ALT Linux Community general discussions
 help / color / mirror / Atom feed
* [mdk-re] некультурные админы
@ 2001-09-26 14:09 Maxim
  2001-09-26 14:15 ` Artem K. Jouravsky
  2001-09-26 14:48 ` [mdk-re] ÎÅËÕÌØÔÕÒÎÙÅ ÁÄÍÉÎÙ Yuri Ryazantsev
  0 siblings, 2 replies; 17+ messages in thread
From: Maxim @ 2001-09-26 14:09 UTC (permalink / raw)
  To: mandrake-russian

обращаюсь к народному опыту.

При настройке POSTFIX установил не допускать unknown клиентов.
Ну   естественно   тут   же  таких  нашлось  море.  При  том  половина  из  них
действительно рекламщики.

Короче  я  не  знаю  что  теперь  делать.  Я  же  не могу всем нерадивым админам
растолковать  как  настраивать  сервера, тем более сам безгоду неделя настраиваю
линукс.  А  открыть  тоже не могу. В результате открытия Microsoft Exchange меня
уже  один раз записали в спамеры. После этого я на линукс перешел. Там оказались
проблемы с настройками, тонкость которых линуксу не занимать.

Вообще кто как борется с такими вещами?


-- 
С уважением,
 Maxim                          mailto:max_conf@e-foto.ru




^ permalink raw reply	[flat|nested] 17+ messages in thread

* Re: [mdk-re] некультурные админы
  2001-09-26 14:09 [mdk-re] некультурные админы Maxim
@ 2001-09-26 14:15 ` Artem K. Jouravsky
  2001-09-26 14:48 ` [mdk-re] ÎÅËÕÌØÔÕÒÎÙÅ ÁÄÍÉÎÙ Yuri Ryazantsev
  1 sibling, 0 replies; 17+ messages in thread
From: Artem K. Jouravsky @ 2001-09-26 14:15 UTC (permalink / raw)
  To: mandrake-russian

Здравствуйте, Maxim <max_conf@e-foto.ru>!
От Wed, 26 Sep 2001 14:20:54 +0400 вы писали на тему [mdk-re] некультурные админы:

> обращаюсь к народному опыту.
> 
> При настройке POSTFIX установил не допускать unknown клиентов.
> Ну   естественно   тут   же  таких  нашлось  море.  При  том 
> половина  из  них
> действительно рекламщики.
> 
> Короче  я  не  знаю  что  теперь  делать.  Я  же  не могу всем
> нерадивым админам
> растолковать  как  настраивать  сервера, тем более сам безгоду
> неделя настраиваю
> линукс.  А  открыть  тоже не могу. В результате открытия
> Microsoft Exchange меня
> уже  один раз записали в спамеры. После этого я на линукс
> перешел. Там оказались
> проблемы с настройками, тонкость которых линуксу не занимать.
> 
> Вообще кто как борется с такими вещами?

А в чем проблема-то? Мне приходит одно-два-три письма за сутки,
что дескать, RELAY ACCESS DENIED... У вас больше? Может их просто
фильтровать куда-то?

------
Best wishes,
+----------------------+--------------------------+
|  ."-.                |  Work: +7-(095)-229-4278 |
| /X  | _o.----.    _  |  ICQ:  103399444         |
|/\_  \/ /  __  \_// ) |  Artem K. Jouravsky      |
|\__)-/_/\_____)____/  |  http://www.ifirst.ru/   |
+----------------------+--------------------------+		      



^ permalink raw reply	[flat|nested] 17+ messages in thread

* Re: [mdk-re] ÎÅËÕÌØÔÕÒÎÙÅ ÁÄÍÉÎÙ
  2001-09-26 14:09 [mdk-re] некультурные админы Maxim
  2001-09-26 14:15 ` Artem K. Jouravsky
@ 2001-09-26 14:48 ` Yuri Ryazantsev
  2001-09-26 14:57   ` [mdk-re] Re: [mdk-re] некультурные админы Peter V. Saveliev
  2001-09-26 15:47   ` [mdk-re] некультурные админы Maxim
  1 sibling, 2 replies; 17+ messages in thread
From: Yuri Ryazantsev @ 2001-09-26 14:48 UTC (permalink / raw)
  To: mandrake-russian

On Wed, Sep 26, 2001 at 02:20:54PM +0400, Maxim wrote:

> обращаюсь к народному опыту.
> 
> При настройке POSTFIX установил не допускать unknown клиентов.
> Ну   естественно   тут   же  таких  нашлось  море.  При  том  половина  из  них
> действительно рекламщики.
> 
> Короче  я  не  знаю  что  теперь  делать.  Я  же  не могу всем нерадивым админам
> растолковать  как  настраивать  сервера, тем более сам безгоду неделя настраиваю
> линукс.  А  открыть  тоже не могу. В результате открытия Microsoft Exchange меня
> уже  один раз записали в спамеры. После этого я на линукс перешел. Там оказались
> проблемы с настройками, тонкость которых линуксу не занимать.
> 
> Вообще кто как борется с такими вещами?

Извечный вопрос - как с водой не выплеснуть ребенка. О неправильной
настройке мейл-серверов недавно обсуждалось в antispam@ofisp.org. Краткое
резюме в моем пересказе и моем понимании: Пользователей, настроившем свой
компьютер для према и отправки почты, минуя провайдерский мейл-сервер -
стало много. После этого каждый второй считает себя админом (иногда это
мнение еще и навязывается должностью). Это ситуация наводит на грустные
размышления, но она есть и ее надо принимать как существующий факт. Бороться
с неграмотными админами в Инете надо силами провайдеров (которые правда тоже
сидят между двух огней - стандартами и деньгами клиентов). И по возможности
всем разъяснять как правильно делать.

Это общее выступление, а по мейлерной части:
- запрет relay
- запрет по общедоступным базам blocking list
- запрет на основании собственной базы
- проверка sender'ов и recipient'ов
- некоторые дополнительные фильтры (написанные на основании собственных
  реалий и пожеланий)

По поводу масштабов и вопросов нужно это или нет - собственный пример нашей
компании: политика reject'ов достаточно мягкая, но общий объем их составляет
~5 - 7 Gb в месяц (по ценам провайдеров - 300-420 зел/месяц). При этом у нас
не проверяется наличие PTR записи в ДНС для хоста.

Про глупость админов - случай из реальной жизни:
Звонок админа из достаточно крупной фирмы мне:
А: "У вас проблемы с почтой - мы вам не можем отправить письмо."
Я: "Когда и с какой машины Вы его отправляли?"
А: "IP адрес - XXX.XXX.XXX.XXX, такого-то числа во столько-то"
Я: "Все правильно. Я не принимаю от вас почту т.к. вы попали в блок-лист
    http://www.mail-abuse.org"
А: "Какая дурацкая у вас проверка, я всем могу отправить, а вам нет. А мне
    срочно нужно в вашу компанию отправить письмо. Что делать?"
Я: Понимая его проблемы, а также то, что за день он оттуда не вычиститься,
   предлагаю ему отправить письмо мне, а я уже переправлю. Называю ему свои
   адреса в России-он-лайн, МТУ, Ринете. Его и там блокируют. Тут до него
   доходит, что все таки ему надо что-то править.
   
   Ну далее уже не интересно. Хотя надеюсь, что после этого одним
неправильным мейл-сервером меньше. :-))

with best wishes,

Yuri.




^ permalink raw reply	[flat|nested] 17+ messages in thread

* [mdk-re] Re: [mdk-re] некультурные админы
  2001-09-26 14:48 ` [mdk-re] ÎÅËÕÌØÔÕÒÎÙÅ ÁÄÍÉÎÙ Yuri Ryazantsev
@ 2001-09-26 14:57   ` Peter V. Saveliev
  2001-09-26 15:31     ` Maxim
  2001-09-26 17:37     ` [mdk-re] SMTP server (Was: ÎÅËÕÌØÔÕÒÎÙÅ ÁÄÍÉÎÙ) Yuri Ryazantsev
  2001-09-26 15:47   ` [mdk-re] некультурные админы Maxim
  1 sibling, 2 replies; 17+ messages in thread
From: Peter V. Saveliev @ 2001-09-26 14:57 UTC (permalink / raw)
  To: mandrake-russian


Yuri Ryazantsev wrote:

> Извечный вопрос - как с водой не выплеснуть ребенка. О неправильной
> настройке мейл-серверов недавно обсуждалось в antispam@ofisp.org. Краткое
> резюме в моем пересказе и моем понимании: Пользователей, настроившем свой
> компьютер для према и отправки почты, минуя провайдерский мейл-сервер -
> стало много. После этого каждый второй считает себя админом (иногда это
> мнение еще и навязывается должностью). Это ситуация наводит на грустные
> размышления, но она есть и ее надо принимать как существующий факт. Бороться
> с неграмотными админами в Инете надо силами провайдеров (которые правда тоже
> сидят между двух огней - стандартами и деньгами клиентов). И по возможности
> всем разъяснять как правильно делать.

Не могли бы Вы провести небольшой ликбез на эту тему? Дело в том, что мне, возможно,
придется в этой каше поучаствовать, как бы не лопухнуться по незнанию... Обычаев, что
ли, ибо документация по настройке sendmail не объясняет, что такое спам.

--
Петр.





^ permalink raw reply	[flat|nested] 17+ messages in thread

* [mdk-re] некультурные админы
  2001-09-26 14:57   ` [mdk-re] Re: [mdk-re] некультурные админы Peter V. Saveliev
@ 2001-09-26 15:31     ` Maxim
  2001-09-26 15:38       ` [mdk-re] " Peter V. Saveliev
  2001-09-26 17:37     ` [mdk-re] SMTP server (Was: ÎÅËÕÌØÔÕÒÎÙÅ ÁÄÍÉÎÙ) Yuri Ryazantsev
  1 sibling, 1 reply; 17+ messages in thread
From: Maxim @ 2001-09-26 15:31 UTC (permalink / raw)
  To: Peter V. Saveliev

Здравствуйте, Peter.
Вы писали 26 сентября 2001 г., 15:04:06:



PVS> Yuri Ryazantsev wrote:

>> Извечный вопрос - как с водой не выплеснуть ребенка. О неправильной
>> настройке мейл-серверов недавно обсуждалось в antispam@ofisp.org. Краткое
>> резюме в моем пересказе и моем понимании: Пользователей, настроившем свой
>> компьютер для према и отправки почты, минуя провайдерский мейл-сервер -
>> стало много. После этого каждый второй считает себя админом (иногда это
>> мнение еще и навязывается должностью). Это ситуация наводит на грустные
>> размышления, но она есть и ее надо принимать как существующий факт. Бороться
>> с неграмотными админами в Инете надо силами провайдеров (которые правда тоже
>> сидят между двух огней - стандартами и деньгами клиентов). И по возможности
>> всем разъяснять как правильно делать.

PVS> Не могли бы Вы провести небольшой ликбез на эту тему? Дело в том, что мне, возможно,
PVS> придется в этой каше поучаствовать, как бы не лопухнуться по незнанию... Обычаев, что
PVS> ли, ибо документация по настройке sendmail не объясняет, что такое спам.

PVS> --
PVS> Петр.

Спам,  это  те  тонны  байт  рекламы которые вы не запрашивали, но они все равно
валятся  к  вам в почтовый ящик. А спамеры люди достаточно умные и образованные.
Так  как  в некоторых странах эта деятельность карается законом, то они страются
использовать   для  рассылки  не  свои почтовые сервера а чужие. Естественно что
для   этого   используется   протокол SMTP. Этот протокол не только используется
для  отправки  почты,  а  и  для  ее  передачи между серверами. Я бы даже сказал
изначально  он  только  для  этого и использовался. А так как для передачи писем
между  серверами сделать необходимую идентификацию очень сложно. Вы же не знаете
с  какого  сервера  к  вам  придет  письмо, и соответственно определить для него
пароль  и отдельный доступ тоже затруднительно. То используются различные методы
окультуривания  серверов.  Так  как  культурным  людям обычно скрывать нечего. А
спамерам есть. Вот и применяются примерно следующие ограничения:
         отвергать  почту  с  неопознанных хостов - это когда не установлено имя
         хоста, в журнале пишется unknown.
         проверять  адрес  получателя/отправителя  на  соответствие  RFC  -  это
         проверка синтаксиса адреса.
         проверять  IP  адрес отправителя - это когда клиент связывается с вашим
         почтовым  сервером  и пытается отправить почту, он указывает имя своего
         хоста.  А сервер по этому имени пробивает обратный IP и пытается в свою
         очередь  установить  обратную  связь. Если это не получается, то значит
         клиент пошел на фиг. Подробнее команда ETRN
         .....
Ну  и  много  еще  чего.  Это в каждой системе по разному. Хотя на все есть свои
стандарты.  Кстати  для  SendMail  есть  неплохая  книжечка  называется "Системы
электронной  почты  на  основе  Linux".  Я  пользуюсь  не  sendmail  но книжечку
прочитал.  Очень  полезно  для  самообразования. Дабы не уподобляться виндовским
администраторам,  которые, в большинстве, толком и не знают как работают сетевые
протоколы.

-- 
С уважением,
 Maxim                          mailto:max_conf@e-foto.ru




^ permalink raw reply	[flat|nested] 17+ messages in thread

* [mdk-re] Re: [mdk-re] некультурные админы
  2001-09-26 15:31     ` Maxim
@ 2001-09-26 15:38       ` Peter V. Saveliev
  2001-09-26 16:00         ` Maxim
  2001-09-26 16:03         ` [mdk-re] " Sergey S. Skulachenko
  0 siblings, 2 replies; 17+ messages in thread
From: Peter V. Saveliev @ 2001-09-26 15:38 UTC (permalink / raw)
  To: mandrake-russian


Maxim wrote:

<skip>

> Ну  и  много  еще  чего.  Это в каждой системе по разному. Хотя на все есть свои
> стандарты.  Кстати  для  SendMail  есть  неплохая  книжечка  называется "Системы
> электронной  почты  на  основе  Linux".  Я  пользуюсь  не  sendmail  но книжечку
> прочитал.  Очень  полезно  для  самообразования. Дабы не уподобляться виндовским
> администраторам,  которые, в большинстве, толком и не знают как работают сетевые
> протоколы.

Спасибо. А автора книжки не помните?

--
Петр.





^ permalink raw reply	[flat|nested] 17+ messages in thread

* [mdk-re] некультурные админы
  2001-09-26 14:48 ` [mdk-re] ÎÅËÕÌØÔÕÒÎÙÅ ÁÄÍÉÎÙ Yuri Ryazantsev
  2001-09-26 14:57   ` [mdk-re] Re: [mdk-re] некультурные админы Peter V. Saveliev
@ 2001-09-26 15:47   ` Maxim
  2001-09-26 16:47     ` [mdk-re] " Sergei Aranovsky
                       ` (3 more replies)
  1 sibling, 4 replies; 17+ messages in thread
From: Maxim @ 2001-09-26 15:47 UTC (permalink / raw)
  To: Yuri Ryazantsev

Здравствуйте, Yuri.
Вы писали 26 сентября 2001 г., 14:54:22:

YR> On Wed, Sep 26, 2001 at 02:20:54PM +0400, Maxim wrote:

>> обращаюсь к народному опыту.
>> 
>> При настройке POSTFIX установил не допускать unknown клиентов.
>> Ну   естественно   тут   же  таких  нашлось  море.  При  том  половина  из  них
>> действительно рекламщики.
>> 
>> Короче  я  не  знаю  что  теперь  делать.  Я  же  не могу всем нерадивым админам
>> растолковать  как  настраивать  сервера, тем более сам безгоду неделя настраиваю
>> линукс.  А  открыть  тоже не могу. В результате открытия Microsoft Exchange меня
>> уже  один раз записали в спамеры. После этого я на линукс перешел. Там оказались
>> проблемы с настройками, тонкость которых линуксу не занимать.
>> 
>> Вообще кто как борется с такими вещами?

YR> Извечный вопрос - как с водой не выплеснуть ребенка. О неправильной
YR> настройке мейл-серверов недавно обсуждалось в antispam@ofisp.org. Краткое
YR> резюме в моем пересказе и моем понимании: Пользователей, настроившем свой
YR> компьютер для према и отправки почты, минуя провайдерский мейл-сервер -
YR> стало много. После этого каждый второй считает себя админом (иногда это
YR> мнение еще и навязывается должностью). Это ситуация наводит на грустные
YR> размышления, но она есть и ее надо принимать как существующий факт. Бороться
YR> с неграмотными админами в Инете надо силами провайдеров (которые правда тоже
YR> сидят между двух огней - стандартами и деньгами клиентов). И по возможности
YR> всем разъяснять как правильно делать.

Тут  вы  не  очень  правы. Администратором не рождаются, а становятся. Последнее
время  сеть развивается особенно быстро. И количество администраторов тоже прямо
пропорционально.  И  обвинять их не совсем корректно. Все учатся. Конечно есть и
такие  который установив Windows 2000 server написали несколько файлов на HTML и
гордо  назвали  это  WEB  сервером.  У  меня  в  логах апача уже несколько сотен
характерных,  cmd.exe ...., запросов от таких серверов. но это побочные явления.
Они сами отвалятся скоро.

YR> Это общее выступление, а по мейлерной части:
YR> - запрет relay

Вот  тут если можно поподробнее. Я всегда думал что даже обычная отправка письма
это  в  своем  роде тоже relay. Конечно если у вас письма отправляются только из
внутренней  сети,  то да. А у меня по сути получается от куда хочешь. Начальство
по  миру  таскается  как ветер. И то от туда позвонит, то от сюда, ему видите ли
надо  исходящий сервер, а то письмо послать не может. А каждый раз настраиваться
на  местного  провайдера  тоже  не  хочет.  Он там пробудет меньше, чем время на
настройку уйдет. По моему Бен Ладен меньше бегает.

YR> - запрет по общедоступным базам blocking list

Вещь хорошая, но ошибок у них тоже много.

YR> - запрет на основании собственной базы

Такую еще составить надо. А это чтение большинства писем.

YR> - проверка sender'ов и recipient'ов
YR> - некоторые дополнительные фильтры (написанные на основании собственных
YR>   реалий и пожеланий)

YR> По поводу масштабов и вопросов нужно это или нет - собственный пример нашей
YR> компании: политика reject'ов достаточно мягкая, но общий объем их составляет
YR> ~5 - 7 Gb в месяц (по ценам провайдеров - 300-420 зел/месяц). При этом у нас
YR> не проверяется наличие PTR записи в ДНС для хоста.

YR> Про глупость админов - случай из реальной жизни:
YR> Звонок админа из достаточно крупной фирмы мне:
YR> А: "У вас проблемы с почтой - мы вам не можем отправить письмо."
YR> Я: "Когда и с какой машины Вы его отправляли?"
YR> А: "IP адрес - XXX.XXX.XXX.XXX, такого-то числа во столько-то"
YR> Я: "Все правильно. Я не принимаю от вас почту т.к. вы попали в блок-лист
YR>     http://www.mail-abuse.org"
YR> А: "Какая дурацкая у вас проверка, я всем могу отправить, а вам нет. А мне
YR>     срочно нужно в вашу компанию отправить письмо. Что делать?"
YR> Я: Понимая его проблемы, а также то, что за день он оттуда не вычиститься,
YR>    предлагаю ему отправить письмо мне, а я уже переправлю. Называю ему свои
YR>    адреса в России-он-лайн, МТУ, Ринете. Его и там блокируют. Тут до него
YR>    доходит, что все таки ему надо что-то править.
   
YR>    Ну далее уже не интересно. Хотя надеюсь, что после этого одним
YR> неправильным мейл-сервером меньше. :-))

Это  наверное  про  меня. :)))))) Со мной похожее было. До сих пор смешно. :))))
Хотя  я  временно сделал обходной путь, через The Bat на свой машине. :))) тогда
еще exchange стоял.

YR> with best wishes,

YR> Yuri.





-- 
С уважением,
 Maxim                          mailto:max_conf@e-foto.ru




^ permalink raw reply	[flat|nested] 17+ messages in thread

* [mdk-re] некультурные админы
  2001-09-26 15:38       ` [mdk-re] " Peter V. Saveliev
@ 2001-09-26 16:00         ` Maxim
  2001-09-26 16:03         ` [mdk-re] " Sergey S. Skulachenko
  1 sibling, 0 replies; 17+ messages in thread
From: Maxim @ 2001-09-26 16:00 UTC (permalink / raw)
  To: Peter V. Saveliev

Здравствуйте, Peter.
Вы писали 26 сентября 2001 г., 15:45:55:

PVS> Maxim wrote:
PVS> <skip>

>> Ну  и  много  еще  чего.  Это в каждой системе по разному. Хотя на все есть свои
>> стандарты.  Кстати  для  SendMail  есть  неплохая  книжечка  называется "Системы
>> электронной  почты  на  основе  Linux".  Я  пользуюсь  не  sendmail  но книжечку
>> прочитал.  Очень  полезно  для  самообразования. Дабы не уподобляться виндовским
>> администраторам,  которые, в большинстве, толком и не знают как работают сетевые
>> протоколы.

PVS> Спасибо. А автора книжки не помните?

PVS> --
PVS> Петр.

Ричард Блам
Издательство "Вильямс"

она на русском языке.

-- 
С уважением,
 Maxim                          mailto:max_conf@e-foto.ru




^ permalink raw reply	[flat|nested] 17+ messages in thread

* [mdk-re] Re: [mdk-re] некультурные админы
  2001-09-26 15:38       ` [mdk-re] " Peter V. Saveliev
  2001-09-26 16:00         ` Maxim
@ 2001-09-26 16:03         ` Sergey S. Skulachenko
  1 sibling, 0 replies; 17+ messages in thread
From: Sergey S. Skulachenko @ 2001-09-26 16:03 UTC (permalink / raw)
  To: mandrake-russian

On Wed, 26 Sep 2001 15:45:55 +0400
"Peter V. Saveliev" <peet@infosite.ru> wrote:

>>неплохая  книжечка  называется "Системы  электронной  почты  на
>> основе  Linux".  Я  пользуюсь  не  sendmail  но книжечку 
>>прочитал.  Очень  полезно  для  самообразования. Дабы не
>>уподобляться виндовским  администраторам,  которые, в
>>большинстве, толком и не знают как работают сетевые  протоколы.

> Спасибо. А автора книжки не помните?

Ричард Блам "Система..." (далее правильно), "Вильямс", 2001.
____________
С уважением,
С.С.Скулаченко



^ permalink raw reply	[flat|nested] 17+ messages in thread

* [mdk-re] Re: [mdk-re] некультурные админы
  2001-09-26 15:47   ` [mdk-re] некультурные админы Maxim
@ 2001-09-26 16:47     ` Sergei Aranovsky
  2001-09-26 17:05     ` Alexander Starostin
                       ` (2 subsequent siblings)
  3 siblings, 0 replies; 17+ messages in thread
From: Sergei Aranovsky @ 2001-09-26 16:47 UTC (permalink / raw)
  To: mandrake-russian

Здравствуйте,

Maxim wrote:
> YR> - запрет relay
> 
> Вот  тут если можно поподробнее. Я всегда думал что даже обычная отправка письма
> это  в  своем  роде тоже relay. Конечно если у вас письма отправляются только из
> внутренней  сети,  то да. А у меня по сути получается от куда хочешь. Начальство
> по  миру  таскается  как ветер. И то от туда позвонит, то от сюда, ему видите ли
> надо  исходящий сервер, а то письмо послать не может. А каждый раз настраиваться
> на  местного  провайдера  тоже  не  хочет.  Он там пробудет меньше, чем время на
> настройку уйдет. По моему Бен Ладен меньше бегает.

Для этого можно сделать отдельный вход снаружи через SSL.
Плюсы: 
1. 25 порт снаружи закрыт, SMTP трафик идет через другой (не помню какой) порт
2. авторизация доступа
3. шифрование трафика (и, что важно, паролей)
4. то же можно сделать с POP3/IMAP.

Как сделать -- не спрашивайте, не знаю. Только пользуюсь. (SSLeay?)
Все современные почтовые клиенты умеют работать через SSL.

С уважением,
-Сергей Арановский



^ permalink raw reply	[flat|nested] 17+ messages in thread

* [mdk-re] Re: [mdk-re] некультурные админы
  2001-09-26 15:47   ` [mdk-re] некультурные админы Maxim
  2001-09-26 16:47     ` [mdk-re] " Sergei Aranovsky
@ 2001-09-26 17:05     ` Alexander Starostin
  2001-09-26 18:11       ` [mdk-re] Re: [mdk-re] ÎÅËÕÌØÔÕÒÎÙÅ ÁÄÍÉÎÙ Yuri Ryazantsev
  2001-09-26 17:55     ` Yuri Ryazantsev
  2001-09-26 18:20     ` [mdk-re] " Aleksey Novodvorsky
  3 siblings, 1 reply; 17+ messages in thread
From: Alexander Starostin @ 2001-09-26 17:05 UTC (permalink / raw)
  To: Maxim

Hello, Maxim,

среда, 26 сентября 2001 г., you wrote to me:

M> А  у  меня  по  сути  получается  от  куда хочешь. Начальство по миру
M> таскается как ветер. И то от туда позвонит, то от сюда, ему видите ли
M> надо  исходящий  сервер,  а  то письмо послать не может. А каждый раз
M> настраиваться  на  местного провайдера тоже не хочет. Он там пробудет
M> меньше,  чем  время  на  настройку  уйдет.
  Идеологически  правильно  для  такого  начальства  использовать  pptp.
  VPN-клиент   есть   практически   в   любой  windows  и  настраивается
  тривиально. Плюс начальство может получить все ресурсы интрасети, а не
  только доступ к почте, трафик шифруется.

  Возможны  и  иные  варианты (smtp auth, smtp after pop3). Но оставлять
  open  relay  - совершенно никуда не годится. Спамеры достанут и в *rbl
  попадете.

WBR Alexander




^ permalink raw reply	[flat|nested] 17+ messages in thread

* [mdk-re] SMTP server (Was: ÎÅËÕÌØÔÕÒÎÙÅ ÁÄÍÉÎÙ)
  2001-09-26 14:57   ` [mdk-re] Re: [mdk-re] некультурные админы Peter V. Saveliev
  2001-09-26 15:31     ` Maxim
@ 2001-09-26 17:37     ` Yuri Ryazantsev
  1 sibling, 0 replies; 17+ messages in thread
From: Yuri Ryazantsev @ 2001-09-26 17:37 UTC (permalink / raw)
  To: mandrake-russian

On Wed, Sep 26, 2001 at 03:04:06PM +0400, Peter V. Saveliev wrote:

> > Извечный вопрос - как с водой не выплеснуть ребенка. О неправильной
> > настройке мейл-серверов недавно обсуждалось в antispam@ofisp.org. Краткое
> > резюме в моем пересказе и моем понимании: Пользователей, настроившем свой
> > компьютер для према и отправки почты, минуя провайдерский мейл-сервер -
> > стало много. После этого каждый второй считает себя админом (иногда это
> > мнение еще и навязывается должностью). Это ситуация наводит на грустные
> > размышления, но она есть и ее надо принимать как существующий факт. Бороться
> > с неграмотными админами в Инете надо силами провайдеров (которые правда тоже
> > сидят между двух огней - стандартами и деньгами клиентов). И по возможности
> > всем разъяснять как правильно делать.
> 
> Не могли бы Вы провести небольшой ликбез на эту тему? Дело в том, что мне, возможно,
> придется в этой каше поучаствовать, как бы не лопухнуться по незнанию... Обычаев, что
> ли, ибо документация по настройке sendmail не объясняет, что такое спам.

Вообще-то я не считаю себя гуру в этом вопросе, лучше все что я вам тут
наплету проверить по документациям. Рассматриваю только SMTP сервер, т.к.
все остальное почтовое - это ваши внутренние дела. И второе - я не дам вам
рекомендаций по конкретной настройке того или иного SMTP сервера, т.к. это
всегда можно посмотреть в документации, а изменения происходят очень часто.

Правильная насторйка SMTP сервера в моем понимании:

Самое главное - следование стандартам, принятым в сети (RFC и draft я тоже
туда отношу). А значит, если у вас возникли сомнения, по какому-нибудь
вопросу, то идем на http://www.imc.org/ и читаем.

Правильная настройка - она не только техническая, но и организационная. А
значит надо также прочитать и стараться следовать
http://www.ofisp.org/documents/ofisp-005.html и http://www.mail-abuse.org/

Ну а дальше техническая часть:

Определяемся какая или какие машины у нас принимают почту и правильно
настраиваем DNS. Это подразумевает, что по каждому домену или хосту,
принимающему почту, должна существовать MX запись, которая указывает на
существующий хост (для которого есть действующая A запись) и IP адрес на
который все это показывет имеет PTR запись, указывающую на на хост с тем же
IP адресом. Если это я слишком закрутил, то поясню на примере:

Домен example.ru
Хочу, чтобы всю почту принимала машина mail.example.ru
DNS должен содержать следующие записи:

$ORIGIN example.ru.
@	IN MX 10	mail.example.ru.
mail	IN A		192.168.10.1
gate	IN A		192.168.10.1

$ORIGIN 10.168.192.in-addrp.arpa.
1	IN PTR		gate.example.ru.

Далее собственно SMTP сервер. Все настройки его могут выбиратся по
соображениям безопасности и реальности (дело вкуса; главное отдавать себе
отчет в том, что ты делаешь и нести ответственность за последствия). Что и
когда настраивать лучше рассматривать на примере SMTP минимальной сессии:

Машина 10.0.0.1 хочет отправить вам письмо (в начале строки > - то что к
вам пришло, < то что вы выдаете):

1  > connect to mail.example.ru на порт 25
2  < 220 mail.example.ru ESMTP
3  > HELO qqq.yahoo.com
4  < 250 mail.exapmle.ru Hello qqq.yahoo.com [10.0.0.1]
5  > MAIL FROM: badmen@yahoo.com
6  < 250 <badmen@yahoo.com> OK
7  > RCPT TO: root@example.ru
8  < 250 <root@example.ru> OK
9  > DATA
10 < 354 Enter message, ending with "." on a line by itself

Далее передается само письмо

11 > .
12 < 250 OK
13 > QUIT
14 < 221 mail.example.ru closing connection

Далее по этапам:

1. Это проблема firewall - пропускать или нет. Я это часто использую для
хостов зараженных вирусами и слишком много коннектов открывающих на меня.
Также на этом этапе можно проверить и решить пускать или не пускать машину,
по следующим критериям:

loadavg - большая загрузка системы. Довольно частая диагностика на mail.ru
max connect - количество одновременных коннектов с одного хоста

2. Что выдавать в этой строке решает сам администратор. У меня правило - чем
меньше информации, тем лучше. Обязательным является - 220 (код возврата) и
протокол ESMTP (если ваша система поддерживает ESMTP протокол) или SMTP. Во
всех конфигах есть возможность изменять эту строку. Лучше не показывать имя
программы и версию, которые вы используете, т.к. это дополнительная
информация для взлома через известные дырки, которые вы не успели залатать.

3. Наименее информативная строка во всем протоколе на сегодняшний день, но
после нее есть возможность принять массу решений. Информативность ее низка
т.к. qqq.yahoo.com может быть любой строкой и действительности не
соответствовать. Во многих MTA есть возможность проверять разные
соответствия, но по реальности эти проверки ничего не стоят. Единственное,
что можно проверить, это по IP адресу открытого сокета, что этот хост не
находится в блоклистах (местных и общих). По остальным проверкам:
	- единственное, что вы имеете - это IP адрес открытого соединения.
	  По ДНС проверять бессмысленно, т.к. не все его настраивают. По
	  обратному соединению тоже, т.к. машина может (а чаще так и есть)
	  стоять за firewall и не принимать входные соединения вообще (часто
	  провайдеров - входные и выходные мейл-сервера могут быть разными).

4. Если это не проштрафившийся по отношению к вам хост, то вы принимаете его
соединение. О чем вы ему и сообщаете 250 кодом возврата.

5-8. Наиболее интересный момент настройки. Вы должны определится, кто
является своим (внутренним) клиентом, а кто чужим (внешним). Так вот, ваша
почтовая машина должна принимать почту либо для своего клиента, либо от
своего. Почта от чужого к чужому называется relay и должна reject'иться. В
противном случае вы попадете в RBL (relay blocking list) и вас будут
отбрасывать на 4 этапе (см. выше). При этом необходимо учитывать, что адреса
могут быть простыми (root@example.com), так и более сложными, например:
another%yahoo.com@example.ru. Последний представляет из себя адрес с
редиректом: отправить письмо на another@yahoo.com из домена example.ru. В
SOHO (small office, home office) системах такие адреса можно спокойно не
принимать.
Итак на этих этапах вы принимаете решение принимать почту или нет (о чем
сообщаете в кодах возврата) на основании следующего:
	- синтаксическая проверка адресов получателя и отправителя;
	- проверка существования доменов получателя и отправителя;
	- отсутствие relay;
	- отсутствие получателя и отправителя в блок-листах;
	- проверка существования получателя и отправителя обратным SMTP
	  соединением. Эта проверка имеет обратную сторону медали для редко
	  достижимых хостов. Вы от своего клиента не принимаете почту из-за
	  недоступности мейл-сервера получателя. Зато не болтается в очереди
	  лишнего :-)
	- проверка того, что тот кто является своим имеет возможность
	  получать/отправлять почту (например квоты). Если у пользователя
	  переполнен почтовый ящик, то я ему и отправлять не разрешаю, т.к.
	  непонятно куда потом деть письмо об ошибке.
	- можно добавить еще по вкусу. Но необходимо помнить, что любые преграды
	  еще и уменьшают производительность системы. Иногда нужна золотая
	  середина.

9-11. Далее вы приняли письмо и положили его в очередь на обработку. Здесь
проверки наиболее простые:
	- соответствие письма формату RFC2822;
	- отсутствие вирусов и других недопустимых вложений;
	- другие фильтры по содержимому (допустим вы не хотите, чтобы ваш
          сын получал письма со словами drug, sex, adult ...)
Что делать с письмом на этом этапе: по протоколу лучше всего в любом случае
сказать 250 OK, т.к. его та машина заново будет опять вам посылать. А вы его
в /dev/null, а автору некий возврат, зависящий от вашей фантазии.

Дополнение:
	- команды VRFY и EXPN лучше запретить.
	- ТРЕБОВАНИЕ RFC - в каждом почтовом домене должен быть ЧЕЛОВЕК (а
          не автомат), получающий почту по адресу postmaster@
	- желательно, чтобы существовали адреса:
		abuse
		admin
		answer
		hostmaster
		info
		mailer-daemon
		noc
		operator
		security
	  остальное (типа webmaster, manager, ...) - по вкусу

Ну вот вкратце вроде как и все. Если что сумбурно - прошу прощения, писал в
рабочее время в перерывах. Если есть вопросы или замечания - считаю
обсуждение полезно для всех.

with best wishes,

Yuri.




^ permalink raw reply	[flat|nested] 17+ messages in thread

* Re: [mdk-re] ÎÅËÕÌØÔÕÒÎÙÅ ÁÄÍÉÎÙ
  2001-09-26 15:47   ` [mdk-re] некультурные админы Maxim
  2001-09-26 16:47     ` [mdk-re] " Sergei Aranovsky
  2001-09-26 17:05     ` Alexander Starostin
@ 2001-09-26 17:55     ` Yuri Ryazantsev
  2001-09-26 18:39       ` [mdk-re] Re[2]: [mdk-re] некультурные админы Maxim
  2001-09-26 18:20     ` [mdk-re] " Aleksey Novodvorsky
  3 siblings, 1 reply; 17+ messages in thread
From: Yuri Ryazantsev @ 2001-09-26 17:55 UTC (permalink / raw)
  To: mandrake-russian

On Wed, Sep 26, 2001 at 03:59:07PM +0400, Maxim wrote:

> Тут  вы  не  очень  правы. Администратором не рождаются, а становятся. Последнее
> время  сеть развивается особенно быстро. И количество администраторов тоже прямо
> пропорционально.  И  обвинять их не совсем корректно. Все учатся. Конечно есть и
> такие  который установив Windows 2000 server написали несколько файлов на HTML и
> гордо  назвали  это  WEB  сервером.  У  меня  в  логах апача уже несколько сотен
> характерных,  cmd.exe ...., запросов от таких серверов. но это побочные явления.
> Они сами отвалятся скоро.

Не согласен. Microsoft испортил основательно все, к чему прикасался -
программистов, администраторов, стандарты, протоколы и т.д. Даже сейчас, при
наличии огромного количества вирусов, рассылаемых по почте, всеръез говорят
не о слабости MS, а о том, что это недостаток Интернет почты как таковой и
она отомрет. А MS под этот шум выпустит некую фитюльку позволяющую общаться.
Сравните сейчас использование почты и ICQ. И это все способствует не
повышению уровня админов, а еще большая их зависимость от большого дяди,
который о них заботится (во как завернул и вроде никого не обидел. место
больно скользкое :-)

> Вот  тут если можно поподробнее. Я всегда думал что даже обычная отправка письма
> это  в  своем  роде тоже relay. Конечно если у вас письма отправляются только из
> внутренней  сети,  то да. А у меня по сути получается от куда хочешь. Начальство
> по  миру  таскается  как ветер. И то от туда позвонит, то от сюда, ему видите ли
> надо  исходящий сервер, а то письмо послать не может. А каждый раз настраиваться
> на  местного  провайдера  тоже  не  хочет.  Он там пробудет меньше, чем время на
> настройку уйдет. По моему Бен Ладен меньше бегает.

Свой - это твоя внутренняя сеть и твои доверительные сети. Чужой - все
остальное. RELAY - отправка почты от чужого к чужому. При этом тот, кто к
тебе пришел определяется по IP адресу, а не по тому, что он написал в
MAIL FROM. А для случаев с бегающим начальником есть два решения:

1. SMTP AUTH - поддерживается очень широко и является наиболее
   предпочтительным. Но если вы наткнулись на невозможность использования
   этого метода, то
2. POP-before-SMTP. Суть его заключается в том, что перед SMTP соединением
   пользователь смотрит содержимое своего ящика. IP адрес с которого он это
   сделал заносится в список разрешенных для relay хостов на срок 10 минут,
   например.

> YR> - запрет по общедоступным базам blocking list
> 
> Вещь хорошая, но ошибок у них тоже много.

Универсального решения не бывает :-(. Из двух зол выбирай меньшее.

with best wishes,

Yuri.




^ permalink raw reply	[flat|nested] 17+ messages in thread

* Re: [mdk-re] Re: [mdk-re] ÎÅËÕÌØÔÕÒÎÙÅ ÁÄÍÉÎÙ
  2001-09-26 17:05     ` Alexander Starostin
@ 2001-09-26 18:11       ` Yuri Ryazantsev
  0 siblings, 0 replies; 17+ messages in thread
From: Yuri Ryazantsev @ 2001-09-26 18:11 UTC (permalink / raw)
  To: mandrake-russian

On Wed, Sep 26, 2001 at 05:11:26PM +0400, Alexander Starostin wrote:

>   Идеологически  правильно  для  такого  начальства  использовать  pptp.
>   VPN-клиент   есть   практически   в   любой  windows  и  настраивается
>   тривиально. Плюс начальство может получить все ресурсы интрасети, а не
>   только доступ к почте, трафик шифруется.

А вот разрешите с Вами поспорить: если нужен ресурс внутренней сети, то
согласен. Но только в этом случае. Если ему нужна только почта - smtp auth,
pop-before-smtp. Если ему нужно зашифровать ее - SMTP over SSL, PGP. Но
просто для почты снаружи машину пускать во внутреннюю сеть не буду (даже
если это начальник).

А про VPN клиент под Win - соединяется у меня начальник, через какой-то ISDN
адаптер. Причем если соединения нет, то и адаптеров никаких нет. Запускается
утилита - появляется некая карта после соединения с IP адресом. Так вот в
такой ситуации единственное, что я нашел - CIPE, только на сервере мне оно
не нравится. А других решений я не нашел. Если кто подскажет, как это с
FreeS/WAN связать, да еще не машина сеть, а сеть - сеть, моя благодарность
не будет знать границ в пределах разумного :-)

with best wishes,

Yuri.




^ permalink raw reply	[flat|nested] 17+ messages in thread

* [mdk-re] Re: [mdk-re] некультурные админы
  2001-09-26 15:47   ` [mdk-re] некультурные админы Maxim
                       ` (2 preceding siblings ...)
  2001-09-26 17:55     ` Yuri Ryazantsev
@ 2001-09-26 18:20     ` Aleksey Novodvorsky
  2001-09-28 18:55       ` Sergey Vlasov
  3 siblings, 1 reply; 17+ messages in thread
From: Aleksey Novodvorsky @ 2001-09-26 18:20 UTC (permalink / raw)
  To: mandrake-russian

Maxim wrote:

>
> настройку уйдет. По моему Бен Ладен меньше бегает.
>

В Debian теперь принято писать :  /bin/laden

Rgrds, AEN




^ permalink raw reply	[flat|nested] 17+ messages in thread

* [mdk-re] Re[2]: [mdk-re] некультурные админы
  2001-09-26 17:55     ` Yuri Ryazantsev
@ 2001-09-26 18:39       ` Maxim
  0 siblings, 0 replies; 17+ messages in thread
From: Maxim @ 2001-09-26 18:39 UTC (permalink / raw)
  To: Yuri Ryazantsev

Здравствуйте, Yuri.
Вы писали 26 сентября 2001 г., 18:01:29:

YR> On Wed, Sep 26, 2001 at 03:59:07PM +0400, Maxim wrote:

>> Тут  вы  не  очень  правы. Администратором не рождаются, а становятся. Последнее
>> время  сеть развивается особенно быстро. И количество администраторов тоже прямо
>> пропорционально.  И  обвинять их не совсем корректно. Все учатся. Конечно есть и
>> такие  который установив Windows 2000 server написали несколько файлов на HTML и
>> гордо  назвали  это  WEB  сервером.  У  меня  в  логах апача уже несколько сотен
>> характерных,  cmd.exe ...., запросов от таких серверов. но это побочные явления.
>> Они сами отвалятся скоро.

YR> Не согласен. Microsoft испортил основательно все, к чему прикасался -
YR> программистов, администраторов, стандарты, протоколы и т.д. Даже сейчас, при
YR> наличии огромного количества вирусов, рассылаемых по почте, всеръез говорят
YR> не о слабости MS, а о том, что это недостаток Интернет почты как таковой и
YR> она отомрет. А MS под этот шум выпустит некую фитюльку позволяющую общаться.
YR> Сравните сейчас использование почты и ICQ. И это все способствует не
YR> повышению уровня админов, а еще большая их зависимость от большого дяди,
YR> который о них заботится (во как завернул и вроде никого не обидел. место
YR> больно скользкое :-)

Ну  в общем это я тоже имел ввиду. Надо на Microsoft в суд подать, за равращение
малоопытных админов. :)

>> Вот  тут если можно поподробнее. Я всегда думал что даже обычная отправка письма
>> это  в  своем  роде тоже relay. Конечно если у вас письма отправляются только из
>> внутренней  сети,  то да. А у меня по сути получается от куда хочешь. Начальство
>> по  миру  таскается  как ветер. И то от туда позвонит, то от сюда, ему видите ли
>> надо  исходящий сервер, а то письмо послать не может. А каждый раз настраиваться
>> на  местного  провайдера  тоже  не  хочет.  Он там пробудет меньше, чем время на
>> настройку уйдет. По моему Бен Ладен меньше бегает.

YR> Свой - это твоя внутренняя сеть и твои доверительные сети. Чужой - все
YR> остальное. RELAY - отправка почты от чужого к чужому. При этом тот, кто к
YR> тебе пришел определяется по IP адресу, а не по тому, что он написал в
YR> MAIL FROM. А для случаев с бегающим начальником есть два решения:

YR> 1. SMTP AUTH - поддерживается очень широко и является наиболее
YR>    предпочтительным. Но если вы наткнулись на невозможность использования
YR>    этого метода, то
YR> 2. POP-before-SMTP. Суть его заключается в том, что перед SMTP соединением
YR>    пользователь смотрит содержимое своего ящика. IP адрес с которого он это
YR>    сделал заносится в список разрешенных для relay хостов на срок 10 минут,
YR>    например.

>> YR> - запрет по общедоступным базам blocking list
>> 
>> Вещь хорошая, но ошибок у них тоже много.

YR> Универсального решения не бывает :-(. Из двух зол выбирай меньшее.

YR> with best wishes,

YR> Yuri.







-- 
С уважением,
 Maxim                          mailto:max_conf@e-foto.ru




^ permalink raw reply	[flat|nested] 17+ messages in thread

* Re: [mdk-re] Re: [mdk-re] некультурные админы
  2001-09-26 18:20     ` [mdk-re] " Aleksey Novodvorsky
@ 2001-09-28 18:55       ` Sergey Vlasov
  0 siblings, 0 replies; 17+ messages in thread
From: Sergey Vlasov @ 2001-09-28 18:55 UTC (permalink / raw)
  To: mandrake-russian

On Wed, 26 Sep 2001 18:35:23 +0400
Aleksey Novodvorsky <aen@logic.ru> wrote:

> Maxim wrote:
> 
> >
> > настройку уйдет. По моему Бен Ладен меньше бегает.
> >
> 
> В Debian теперь принято писать :  /bin/laden

Здесь его тоже хорошо обозвали:

http://www.compulenta.ru/news/2001/9/26/19737/



^ permalink raw reply	[flat|nested] 17+ messages in thread

end of thread, other threads:[~2001-09-28 18:55 UTC | newest]

Thread overview: 17+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2001-09-26 14:09 [mdk-re] некультурные админы Maxim
2001-09-26 14:15 ` Artem K. Jouravsky
2001-09-26 14:48 ` [mdk-re] ÎÅËÕÌØÔÕÒÎÙÅ ÁÄÍÉÎÙ Yuri Ryazantsev
2001-09-26 14:57   ` [mdk-re] Re: [mdk-re] некультурные админы Peter V. Saveliev
2001-09-26 15:31     ` Maxim
2001-09-26 15:38       ` [mdk-re] " Peter V. Saveliev
2001-09-26 16:00         ` Maxim
2001-09-26 16:03         ` [mdk-re] " Sergey S. Skulachenko
2001-09-26 17:37     ` [mdk-re] SMTP server (Was: ÎÅËÕÌØÔÕÒÎÙÅ ÁÄÍÉÎÙ) Yuri Ryazantsev
2001-09-26 15:47   ` [mdk-re] некультурные админы Maxim
2001-09-26 16:47     ` [mdk-re] " Sergei Aranovsky
2001-09-26 17:05     ` Alexander Starostin
2001-09-26 18:11       ` [mdk-re] Re: [mdk-re] ÎÅËÕÌØÔÕÒÎÙÅ ÁÄÍÉÎÙ Yuri Ryazantsev
2001-09-26 17:55     ` Yuri Ryazantsev
2001-09-26 18:39       ` [mdk-re] Re[2]: [mdk-re] некультурные админы Maxim
2001-09-26 18:20     ` [mdk-re] " Aleksey Novodvorsky
2001-09-28 18:55       ` Sergey Vlasov

ALT Linux Community general discussions

This inbox may be cloned and mirrored by anyone:

	git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git

	# If you have public-inbox 1.1+ installed, you may
	# initialize and index your mirror using the following commands:
	public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
		mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
	public-inbox-index community

Example config snippet for mirrors.
Newsgroup available over NNTP:
	nntp://lore.altlinux.org/org.altlinux.lists.community


AGPL code for this site: git clone https://public-inbox.org/public-inbox.git