.0/8:192.168.100.0/24 av_scanner = clamd:/var/lib/clamav/clamd-socket acl_smtp_rcpt = acl_check_rcpt acl_smtp_data = acl_check_data qualify_domain = suseguru.ru qualify_recipient = suseguru.ru allow_domain_literals = false # Пользователь от которого работает exim exim_user = mail # группа в кторой работает exim exim_group = mail # запрещаем работу доставки под юзером root - в целях безопасности never_users = root rfc1413_query_timeout = 0s sender_unqualified_hosts = +relay_from_hosts recipient_unqualified_hosts = +relay_from_hosts ignore_bounce_errors_after = 45m timeout_frozen_after = 15d helo_accept_junk_hosts = 192.168.100.0/24 auto_thaw = 1h smtp_banner = "$primary_hostname, ESMTP EXIM $version_number" smtp_accept_max = 50 smtp_accept_max_per_connection = 100 smtp_connect_backlog = 30 smtp_accept_max_per_host = 20 split_spool_directory = true remote_max_parallel = 15 return_size_limit = 70k message_size_limit = 64M helo_allow_chars = _ smtp_enforce_sync = true log_selector = \ +all_parents \ +connection_reject \ +incoming_interface \ +lost_incoming_connection \ +received_sender \ +received_recipients \ +smtp_confirmation \ +smtp_syntax_error \ +smtp_protocol_error \ +queue_run syslog_timestamp = no #hide mysql_servers = 127.0.0.1/mail/admin/my4sitecms ### конфигурация ACL для входящей почты begin acl acl_check_rcpt: # принимать сообщения которые пришли с локалхоста, # не по TCP/IP accept hosts = : warn condition = $> hosts = !+relay_from_hosts : * set acl_m0 = $ # Запрещаем письма содержащие в локальной части # символы @; %; !; /; |. Учтите, если у вас было # `percent_hack_domains` то % надо убрать. # Проверяются локальные домены deny message = "incorrect symbol in address" domains = +local_domains local_parts = ^[.] : ^.*[@%!/|] # Проверяем недопустимые символы для # нелокальных получателей: deny message = "incorrect symbol in address" domains = !+local_domains local_parts = ^[./|] : ^.*[@%!] : ^.*/\\.\\./ # Принимаем почту для постмастеров локальных доменов без # проверки отправителя (я закомментировал, т.к. это - # основной источник спама с мой ящик). accept local_parts = postmaster domains = +local_domains # Запрещщаем тех, кто не обменивается приветственными # сообщениями (HELO/EHLO) deny message = "HELO/EHLO require by SMTP RFC" condition = $<>> # Принимаем сообщения от тех, кто аутентифицировался: accept authenticated = * # . # Рубаем нах, тех, кто подставляет свой IP в HELO # deny message = "Your IP in HELO - access denied!" hosts = * : !+relay_from_hosts condition = $\ > # Рубаем тех, кто в HELO пихает мой IP (2500 плохих за месяц!) deny condition = $\ > hosts = !127.0.0.1 : !localhost : * message = "main IP in your HELO! Access denied!" # ############################################# # Рубаем тех, кто в HELO пихает только цифры # (не бывает хостов ТОЛЬКО из цифр) deny condition = $\ <\N^\d+$\N>> hosts = !127.0.0.1 : !localhost : * message = "can not be only number in HELO!" # Рубаем тех, кто не пишет отправителя deny condition = $<>> hosts = !127.0.0.1 : !localhost : * message = "А какого HELO пустое?! Не по RFC. " # Рубаем тех, кто не пишет отправителя (пробел) deny condition = $<\N^\s+$\N>> hosts = !127.0.0.1 : !localhost : * message = "А какого HELO пустое (тока пробелы)?! Не по RFC. " # Рубаем тех, кто не пишет отправителя deny condition = $<>> hosts = !127.0.0.1 : !localhost : * message = "Where sender of this mail?!" # Рубаем хосты типа *adsl*; *dialup*; *pool*;. # Нормальные люди с таких не пишут. Если будут # проблемы - уберёте проблемный пункт (у меня клиенты # имеют запись типа asdl-1233.zone.su - я ADSL убрал. ) deny message = "your hostname is bad (adsl, poll, ppp & etc)." condition = $\ > warn # ставим дефолтовую задержку в 20 секунд set acl_m0 = 30s warn # ставим задержку в 0 секунд своим хостам и # дружественным сетям (соседняя контора :)) #hosts = +relay_from_hosts:89.109.7.30/29 #set acl_m0 = 0s #warn # пишем в логи задержку (если оно вам надо) logwrite = Delay $acl_m0 for $sender_host_name \ [$sender_host_address] with HELO=$sender_helo_name. Mail \ from $sender_address to $local_part@$domain. delay = $acl_m0 # Проверка получателя в локальных доменах. # Если не проходит, то проверяется следующий ACL, # и если непрошёл и там - deny accept domains = +local_domains endpass message = "In my mailserver not stored this user" verify = recipient # Проверяем соответствие HELO и обратной записи DNS для севера: warn condition = $> hosts = !+relay_from_hosts : * set acl_m0 = $ # logwrite = "STAGE1: ACL m0 set = $acl_m0 for \ #host=$sender_host_name [$sender_host_address] with \ #HELO=$sender_helo_name - reverse sone not match with HELO" # Смотрим, нашлась ли обратная запись для этого хоста warn condition = $> hosts = !+relay_from_hosts : * set acl_m0 = $ # logwrite = "STAGE2: ACL m0 set = $acl_m0 for \ #host=$sender_host_name [$sender_host_address] with \ #HELO=$sender_helo_name - no reverse zone for host" # Считем число точек или дефисов в доменном имени. (больше 4-х - в топку) warn condition = $ \w+[\.|\-]))\N>> hosts = !+relay_from_hosts : * set acl_m0 = $ # logwrite = "STAGE4: ACL m0 set = $acl_m0 for \ #host=$sender_host_name [$sender_host_address] with \ #HELO=$sender_helo_name - more dots in name" # Проверяем длинну обратного почтовго адреса - пследнее время повадились # слать с безумными обратными адресами типа Fulbrightbackstage@absacargo.com, # damsel'stailpipe`s@abbeywindows.co.uk и т.п. warn condition = $>> hosts = !+relay_from_hosts : * set acl_m0 = $ # logwrite = STAGE6: ACL m0 set = $acl_m0 for \ #host=$sender_host_name [$sender_host_address] with HELO=$sender_helo_name \ #- many big sender address [$sender_address] # Добавляем очков за всякие dialup хосты warn condition = $ Отправляю себе батник, а письмо пришло.
Хотя фильтр в конфиге экзима должен был батник рубануть
# Рубаем по расширениям
deny message = contains $found_extension file (blacklisted).
demime = com:vbs:bat:pif:scr:exeMust remove dnsbl.ahbl.org from external spamlist
If anyone has this entry at EDIT#41 AND EDIT#42 please note that you need to delete or comment the dnsbl.ahbl.org AND rhsbl.ahbl.org.
Info on their website:
As promised, on Jan 1st, 2015, i’ll be wildcarding all zones no longer in operation — this includes rhsbl.ahbl.org, dnsbl.ahbl.org, and ircbl.ahbl.org. This means that these services will return positive responses for any queries.
The query load is still high enough that I can not justify allocating the resources necessary to support queries from people who refuse to properly maintain their mail servers.
If you are still using these services, this may cause you to incorrectly tag e-mail as spam, or create other unintended consequences. Fix and maintain your servers, now.
Last edited: Jan 7, 2015
northtones
Verified User
Joined May 2, 2013 Messages 25
Found out the hard way on this one. Pretty ugly as it was blocking almost everything. Little panic fun this morning.
Dennis
Verified User
Joined Nov 13, 2004 Messages 135 Location The Netherlands
Yep, same here. Do not forget to comment EDIT#42 too (rhsbl.ahbl.org). It is the same server.zEitEr
Super Moderator
Joined Apr 11, 2005 Messages 15,113 Location GMT +7.00
It’s also reported here http://forum.directadmin.com/showthread.php?t=48774
If you have exim.conf 4.x from Custombuild 2.x there is nothing to worry about, as it is already removed:# New version 4.2.1 removes obsolete dnsbl.njabl.org blocklist
# and two ahbl blocklists; see: # http://forum.directadmin.com/showthread.php?t=48774
# Edit#42 : entire section now commented out as there is no otherDennis
Verified User
Joined Nov 13, 2004 Messages 135 Location The Netherlands
Sorry, did not see that thread, I searched the forum on «ahbl» but it did not show in the results.
Thanks for pointing to it.
northtones
Verified User
Joined May 2, 2013 Messages 25
I am still having things from dnsbl.ahbl.org flagged in a lot of messages. I plan on upgrading all our servers, but we are talking about 30+ of them. For the time being is there a way to shut score for «* 2.4 DNS_FROM_AHBL_RHSBL RBL: Envelope sender listed in dnsbl.ahbl.org» off? Or am I just missing something?
X-Spam-Report:
* 2.4 DNS_FROM_AHBL_RHSBL RBL: Envelope sender listed in dnsbl.ahbl.org
* -0.0 SPF_PASS SPF: sender matches SPF record
* 0.0 HTML_IMAGE_ONLY_32 BODY: HTML: images with 2800-3200 bytes of words
* 0.0 HTML_MESSAGE BODY: HTML included in message
* 1.1 MIME_HTML_ONLY BODY: Message only has text/html MIME parts
* 0.6 HTML_MIME_NO_HTML_TAG HTML-only message, but there is no HTML tag
* 2.0 MIME_HEADER_CTYPE_ONLY ‘Content-Type’ found without required MIME
* headersHere is what I have in my exim.conf
#EDIT#41:
deny message = Email blocked by $dnslist_domain
hosts = !+relay_hosts
domains = +use_rbl_domains
domains = !+skip_rbl_domains
!authenticated = *
dnslists = \
cbl.abuseat.org : \
bl.spamcop.net : \
# combined.rbl.msrbl.net : \
b.barracudacentral.org : \
zen.spamhaus.org
# hostkarma.junkemailfilter.com=127.0.0.2#EDIT#42:
#deny message = Email blocked by $dnslist_domain
# hosts = !+relay_hosts
# domains = +use_rbl_domains
# domains = !+skip_rbl_domains
# !authenticated = *
# dnslists = \
# rhsbl.ahbl.org/$sender_address_domain