Самый Популярный Контент

#!/bin/sh

DKIM_ENABLE = yes

#Временное решенеи проти ошибки в логах
keep_environment =

# Интерфейсы, которые слушаем
local_interfaces = 1.1.1.1 : 1.1.1.2

local_scan_path = /usr/lib/exim4/local_scan/sa-exim.so

# моя конфига экзма. Будь проклят тот день,
# когда мне пришла в голову мысль подписать
# русские поясния ко всем пунктам! :) Хоть и
# делал я это в первую очередь для себя -
# чтоб лучше понять его, но работа эта оказалась
# слишком масштабная и неблагодарная...

# Имя хоста. Используется в EHLO.
# Фигурирует в других пунктах, если они не заданы -
# типа qualify_domain и прочих..
# Если тут ничё не установлено (строка закомметрована)
# то используется то, что вернёт функция uname()
smtp_active_hostname = ${if eq {$received_ip_address}{1.1.1.1}{mx1.example.ru}{mx1.example.com}}
smtp_banner = "$smtp_active_hostname, ESMTP EXIM $version_number"

# Вводим данные для подключения к MySQL серверу.
# словечко `hide`, вначале, означает, что при
# вызове проверки конфига командой
# exim -bV config_file эти данные не будут отображаться.
# Если без него - то будут показаны... Формат записи:
# хост/имя_бд/пользователь/пароль
#hide mysql_servers = localhost/exim/exim_s/YurayaeDNYVJUsdN

#Настройка TLS
tls_on_connect_ports = 465
tls_advertise_hosts = *
tls_certificate = /etc/exim4/ssl/$received_ip_address.crt
tls_privatekey = /etc/exim4/ssl/$received_ip_address.key

# Делаем список локальных доменов. Далее этот
# список будет фигурировать в виде +local_domains
# В данном случае домены выбираются из БД MySQL. Также
# можно их просто перечислить через двоеточие. Есть интересная
# возможность, можно указать юзер@[хост] - lissyara@[222.222.4.5]
#domainlist local_domains = ${lookup mysql{SELECT `domain` \
#FROM `domain` WHERE \
#`domain`='${domain}' AND \
#`active`='1'}}
domainlist local_domains = example.ru : example.com

# делаем список доменов с которых разрешены релеи.
# Далее этот список будет в виде +relay_to_domains
# Можно использовать символы подстановки, типа:
# .... = *.my.domen.su : !spam.my.domen.su : first.su
# тогда пропускается всё, что похоже на *.my.domen.su, но
# от spam.my.domen.su релеится почта не будет.
#domainlist relay_to_domains = ${lookup mysql{SELECT `domain` \
#FROM `domain` WHERE \
#`domain`='${domain}' AND \
#`active`='1'}}
domainlist relay_to_domains = example.ru : example.com

# Объявляем переменные
#domainlist spam_domains = /etc/exim4/lists/spam_domains
#hostlist white_list = /etc/exim4/lists/whitelist

# Составляем список хостов с которых разрешён неавторизованый
# релей. Обычно в нём находятся локальные сети, и локалхост...
# ЛокалХост в двух видах был внесён сознательно - пару раз
# сталкивался с кривым файлом /etc/hosts - результатом было
# непонимание `localhost` но пониманием 127.0.0.1/8
hostlist relay_from_hosts = localhost : 127.0.0.0/8 : тут ip адрес : тут ip адрес : тут ip адрес : тут ip адрес : тут ip адрес : тут ip адрес/28 : тут ip адрес

# exim может быть настроен для разрешения безоговорочного
# релея от клиентов, путём проверки IP-адреса
# auth_advertise_hosts = ! 192.168.2.0/24
# Разрешаем аунтификацию клиентам только из нашей сети
# Это делаем для того чтобы из внешнего мира никто не мог подобрать пароль на отправку
auth_advertise_hosts = localhost : 127.0.0.0/8 : тут ip адрес : тут ip адрес : тут ip адрес : тут ip адрес : тут ip адрес : тут ip адрес/28 : тут ip адрес

#Количество нон майл комманд NOOP - контроль потока отправки сообщений по времени
smtp_accept_max_nonmail_hosts = ! тут ip адрес

# Домены, для которых требуется наличие правильной DKIM-подписи
domainlist dkim_required_domains = *

# Вводим названия acl`ов для проверки почты. (В общем-то, это
# необязательно, если вы делаете открытый релей, или хотите
# принимать вообще всю почту с любого хоста для любых
# получателей... Тока потом не жалуйтесь что у Вас спам
# и провайдер выкатывает немеряный счёт :))
acl_smtp_rcpt = acl_check_rcpt
acl_smtp_data = acl_check_data
acl_smtp_dkim = acl_check_dkim
acl_smtp_mime = acl_check_mime

# Прикручиваем антивирус - при условии, что exim собран
# с его поддержкой. В качестве антивиря юзаем ClamAV,
# ибо - ПО должно быть свободным! :)
# Итак, указываем местоположение сокета clamd.
av_scanner = clamd:/var/run/clamav/clamd.ctl

# Адрес куда слать на проверку спама (SpamAssasin), но я
# это не юзаю. Не так много у меня спама...
#spamd_address = 127.0.0.1 783
spamd_address = /var/run/spamd.sock

# Имя домена добавляемое для локальных отправителей (реальных
# юзеров системы) т.е. почта отправляемая от root, будет от
# root@домен_указанный_здесь. Если пункт незадан, то используется
# имя хоста из `primary_hostname`. Логичней было бы написать здесь
# lissyara.su, но мне удобней иначе:
qualify_domain = example.ru

# Имя хоста для ситуации, обратной предыдущей, - это имя домена
# добавляемое к почте для системных юзеров, ну и вообще для почты
# пришедшей на адрес типа `root`, `lissyara`, & etc... Если этот
# пункт незадан то используется значение полученное из
# предыдущего пункта - `qualify_domain`
#qualify_recipient =

# А это как раз кусок вышеописанного анахронизма - про почту в
# виде user@[222.222.222.222] - принимать её или нет. По дефолту
# (когда строка закомментирована) значение - false. Если захотите
# поставить true то надо будет добавить в список доменов
# комбинацию @[] - она означает `все локальные адреса`
allow_domain_literals = false

# Пользователь от которого работает exim
exim_user = Debian-exim

# группа в кторой работает exim
exim_group = Debian-exim

# запрещаем работу доставки под юзером root - в целях безопасности
never_users = root

# Проверяем соответствие прямой и обратной зон для всех хостов.
# Тока зачем это нужно - даже и незнаю... Спам на этом не режется...
# Зато возможны проблемы - если сервер зоны скажет `сервер файлед`
# то почту от этого хоста Вы не получите :)
host_lookup = *

# Тоже анахронизм (на самом деле, не такой уж анахронизм, но все давно
# забили на ident и закрыли файрволлом tcp:113...) Это проверка - Ваш
# хост спрашивает у удалённого, с которого было подключение, а кто
# собстно ко мне подключился на такой-то порт? Если на удалённом хосте
# работает identd - он может ответить (а может и не ответить - как
# настроить), скажет UID пользователя от которого установлено
# соединение, тип ОС, и имя пользователя. Теперь, понимаете, почему
# у всех оно зарублено и файрволлами позакрыто? :) Это же палево :)
# Тока на мой взгляд, если на сервере всё настроено правильно -
# то вовсе это и не страшно.
# Короче - если хостс поставить * то будет проверять все. Таймаут -
# если поставить 0 то не будет ждать ответа ни от кого. По
# вышеописанным причинам - отключаем
#rfc1413_hosts = *
rfc1413_query_timeout = 0s

# По дефолту, экзим отфутболивает все `неквалифицированные` адреса,
# состоящие тока из локальной части. Для того чтобы разрешить такие письма
# определённых хостов используются эти директивы:
# для `неквалифицированных` отправителей
sender_unqualified_hosts = +relay_from_hosts
# для `неквалифицированных` получателей
recipient_unqualified_hosts = +relay_from_hosts

# Интересный пункт, тока я не вполне понимаю его логику.
# Позволяет выполнять что-то типа - пришло сообщение на
# локальный ящик user%test.su@lissyara.su и
# переправляет его на user@test.su. Делается это для
# перечисленного списка доменов (* - все):
# percent_hack_domains = *

# Если сообщение было недоставлено, то генерится соощение
# об ошибке. Если сообщение об ошибке не удалось доставить
# то оно замораживается на указанный в этом пункте срок,
# после чего снова попытка доставить его. При очередной
# неудаче - сообщение удаляется.
ignore_bounce_errors_after = 45m

# Замороженные сообщения, находящиеся в очереди, дольше
# указанного времени удаляются и генерится сообщение
# об ошибке (при условии, что это не было недоставленное
# сообщение об ошибке :))
timeout_frozen_after = 7d

# собсно на этом штатный конфиг кончился, но
# меня-то это не устраивает... Поэтому пошли пункты,
# почёрпнутые из других источников.

# список адресов, через запятую, на которые засылаются
# сообщения о замороженных сообщениях (о замороженых
# уведомлениях о заморозке, сообщения не генерятся. - я
# надеюсь эта строка понятна :))
#freeze_tell =

# Список хостов, почта от которых принимается, несмотря
# на ошибки в HELO/EHLO (тут указана моя подсеть)
#helo_accept_junk_hosts = 192.168.0.0/16
helo_accept_junk_hosts = тут ip адрес/24 : тут ip адрес/24

#На каком порту будет работать демон SMTP
disable_ipv6
daemon_smtp_ports = 25 : 465


# Через какое время повторять попытку доставки
# замороженного сообщения
auto_thaw = 1h

# Максимальное число одновременных подключений по
# SMTP. Рассчитывать надо исходя из нагрузки на сервер
smtp_accept_max = 200

# максимальное число сообщений принимаемое за одно соединение
# от удалённого сервера (или пользователя). C числом 25
# я имел проблемы тока один раз - когда у меня три дня лежал
# инет и после его подъёма попёрли мессаги. Но у меня не так
# много почты - всего 30 пользователей.
smtp_accept_max_per_connection = 1000

# чё-то про логи и борьбу с флудом - я так понимаю -
# максимальное число сообщений записываемых в логи
smtp_connect_backlog = 30

# максимальное число коннектов с одного хоста
smtp_accept_max_per_host = 100
smtp_accept_queue_per_connection = 20

# Ход ладьёй - для увеличения производительности,
# директория `spool` внутри, разбивается на
# директории - это ускоряет обработку
split_spool_directory = true

# Если у сообщения много адресатов на удалённых хостах,
# то запускатеся до указанного числа максимально число
# параллельных процессов доставки
remote_max_parallel = 15

# при генерации сообщения об ошибке прикладывать
# не всё сообщение, а кусок (от начала) указанного
# размера (иногда полезно и целиком - в таком случае
# просто закомментируйте эту строку)
return_size_limit = 70k

# размер сообщения. У меня стоит относительно большой
# размер (`относительно` - потому, что на большинстве
# хостов оно ограничено 2-5-10мб, либо стоит анлим.)
message_size_limit = 20M

# разрешаем неположенные символы в HELO (столкнулся
# с этим случайно - имя фирмы состояло из двух слов
# и какой-то раздолбай домен обозвал my_firme_name
# прям с подчёркиваниями... Виндовые клиенты при
# соединении радостно рапортовали о себе
# `vasya.my_firme_name` ну а экзим их футболил :))
helo_allow_chars = _

# Принудительная синхронизация. Если отправитель
# торопится подавать команды, не дождавшись ответа,
# то он посылается далеко и надолго :) Немного,
# спам режется.
smtp_enforce_sync = true

# Выбираем, что мы будем логировать
# + - писать в логи,
# - - Не писать в логи.
# +all_parents - все входящие?
# +connection_reject - разорваные соединения
# +incoming_interface - интерфейс (реально - IP)
# +lost_incoming_connections - потеряные входящие
# соединения
# +received_sender - отправитель
# +received_recipients - получатель
# +smtp_confirmation - подтверждения SMTP?
# +smtp_syntax_error - ошибки синтаксиса SMTP
# +smtp_protocol_error - ошибки протокола SMTP
# -queue_run - работа очереди (замороженные мессаги)
log_selector = \
+all_parents \
+connection_reject \
+incoming_interface \
+lost_incoming_connection \
+received_sender \
+received_recipients \
+smtp_confirmation \
+smtp_syntax_error \
+smtp_protocol_error \
-queue_run

# Убираем собственную временную метку exim`a из логов, её ставит
# сам syslogd - нефига дублировать
syslog_timestamp = no

### конфигурация ACL для входящей почты
begin acl

# Эти правила срабатывают для каждого получателя
acl_check_rcpt:

# Отвергаем эти домены
#deny message = You are spamer
# sender_domains = +spam_domains

# Принимаем почту от доверенных (заранее созданные листы с адресами\хостами и т.д.)
accept senders = /etc/exim4/lists/whitelistaddress
accept sender_domains = /etc/exim4/lists/trustdomains
deny sender_domains = /etc/exim4/lists/denydomains

#Принимаем почту от наших релейных IP без проверок, сразу!
accept hosts = +relay_from_hosts

# принимать сообщения которые пришли с локалхоста,
# не по TCP/IP
#accept hosts = :

# Запрещаем письма содержащие в локальной части
# символы @; %; !; /; |. Учтите, если у вас было
# `percent_hack_domains` то % надо убрать.
# Проверяются локальные домены
deny message = Reject: incorrect symbol in address
log_message = REJECT: incorrect symbol in address
domains = +local_domains
local_parts = ^[.] : ^.*[@%!/|]

# Проверяем недопустимые символы для
# нелокальных получателей:
deny message = Reject: incorrect symbol in address
log_message = REJECT: incorrect symbol in address
domains = !+local_domains
local_parts = ^[./|] : ^.*[@%!] : ^.*/\\.\\./

# Запрещщаем тех, кто не обменивается приветственными
# сообщениями (HELO/EHLO)
deny message = Reject: HELO/EHLO require by SMTP RFC
log_message = REJECT: HELO/EHLO require by SMTP RFC
condition = ${if eq{$sender_helo_name}{}{yes}{no}}

# Рубаем хело с нашим именем
deny condition = ${if match_domain{$sender_helo_name} \
{$primary_hostname:+local_domains:+relay_to_domains} \
{true}{false}}
hosts = !+relay_from_hosts: *
message = Reject: My name in your HELO
log_message = REJECT: remote host used our name in HELO/EHLO.

# Рубаем тех, кто подставляет в HELO пихает мой hostname
deny message = "Access denied - HELO/EHLO don't must contain a [$sender_helo_name]"
hosts = !127.0.0.1 : !localhost : !+relay_from_hosts : *
condition = ${if eq{$sender_helo_name}{$primary_hostname}}

# Рубаем нах, тех, кто подставляет свой IP в HELO
deny condition = ${if isip{$sender_helo_name}{yes}{no}}
hosts = !+relay_from_hosts: *
message = Reject: Your IP in HELO - access denied!
log_message = REJECT: Your IP in HELO - access denied!

# Рубаем тех, кто в HELO пихает мой IP (2500 мудаков за месяц!)
deny condition = ${if eq{$sender_helo_name}\
{$interface_address}{yes}{no}}
hosts = ! 127.0.0.1 : ! localhost : *
message = My IP in your HELO! Access denied!
log_message = My IP in your HELO! Access denied!

# Рубаем тех, кто в HELO пихает только цифры
# (не бывает хостов ТОЛЬКО из цифр)
deny condition = ${if match{$sender_helo_name}{\N^\d+$\N}{yes}{no}}
hosts = ! 127.0.0.1 : ! localhost : *
message = Can not be only number in HELO!
log_message = REJECT: Invalid symbols in HELO
hosts = !127.0.0.1 : !localhost : !+relay_from_hosts : *

deny condition = ${if match{$sender_helo_name}{^[0-9]\.[0-9]\.[0-9]\.[0-9]}{yes}{no} }
hosts = ! 127.0.0.1 : ! localhost : *
message = Dropped IP-only or IP-starting helo
log_message = REJECT: Invalid symbols in HELO
hosts = !127.0.0.1 : !localhost : !+relay_from_hosts : *

deny condition = ${if match{$sender_helo_name}{\N_\N}{yes}{no}}
message = Reject: Invalid symbols in HELO
log_message = REJECT: Invalid symbols in HELO
hosts = !127.0.0.1 : !localhost : !+relay_from_hosts : *

# Рубаем тех, кто не пишет отправителя (пробел)
deny condition = ${if match{$sender_address}{\N^\s+$\N}{yes}{no}}
hosts = !127.0.0.1 : !localhost : !+relay_from_hosts : *
message = А какого HELO пустое (тока пробелы)?! Не по RFC...
log_message = Пробелы в HELO

# Рубаем хосты типа *adsl*; *dialup*; *pool*;....
# Нормальные люди с таких не пишут. Если будут
# проблемы - уберёте проблемный пункт (у меня клиенты
# имеют запись типа asdl-1233.zone.su - я ADSL убрал...)
deny message = REJECT: Your hostname is bad (adsl, poll, ppp & etc).
condition = ${if match{$sender_host_name}{adsl|dialup|pool|peer|dhcp}{yes}{no}}
log_message = REJECT: Connect with adsl:dialup:pool:peer:dhcp.

# Прибиваем всех, у кого авторизационные данные не совпадает с адресом отправителя
deny message = "Address ($sender_address) does not match with authenticated data ($authenticated_id). Check your email program settings."
authenticated = *
condition = ${if !eq{$authenticated_id}{$sender_address} {yes}{no}}

#Запрещаем принимать почту для пустого MAIL FROM, если включить - проверки на получателя не работают...
#deny senders = :

# Используем "spfquery", чтобы получить статус SPF для данного конкретного отправителя / хоста.
# Если код возврата этой команды равен 1, это несанкционированный отправитель.
deny
message = [SPF] $sender_host_address is not allowed to send mail from $sender_address_domain.
log_message = SPF check failed.
set acl_m9 = -ipv4=$sender_host_address \
-sender=$sender_address \
-helo=$sender_helo_name
set acl_m9 = ${run{/usr/bin/spfquery $acl_m9}}
condition = ${if eq {$runrc}{1}{true}{false}}
hosts = !+relay_from_hosts: *

defer
message = Temporary DNS error while checking SPF record. Try again later.
condition = ${if eq {$runrc}{5}{yes}{no}}
hosts = !+relay_from_hosts: *

warn
message = X-Received-SPF: ${if eq {$runrc}{0}{pass}{${if eq {$runrc}{2}{softfail}\
{ ${if eq {$runrc}{3}{neutral}{${if eq {$runrc}{4}{unknown}\
{${if eq {$runrc}{6}{none}{error}}}}}}}}}}
condition = ${if <={$runrc}{6}{yes}{no}}
hosts = !+relay_from_hosts: *

warn
log_message = Unexpected error in SPF check.
condition = ${if >{$runrc}{6}{yes}{no}}
hosts = !+relay_from_hosts: *

# Проверка существования E-Mail'a отправителя для внешних клиентов
#deny log_message = REJECTED - Sender Verify Failed - Sender Not Found
# !authenticated = *
# !verify = sender/callout=10s,defer_ok,maxwait=20s

# Проверяем, существует ли получатель в EXCHANGE, если эксчейндж настроить правильно, все будет сечься в роутере, см. http://forum.lissyar...iewtopic.php?f=20&t=44086
#deny
# log_message = REJECTED - Recipient Verify Failed - Recipient Not Found
# message = REJECTED - Recipient Verify Failed - Recipient Not Found
# !verify = recipient/callout=20s,defer_ok,maxwait=30s

# Рубаем тех, кто в блэк-листах. Серваки перебираются
# сверху вниз, если не хост не найден на первом, то
# запрашивается второй, и т.д. Если не найден ни в одном
# из списка - то почта пропускается.
deny
message = "You in blacklist - $dnslist_domain $dnslist_text; $dnslist_value"
log_message = "You in blacklist - $dnslist_domain $dnslist_text; $dnslist_value"
hosts = !+relay_from_hosts
dnslists = rbl.rbldns.ru : zen.spamhaus.org : bad.psky.me : sbl.spamhaus.org : bl.spamcop.net : cbl.abuseat.org

# Тут используем серые списки
defer message = Greylisting in action, try later
log_message = Greylisted.
!hosts = ${if exists{/etc/greylistd/whitelist-hosts}\
{/etc/greylistd/whitelist-hosts}{}} : \
${if exists{/var/lib/greylistd/whitelist-hosts}\
{/var/lib/greylistd/whitelist-hosts}{}}
condition = ${readsocket{/var/run/greylistd/socket}\
{--grey $sender_host_address $sender_address $local_part@$domain}\
{5s}{}{false}}

#После всех экзикуций принимаем почту только для наших доменов (указаных в переменных)
accept domains = +relay_to_domains

# Если неподошло ни одно правило - чувак явно ищет
# открытый релей. Пшёл прочь. :)
deny message = Access deny - this not open relay!
log_message = REJECT: We arent an open relay

#------------------------------------------------------------------------------------------------------------------------------------------

acl_check_mime:
# Проверка вложений на исполняемые файлы
deny message = Error! Your message contains executible attachment(s) like: $mime_filename
condition = ${if match{$mime_filename}{\N\.(exe|com|vb|vbs|vbe|vba|wsf|bat|cmd|pif|scr|hta|js|jse|jsp|chm|cpl|reg|lnk|ocx|dll|sys|msi|msu|mst|apk|bin|cgi|ps1)$\N}}

###Проверка вложений-архивов zip-rar###
deny message = Message contains executible files(s) in attachment $mime_filename
condition = ${if match{$mime_filename}{\N(?i)\.(bz2|zip|rar|7z|cab|ace|7za|lah|lzo|lzx|gz|arj|bin|msi|cbr|deb|rpm|gzip|jar|pak|pkg|tar-gz|tgz|xar|zipx|wim|tb2|tar|paq|xz|iso|jar|lzh|lzma|pak|pk3|pk4|smzip|u3p|xpi|zipx|cpio|xar|lz|rk|zoo|img|ha)$\N}}
decode = default
condition = ${if match{${run{/usr/bin/deepfind $mime_decoded_filename}}}{\N(?i)\.(exe|com|vb|vbs|vbe|vba|wsf|bat|cmd|pif|scr|hta|js|jse|jsp|chm|cpl|reg|lnk|ocx|dll|sys|msi|msu|mst|apk|bin|cgi|ps1)\n\N}}
log_message = forbidden attachment: recipients=$recipients, content-type=$mime_content_type, attach_filename=$mime_filename

# Пропускаем остальное
accept
acl_check_data:

# Сообщения с NUL-символами
deny message = This message contains NUL characters
log_message = REJECT: NUL characters!
condition = ${if >{$body_zerocount}{0}{1}{0}}

# Синтаксис заголовков
deny message = Incorrect headers syntax
log_message = REJECT: Incorrect header syntax
hosts = !+relay_from_hosts:*
!verify = header_syntax

# Распаковываем контейнеры MIME и режем серьезные ошибки
deny message = This message contains a MIME error ($demime_reason)
log_message = REJECT: Error in MIME
demime = *
condition = ${if >{$demime_errorlevel}{2}{1}{0}}

# Запрет приема писем содержащих вирусы
deny message = message contains a virus ($malware_name)
malware = *
log_message = message contains a virus ($malware_name)

# Проверка Спама
warn message = X-Spam-Score: $spam_score ($spam_bar)
hosts = ! +relay_from_hosts
spam = spamd:true

warn message = X-Spam-Report: $spam_report
hosts = ! +relay_from_hosts
spam = spamd:true

warn message = Subject: ***SPAM*** $h_Subject:
hosts = ! +relay_from_hosts
spam = spamd

# Пропускаем остальное
accept

#Проверка ACL DKIM
acl_check_dkim:

# Отклоняем письма, не содержащие DKIM-подпись
deny message = Valid DKIM signature needed for mail from $sender_domain
sender_domains = +dkim_required_domains
dkim_status = none
add_header = :at_start:Authentication-Results-DKIM: Exim 4.80 on mx1.example.ru (no dkim signature)
logwrite = DKIM test NONE (address=$sender_address domain=$dkim_cur_signer), none signature.
!sender_domains = gmail.com : yandex.ru : yandex.net : mail.ru : list.ru : bk.ru :inbox.ru: alerts.skype.com

# Отклоняем письма, содержащие DKIM-подпись, если она fail
deny message = Wrong DKIM signature
sender_domains = +dkim_required_domains
dkim_status = fail
add_header = :at_start:Authentication-Results-DKIM: mx1.example.ru, header.i=$dkim_cur_signer ($dkim_verify_status); reason=$dkim_verify_reason
logwrite = DKIM test FAIL (address=$sender_address domain=$dkim_cur_signer), fail signature.
!sender_domains = gmail.com : yandex.ru : yandex.net : mail.ru : list.ru : bk.ru :inbox.ru : alerts.skype.com

# Принимаем письма, содержащие DKIM-подпись, если она invalid
accept message = Invalid DKIM signature
sender_domains = +dkim_required_domains
dkim_status = invalid
add_header = :at_start:Authentication-Results-DKIM: mx1.example.ru, header.i=$dkim_cur_signer ($dkim_verify_status); reason=$dkim_verify_reason
logwrite = DKIM test PASS (address=$sender_address domain=$dkim_cur_signer), but signature is invalid.

# Принимаем письма, содержащие DKIM-подпись, если проверка прошла успешно
accept message = Good DKIM signature
sender_domains = +dkim_required_domains
dkim_status = pass
add_header = :at_start:Authentication-Results-DKIM: mx1.example.ru; dkim=$dkim_verify_status, header.i=@$dkim_cur_signer
logwrite = DKIM test PASS (address=$sender_address domain=$dkim_cur_signer), good signature.

#Пропускаем остальное
accept

#-----------------------------------------------------------------------------------------------------------------------------------
# чё делаем с почтой
#############
begin routers
#############

# Копируем почту входящую на gmail
#mailcopy:
#driver = redirect
#domains = example.com : example.ru
#data = salearntentorium@gmail.com
#unseen

# Роутер для Exchange, почтовый шлюз как никак.
exchange_router:
driver = manualroute
domains = example.com : example.ru
transport = remote_smtp
route_list = * тут ip адрес моего exchange (экзим как щлюз во внешку)
no_more

# Поиск маршрута к хосту в DNS. Если маршрут не найден в DNS -
# то это `унроутабле аддресс`. Не проверяются локальные
# домены, 0.0.0.0 и 127.0.0.0/8

dnslookup:
driver = dnslookup
domains = !+local_domains
transport = remote_smtp
ignore_target_hosts = 0.0.0.0 : 127.0.0.0/8
no_more

# смотрим альясы
system_aliases:
driver = redirect
allow_fail
allow_defer
domains = example.ru : example.com
data = ${lookup{$local_part}lsearch{/etc/aliases}}

# начинаются транспорты - как доставляем почту

################
begin transports
################

DKIM_DOMAIN = ${lc:${domain:$h_from:}}
DKIM_FILE = /etc/exim4/dkim/${lc:${domain:$h_from:}}.key
DKIM_PRIVATE_KEY = ${if exists{DKIM_FILE}{DKIM_FILE}{0}}

# Доставка на удалённые хосты - по SMTP

remote_smtp:
driver = smtp
# interface = ${if eq{$smtp_active_hostname}{mx1.example.ru}{1.1.1.1}{1.1.1.2}}
interface = ${if eq{$sender_address_domain}{example.ru}{1.1.1.1}{1.1.1.2}}
# helo_data = ${if eq{$smtp_active_hostname}{mx1.example.ru}{mx1.example.ru}{mx1.example.com}}
helo_data = ${if eq{$sender_address_domain}{example.ru}{mx1.example.ru}{mx1.example.com}}
dkim_domain = DKIM_DOMAIN
dkim_selector = dkimt
dkim_private_key = DKIM_PRIVATE_KEY

# Начинаются повторы недоставленных писем.
begin retry

# Этот кусок я не трогал. Думаю разработчики лучше знают,
# какие тут должны быть цифирьки. Если же вы это знаете
# лучше их - меняйте. Хотя... А какого, если Вы такой
# умный, читаете этот мануал? Может ну, их, цифирьки, а? :)
# Address or DomainError Retries
# ---------------------- -------
* * F,2h,15m; G,16h,1h,1.5; F,4d,6h


# преобразование адресов. У меня такого нету.
#begin rewrite

#Some shortcircuiting, if the plugin is enabled
#Снижаем рейтинг некоторых, по моему мнению, слишком «жестких» правил, кроме того некоторые правила wentora срабатывают ошибочно, рейтинг для них 0-0.1
score ADVANCE_FEE_4_NEW_FRM_MNY 1.0
score ADVANCE_FEE_4_NEW_MONEY 1.0
score ANY_BOUNCE_MESSAGE 0.5
score FUZZY_XPILL 1.0
score BAYES_60 3.5
score BAYES_95 5.5
score BAYES_99 6.0
score BAYES_999 3.0
score CRBOUNCE_MESSAGE 0.5
score FSL_HELO_BARE_IP_2 0.1
score FREEMAIL_ENVFROM_END_DIGIT 2
score HK_RANDOM_FROM 2.0
score HTML_IMAGE_ONLY_08 2.0
score HTML_IMAGE_ONLY_12 2.0
score HTML_IMAGE_ONLY_20 2.0
score HTML_IMAGE_ONLY_12 2.0
score HTML_IMAGE_ONLY_20 2.0
score HTML_IMAGE_ONLY_24 2.0
score HTML_IMAGE_ONLY_28 2.0
score HTML_IMAGE_ONLY_32 2.0
score HTML_IMAGE_RATIO_02 1.5
score HTML_IMAGE_RATIO_04 1.8
score HTML_IMAGE_RATIO_06 2.0
score HTML_MESSAGE 0.0
score MIME_HTML_ONLY 1.723
score MANY_SPAN_IN_TEXT 0.5
score RCVD_IN_BL_SPAMCOP_NET 3.0
score RCVD_IN_BRBL_LASTEXT 1.0
score RCVD_IN_PSBL 3.7
score RCVD_IN_SBL_CSS 2.3
score SPF_FAIL 4.0
score SPF_SOFTFAIL 2.5
score SUBJ_ALL_CAPS 0.1
score TVD_SPACE_ENCODED 1.0
score TVD_SPACE_ENC_FM_MIME 1.0
score URI_OBFU_WWW 1.5
score URIBL_BLOCKED 0.1
score URIBL_JP_SURBL 2.25
score WEIRD_PORT 2.0
score RU_WENTOR_3GT 2.0
score RU_WENTOR_ADV 4.0
score RU_WENTOR_AUTO 2.0
score RU_WENTOR_BANKRUPT 3.5
score RU_WENTOR_BATH 4.0
score RU_WENTOR_BEG 5.0
score RU_WENTOR_BUILDING 2.5
score RU_WENTOR_BRAND 3.0
score RU_WENTOR_BUSINESS 1.0
score RU_WENTOR_BEAUTY 1.5
score RU_WENTOR_CLOCK 6.0
score RU_WENTOR_GOODS 3.0
score RU_WENTOR_GOD 7.0
score RU_WENTOR_HIDEPHONE 0.5
score RU_WENTOR_INFOINFILE 5.0
score RU_WENTOR_INVITE 2.0
score RU_WENTOR_LOTTERY 6.0
score RU_WENTOR_MOVE1 4.0
score RU_WENTOR_MOVE 1.0
score RU_WENTOR_MONEY 1.0
score RU_WENTOR_MONEY1 1.0
score RU_WENTOR_PRINT 4.0
score RU_WENTOR_RASSILKA 1.0
score RU_WENTOR_PHONE 1.0
score RU_WENTOR_RCPTS_3 0.1
score RU_WENTOR_RCPTS_4 0.1
score RU_WENTOR_RCPTS_5 0.1
score RU_WENTOR_RCPTS_6 0.0
score RU_WENTOR_RCPTS_7_10 0.0
score RU_WENTOR_RCPTS_10 1.0
score RU_WENTOR_SEO 4.0
score RU_WENTOR_SEX 0.1
score RU_WENTOR_SPAM_R 5.0
score RU_WENTOR_SPAM 4.0
score RU_WENTOR_SPAM_R 5.0
score RU_WENTOR_SPAM 4.0
score RU_WENTOR_SPAM1 1.0
score RU_WENTOR_SPAM2 3.0
score RU_WENTOR_TAX 3.0
score RU_WENTOR_TRAIN 2.5
score RU_WENTOR_WORK 1.0

#!/bin/sh
DKIM_ENABLE = yes

#Временное решение против ошибок в логах
keep_environment = 

# Имя хоста. Используется в EHLO.
# Фигурирует в других пунктах, если они не заданы -
# типа qualify_domain и прочих..
# Если тут ничё не установлено (строка закомметрована)
# то используется то, что вернёт функция uname()
primary_hostname = lists.example.com

#TLS\SSL настройки
tls_on_connect_ports = 465
tls_advertise_hosts = *
tls_certificate = /etc/apache2/ssl/897.crt
tls_privatekey = /etc/apache2/ssl/897.key

domainlist local_domains = lists.example.com

hostlist relay_from_hosts = localhost : 127.0.0.0/8

acl_smtp_rcpt = acl_check_rcpt

qualify_domain = lists.example.com

#Секция Mailman
MM_HOME=/var/lib/mailman
MM_UID=list
MM_GID=list
domainlist mm_domains=lists.example.com
MM_WRAP=MM_HOME/mail/mailman
MM_LISTCHK=MM_HOME/lists/${lc::$local_part}/config.pck

# А это как раз кусок вышеописанного анахронизма - про почту в
# виде user@[222.222.222.222] - принимать её или нет. По дефолту
# (когда строка закомментирована) значение - false. Если захотите
# поставить true то надо будет добавить в список доменов
# комбинацию @[] - она означает `все локальные адреса`
allow_domain_literals = false

# Пользователь от которого работает exim
exim_user = Debian-exim

# группа в кторой работает exim
exim_group = Debian-exim

# запрещаем работу доставки под юзером root - в целях безопасности
never_users = root

# Проверяем соответствие прямой и обратной зон для всех хостов.
# Тока зачем это нужно - даже и незнаю... Спам на этом не режется...
# Зато возможны проблемы - если сервер зоны скажет `сервер файлед`
# то почту от этого хоста Вы не получите :)
host_lookup = *

# Тоже анахронизм (на самом деле, не такой уж анахронизм, но все давно
# забили на ident и закрыли файрволлом tcp:113...) Это проверка - Ваш
# хост спрашивает у удалённого, с которого было подключение, а кто
# собстно ко мне подключился на такой-то порт? Если на удалённом хосте
# работает identd - он может ответить (а может и не ответить - как
# настроить), скажет UID пользователя от которого установлено
# соединение, тип ОС, и имя пользователя. Теперь, понимаете, почему
# у всех оно зарублено и файрволлами позакрыто? :) Это же палево :)
# Тока на мой взгляд, если на сервере всё настроено правильно -
# то вовсе это и не страшно.
# Короче - если хостс поставить * то будет проверять все. Таймаут -
# если поставить 0 то не будет ждать ответа ни от кого. По
# вышеописанным причинам - отключаем
#rfc1413_hosts = *
rfc1413_query_timeout = 0s

# Интересный пункт, тока я не вполне понимаю его логику.
# Позволяет выполнять что-то типа - пришло сообщение на
# локальный ящик user%test.su@lissyara.su и
# переправляет его на user@test.su. Делается это для
# перечисленного списка доменов (* - все):
# percent_hack_domains = *

# Если сообщение было недоставлено, то генерится соощение
# об ошибке. Если сообщение об ошибке не удалось доставить
# то оно замораживается на указанный в этом пункте срок,
# после чего снова попытка доставить его. При очередной
# неудаче - сообщение удаляется.
ignore_bounce_errors_after = 45m

# Замороженные сообщения, находящиеся в очереди, дольше
# указанного времени удаляются и генерится сообщение
# об ошибке (при условии, что это не было недоставленное
# сообщение об ошибке :))
timeout_frozen_after = 7d

disable_ipv6
daemon_smtp_ports = 25 : 465


# Через какое время повторять попытку доставки
# замороженного сообщения
auto_thaw = 1h

# Приветствие сервера
smtp_banner = "$primary_hostname, ESMTP EXIM $version_number"

# Максимальное число одновременных подключений по
# SMTP. Рассчитывать надо исходя из нагрузки на сервер
smtp_accept_max = 10000

# максимальное число сообщений принимаемое за одно соединение
# от удалённого сервера (или пользователя). C числом 25
# я имел проблемы тока один раз - когда у меня три дня лежал
# инет и после его подъёма попёрли мессаги. Но у меня не так
# много почты - всего 30 пользователей.
smtp_accept_max_per_connection = 200

# чё-то про логи и борьбу с флудом - я так понимаю -
# максимальное число сообщений записываемых в логи
smtp_connect_backlog = 30

# максимальное число коннектов с одного хоста
smtp_accept_max_per_host = 2
smtp_accept_queue_per_connection = 30

# Ход ладьёй - для увеличения производительности,
# директория `spool` внутри, разбивается на
# директории - это ускоряет обработку
split_spool_directory = true

# Если у сообщения много адресатов на удалённых хостах,
# то запускатеся до указанного числа максимально число
# параллельных процессов доставки
remote_max_parallel = 15

# при генерации сообщения об ошибке прикладывать
# не всё сообщение, а кусок (от начала) указанного
# размера (иногда полезно и целиком - в таком случае
# просто закомментируйте эту строку)
return_size_limit = 70k

# размер сообщения. У меня стоит относительно большой
# размер (`относительно` - потому, что на большинстве
# хостов оно ограничено 2-5-10мб, либо стоит анлим.)
message_size_limit = 20M

# Принудительная синхронизация. Если отправитель
# торопится подавать команды, не дождавшись ответа,
# то он посылается далеко и надолго :) Немного,
# спам режется.
smtp_enforce_sync = true

# Выбираем, что мы будем логировать
# + - писать в логи,
# - - Не писать в логи.
# +all_parents - все входящие?
# +connection_reject - разорваные соединения
# +incoming_interface - интерфейс (реально - IP)
# +lost_incoming_connections - потеряные входящие
# соединения
# +received_sender - отправитель
# +received_recipients - получатель
# +smtp_confirmation - подтверждения SMTP?
# +smtp_syntax_error - ошибки синтаксиса SMTP
# +smtp_protocol_error - ошибки протокола SMTP
# -queue_run - работа очереди (замороженные мессаги)
log_selector = \
+all_parents \
+connection_reject \
+incoming_interface \
+lost_incoming_connection \
+received_sender \
+received_recipients \
+smtp_confirmation \
+smtp_syntax_error \
+smtp_protocol_error \
+queue_run \
+connection_reject

# Убираем собственную временную метку exim`a из логов, её ставит
# сам syslogd - нефига дублировать
syslog_timestamp = no



### конфигурация ACL для входящей почты
begin acl

# Эти правила срабатывают для каждого получателя
acl_check_rcpt:

#Принимаем от наших
#accept domains = +local_domains
#accept hosts = +relay_from_hosts
accept senders = 123@gmail.com : mail@mail.ru

# Если неподошло ни одно правило - чувак явно ищет
# открытый релей. Пшёл прочь. :)
deny message = "Homo hominus lupus est"

# чё делаем с почтой
#############
begin routers
#############

#Mailamn router
mailman_router:
   driver = accept
   require_files = MM_HOME/lists/$local_part/config.pck
   local_part_suffix_optional
   local_part_suffix = -bounces : -bounces+* : \
                       -confirm+* : -join : -leave : \
                       -owner : -request : -admin
transport = mailman_transport

#Роутер если мы хотим пересылать на собственный SMTP шлюз и уже с него рассылать
#forward_router:
#  driver = manualroute
#  domains = ! +local_domains
#  transport = remote_smtp
#  route_list = * mx1.tentorium.ru
#  ignore_target_hosts = 0.0.0.0 : 127.0.0.0/8
#  no_more

#DNS Router
dnslookup:
driver = dnslookup
domains = ! +local_domains
transport = remote_smtp
ignore_target_hosts = 0.0.0.0 : 127.0.0.0/8
no_more



# начинаются транспорты - как доставляем почту
################
begin transports
################

#DKIM
DKIM_DOMAIN = lists.za-pravkin.ru
DKIM_FILE = /etc/exim4/dkim/lists.example.com.key
DKIM_PRIVATE_KEY = ${if exists{DKIM_FILE}{DKIM_FILE}{0}}

remote_smtp:
driver = smtp

#DKIM

dkim_domain = DKIM_DOMAIN
dkim_selector = dkim
dkim_private_key = DKIM_PRIVATE_KEY

#Mailman transport
mailman_transport:
  driver  = pipe
  command = MM_WRAP \
          '${if def:local_part_suffix \
                {${sg{$local_part_suffix}{-(\\w+)(\\+.*)?}{\$1}}} \
                {post}}' \
          $local_part
  current_directory = MM_HOME
  home_directory    = MM_HOME
  user              = MM_UID
  group             = MM_GID

#pipe
address_pipe:
driver = pipe
return_output

# Начинаются повторы недоставленных писем.
begin retry

# Этот кусок я не трогал. Думаю разработчики лучше знают,
# какие тут должны быть цифирьки. Если же вы это знаете
# лучше их - меняйте. Хотя... А какого, если Вы такой
# умный, читаете этот мануал? Может ну, их, цифирьки, а? :)
# Address or DomainError Retries
# ---------------------- -------
*                      *           F,2h,15m; G,16h,1h,1.5; F,4d,6h

# преобразование адресов. У меня такого нету.
#begin rewriter

#!/bin/sh
#Firewall rules
INET="eth0"
INETIP="1.1.1.1"
UNPRIVPORTS="1024:65535"

echo "1. Сброс правил iptables"
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

echo "2. Установка политик iptables"
#Политики по умолчанию, все дропаем
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT

#Разрешаем петли
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

#можно разрешить попадание на наш компьютер только тех TCP- и UDP-пакетов, которые были запрошены локальными приложениями
iptables -A INPUT -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p UDP -m state --state ESTABLISHED,RELATED -j ACCEPT

#Рабочие порты
iptables -A INPUT -s 1.1.1.0/24 -d $INETIP -j ACCEPT
iptables -A INPUT -s 2.2.2.0/24 -d $INETIP -j ACCEPT
iptables -A INPUT -d $INETIP -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -d $INETIP -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -d $INETIP -p icmp -j ACCEPT
iptables -A INPUT -d $INETIP -p tcp --dport 25 -j ACCEP
iptables -A INPUT -d $INETIP -p tcp --dport 465 -j ACCEP

<Virtualhost *:80>
        ServerName lists.example.com
        ServerAdmin postmaster@example.com
        RewriteEngine on
        RewriteCond %{HTTPS}        off [NC]
 
        DocumentRoot /var/www/
        <directory /var/www/>
                      Options Indexes FollowSymLinks MultiViews
                      AllowOverride None
                      Order allow,deny
                      allow from all
                      # This directive allows us to have apache2's default start page
                      # in /apache2-default/, but still have / go to the right place
                      RedirectMatch ^/$ /cgi-bin/mailman/listinfo
        </directory>
        ScriptAlias /cgi-bin/ /usr/lib/cgi-bin/
        <directory "/usr/lib/cgi-bin">
                       AllowOverride None
                       Options +ExecCGI -MultiViews +SymLinksIfOwnerMatch
                       Order allow,deny
                       Allow from all
       </directory>
</virtualhost>
 
 
<IfModule mod_ssl.c>
<VirtualHost *:443>
 ServerName lists.example.com
 ServerAdmin postmaster@example.com
 DocumentRoot /var/www/
 <directory /var/www/>
            Options Indexes FollowSymLinks MultiViews
            AllowOverride None
            Order allow,deny
            allow from all
            # This directive allows us to have apache2's default start page
            # in /apache2-default/, but still have / go to the right place
            RedirectMatch ^/$ /cgi-bin/mailman/listinfo
 </directory>
        ScriptAlias /cgi-bin/ /usr/lib/cgi-bin/
        <directory "/usr/lib/cgi-bin">
                AllowOverride None
                Options +ExecCGI -MultiViews +SymLinksIfOwnerMatch
                Order allow,deny
                Allow from all
 </directory>
 SSLEngine on
 SSLCertificateKeyFile   /etc/apache2/ssl/897.key
 SSLCertificateFile      /etc/apache2/ssl/897.crt
# SSLCACertificateFile    /etc/apache2/ssl/root.crt
# SSLCertificateChainFile /etc/apache2/ssl/int.crt
</VirtualHost>
# intermediate configuration, tweak to your needs
SSLProtocol             all -SSLv2 -SSLv3
SSLCipherSuite          ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS
SSLHonorCipherOrder     on
SSLCompression          off
</IfModule>