ALT Linux Community general discussions
 help / color / mirror / Atom feed
* [Comm] глюк или фича в  postfix( е ) ?
@ 2005-03-11 19:29 Maksim E Lapin
  2005-03-13 10:13 ` Max Lapin
  0 siblings, 1 reply; 15+ messages in thread
From: Maksim E Lapin @ 2005-03-11 19:29 UTC (permalink / raw)
  To: community

наблюдаю вот какую странность в постфиксе 2.0.20-alt1 из дистрибутива мастер 2.4 есть в конфиге строчка

smtpd_helo_restrictions = permit_mynetworks, reject_invalid_hostname, reject_unknown_hostname, reject_non_fqdn_hostname, permit

в принципе ничего не обычного. захожу на сервер телнетом с машины не имеющей A и MX PTR записей в DNS пишу EHLO 1.2.3.4 (адрес свой настоящий) режет - в принципе и это нормально НО пишу EHLO mail.ru к примеру тоесть ЛЮБОЙ домен для которого есть А и MX - не режет... разве это нормально ? в логах пишет from: mail.ru (unknown[1.2.3.4]) и проглатывает. Может кто чего подскажет?

(извините если сообщение дубль..)
__________
www.newmail.ru -- бесплатная почта, бесплатный хостинг.


^ permalink raw reply	[flat|nested] 15+ messages in thread

* Re: [Comm] глюк или фича в  postfix( е ) ?
  2005-03-11 19:29 [Comm] глюк или фича в postfix( е ) ? Maksim E Lapin
@ 2005-03-13 10:13 ` Max Lapin
  2005-03-13 13:44   ` Dmitry Lebkov
  2005-03-13 13:52   ` [Comm] глюк или фича в postfix( е ) ? Pavel Usischev
  0 siblings, 2 replies; 15+ messages in thread
From: Max Lapin @ 2005-03-13 10:13 UTC (permalink / raw)
  To: community

Maksim E Lapin пишет:
всетаки кто нить ответит? эта фича сводит на нет всю антиспамовскую 
защиту...

> наблюдаю вот какую странность в постфиксе 2.0.20-alt1 из дистрибутива мастер 2.4 есть в конфиге строчка
>
>smtpd_helo_restrictions = permit_mynetworks, reject_invalid_hostname, reject_unknown_hostname, reject_non_fqdn_hostname, permit
>
>в принципе ничего не обычного. захожу на сервер телнетом с машины не имеющей A и MX PTR записей в DNS пишу EHLO 1.2.3.4 (адрес свой настоящий) режет - в принципе и это нормально НО пишу EHLO mail.ru к примеру тоесть ЛЮБОЙ домен для которого есть А и MX - не режет... разве это нормально ? в логах пишет from: mail.ru (unknown[1.2.3.4]) и проглатывает. Может кто чего подскажет?
>
>
>  
>



^ permalink raw reply	[flat|nested] 15+ messages in thread

* Re: [Comm] глюк или фича в  postfix( е ) ?
  2005-03-13 10:13 ` Max Lapin
@ 2005-03-13 13:44   ` Dmitry Lebkov
  2005-03-13 14:40     ` Max Lapin
  2005-03-13 13:52   ` [Comm] глюк или фича в postfix( е ) ? Pavel Usischev
  1 sibling, 1 reply; 15+ messages in thread
From: Dmitry Lebkov @ 2005-03-13 13:44 UTC (permalink / raw)
  To: community

Max Lapin wrote:
> Maksim E Lapin пишет:
> всетаки кто нить ответит? эта фича сводит на нет всю антиспамовскую 
> защиту...

Что это за "защита", если она базируется на одной проверке HELO?

> 
>> наблюдаю вот какую странность в постфиксе 2.0.20-alt1 из дистрибутива 
>> мастер 2.4 есть в конфиге строчка
>>
>> smtpd_helo_restrictions = permit_mynetworks, reject_invalid_hostname, 
>> reject_unknown_hostname, reject_non_fqdn_hostname, permit
>>
>> в принципе ничего не обычного. захожу на сервер телнетом с машины не 
>> имеющей A и MX PTR записей в DNS пишу EHLO 1.2.3.4 (адрес свой 
>> настоящий) режет - в принципе и это нормально НО пишу EHLO mail.ru к 
>> примеру тоесть ЛЮБОЙ домен для которого есть А и MX - не режет... 
>> разве это нормально ? в логах пишет from: mail.ru (unknown[1.2.3.4]) и 
>> проглатывает. Может кто чего подскажет?

Этот твой хост (1.2.3.4) наверняка присутствуетв mynetworks ...

А для "ухарей", подставляющих в HELO домены известных почтовых
служб у меня используется вот такое:

smtpd_recipient_restrictions =
  ...
  check_helo_access regexp:/etc/postfix/helo_access.regexp,
  ...

/etc/postfix/helo_access.regexp:
/^mail\.com$/                   REJECT
/^mail\.ru$/                    REJECT
/^compuserve\.com$/             REJECT
/^msn\.com$/                    REJECT
/^cisco\.com$/                  REJECT
/^aol\.com$/                    REJECT
/^microsoft\.com$/              REJECT
/^netscape\.com$/               REJECT
/^netscape\.net$/               REJECT
/^rambler\.ru$/                 REJECT
/^chat\.ru$/                    REJECT
/^list\.ru$/                    REJECT
/^inbox\.ru$/                   REJECT
/^yahoo\.com$/                  REJECT
/^yahoo\.tw$/                   REJECT
/^yahoo\.hk$/                   REJECT
/^yahoo\.cn$/                   REJECT
/^sprint\.ca$/                  REJECT
/^yandex\.ru$/                  REJECT
...

-- 
WBR, Dmitry Lebkov


^ permalink raw reply	[flat|nested] 15+ messages in thread

* Re: [Comm] глюк или фича в  postfix( е ) ?
  2005-03-13 10:13 ` Max Lapin
  2005-03-13 13:44   ` Dmitry Lebkov
@ 2005-03-13 13:52   ` Pavel Usischev
  1 sibling, 0 replies; 15+ messages in thread
From: Pavel Usischev @ 2005-03-13 13:52 UTC (permalink / raw)
  To: community

Max Lapin пишет:
> всетаки кто нить ответит? эта фича сводит на нет всю антиспамовскую 
> защиту...
> 
>> наблюдаю вот какую странность в постфиксе 2.0.20-alt1 из дистрибутива 
>> мастер 2.4 есть в конфиге строчка
>>
>> smtpd_helo_restrictions = permit_mynetworks, reject_invalid_hostname, 
>> reject_unknown_hostname, reject_non_fqdn_hostname, permit
>>
>> в принципе ничего не обычного. захожу на сервер телнетом с машины не 
>> имеющей A и MX PTR записей в DNS пишу EHLO 1.2.3.4 (адрес свой 
>> настоящий) режет - в принципе и это нормально НО пишу EHLO mail.ru к 
>> примеру тоесть ЛЮБОЙ домен для которого есть А и MX - не режет... 
>> разве это нормально ? в логах пишет from: mail.ru (unknown[1.2.3.4]) и 
>> проглатывает. Может кто чего подскажет?

По сути: reject_invalid_hostname проверяет лишь синтаксис полученного 
HELO или EHLO; reject_unknown_hostname режет, если передано 
несуществующее доменное имя; reject_non_fqdn_hostname режет, если 
переданное доменное имя не в полностью определённой форме. Соответствие 
имени IP-адресу ни одно из этих ограничений, по крайней мере судя по 
документации на www.postfix.org (или man 5 postconf начиная с версии 
postfix 2.1), не проверяет.

Совет: если проблемы в этом месте сводят на нет _всю_ антиспамовую 
защиту, стоит серьёзно подумать о её улучшении. Очень полезная в этом 
плане статья есть тут: 
http://www.freesoftwaremagazine.com/free_issues/issue_02/focus_spam_postfix/

Вместо упомянутого там postgrey в сизифе есть sqlgrey (в архивах должна 
быть ссылка и на его сборку под Master 2.4).

-- 
С уважением,
Павел Усищев


^ permalink raw reply	[flat|nested] 15+ messages in thread

* Re: [Comm] глюк или фича в  postfix( е ) ?
  2005-03-13 13:44   ` Dmitry Lebkov
@ 2005-03-13 14:40     ` Max Lapin
  2005-03-13 15:19       ` [Comm] " Konstantin A. Lepikhov
  2005-03-13 15:41       ` [Comm] " Dmitry Lebkov
  0 siblings, 2 replies; 15+ messages in thread
From: Max Lapin @ 2005-03-13 14:40 UTC (permalink / raw)
  To: community

Dmitry Lebkov пишет:

> Max Lapin wrote:
>
>> Maksim E Lapin пишет:
>> всетаки кто нить ответит? эта фича сводит на нет всю антиспамовскую 
>> защиту...
>
>
> Что это за "защита", если она базируется на одной проверке HELO?

Ну естественно не только ...  я все "урезал" для большей понятности 
самой проблеммы, но неужели нету элементарной проверки на подлинность? в 
принципе достаточно проверить MX-ы для того домена который и сравнить с 
IP c которого устанавливается связь. Ведь собствено 
reject_unknown_hostname в данном случае проверяет именно поддельное имя, 
а не реальное... я могу в исходниках изменить проверку, но хотелось бы 
узнать чем собственно была вызвана именно такая проверка и правильно ли это?

>
>>
>>> наблюдаю вот какую странность в постфиксе 2.0.20-alt1 из 
>>> дистрибутива мастер 2.4 есть в конфиге строчка
>>>
>>> smtpd_helo_restrictions = permit_mynetworks, 
>>> reject_invalid_hostname, reject_unknown_hostname, 
>>> reject_non_fqdn_hostname, permit
>>>
>>> в принципе ничего не обычного. захожу на сервер телнетом с машины не 
>>> имеющей A и MX PTR записей в DNS пишу EHLO 1.2.3.4 (адрес свой 
>>> настоящий) режет - в принципе и это нормально НО пишу EHLO mail.ru к 
>>> примеру тоесть ЛЮБОЙ домен для которого есть А и MX - не режет... 
>>> разве это нормально ? в логах пишет from: mail.ru (unknown[1.2.3.4]) 
>>> и проглатывает. Может кто чего подскажет?
>>
>
> Этот твой хост (1.2.3.4) наверняка присутствуетв mynetworks ...
>
> А для "ухарей", подставляющих в HELO домены известных почтовых
> служб у меня используется вот такое:
>
> smtpd_recipient_restrictions =
>  ...
>  check_helo_access regexp:/etc/postfix/helo_access.regexp,
>  ...
>
> /etc/postfix/helo_access.regexp:
> /^mail\.com$/                   REJECT
> /^mail\.ru$/                    REJECT
> /^compuserve\.com$/             REJECT
> /^msn\.com$/                    REJECT
> /^cisco\.com$/                  REJECT
> /^aol\.com$/                    REJECT
> /^microsoft\.com$/              REJECT
> /^netscape\.com$/               REJECT
> /^netscape\.net$/               REJECT
> /^rambler\.ru$/                 REJECT
> /^chat\.ru$/                    REJECT
> /^list\.ru$/                    REJECT
> /^inbox\.ru$/                   REJECT
> /^yahoo\.com$/                  REJECT
> /^yahoo\.tw$/                   REJECT
> /^yahoo\.hk$/                   REJECT
> /^yahoo\.cn$/                   REJECT
> /^sprint\.ca$/                  REJECT
> /^yandex\.ru$/                  REJECT
> ...
>



^ permalink raw reply	[flat|nested] 15+ messages in thread

* [Comm] Re: глюк или фича в  postfix( е ) ?
  2005-03-13 14:40     ` Max Lapin
@ 2005-03-13 15:19       ` Konstantin A. Lepikhov
  2005-03-13 17:23         ` Maksim E Lapin
  2005-03-13 15:41       ` [Comm] " Dmitry Lebkov
  1 sibling, 1 reply; 15+ messages in thread
From: Konstantin A. Lepikhov @ 2005-03-13 15:19 UTC (permalink / raw)
  To: community

Hi Max!

Sunday 13, at 05:40:54 PM you wrote:

> Dmitry Lebkov пишет:
> 
> >Max Lapin wrote:
> >
> >>Maksim E Lapin пишет:
> >>всетаки кто нить ответит? эта фича сводит на нет всю антиспамовскую 
> >>защиту...
> >
> >
> >Что это за "защита", если она базируется на одной проверке HELO?
> 
> Ну естественно не только ...  я все "урезал" для большей понятности 
> самой проблеммы, но неужели нету элементарной проверки на подлинность? в 
> принципе достаточно проверить MX-ы для того домена который и сравнить с 
> IP c которого устанавливается связь. Ведь собствено 
> reject_unknown_hostname в данном случае проверяет именно поддельное имя, 
> а не реальное... я могу в исходниках изменить проверку, но хотелось бы 
> узнать чем собственно была вызвана именно такая проверка и правильно ли это?
а чем вас check_helo_access не устраивает? Делаете для таких map, а дальше
рубите по приведенному ниже примеру (как говорится, на подлете).

PS Если поставите 2.1, то там есть много вкусного (например
check_helo_mx_access/check_help_ns_access).

-- 
WBR, Konstantin	      chat with ==>ICQ: 109916175
     Lepikhov,	      speak  to ==>JID: lakostis@jabber.org
aka L.A. Kostis       write  to ==>mailto:lakostis@pisem.net.nospam

...The information is like the bank... 			  (c) EC8OR


^ permalink raw reply	[flat|nested] 15+ messages in thread

* Re: [Comm] глюк или фича в  postfix( е ) ?
  2005-03-13 14:40     ` Max Lapin
  2005-03-13 15:19       ` [Comm] " Konstantin A. Lepikhov
@ 2005-03-13 15:41       ` Dmitry Lebkov
  2005-03-13 16:35         ` Re[2]: [Comm] глюк_или_фича_в__postfix(_е_)_? Maksim E Lapin
  1 sibling, 1 reply; 15+ messages in thread
From: Dmitry Lebkov @ 2005-03-13 15:41 UTC (permalink / raw)
  To: community

Max Lapin wrote:
> Dmitry Lebkov пишет:
> 
>> Max Lapin wrote:
>>
>>> Maksim E Lapin пишет:
>>> всетаки кто нить ответит? эта фича сводит на нет всю антиспамовскую 
>>> защиту...
>>
>> Что это за "защита", если она базируется на одной проверке HELO?
> 
> 
> Ну естественно не только ...  я все "урезал" для большей понятности 
> самой проблеммы, но неужели нету элементарной проверки на подлинность? в 
> принципе достаточно проверить MX-ы для того домена который и сравнить с 
> IP c которого устанавливается связь.

А посмотри на ситуацию немного шире: конфигурация, в которой один (или больше)
серверов занимаются только отправкой по SMTP и один (или больше) - только
приемом по SMTP. Конфигурация вполне реальная. Как ты в этом случае проверишь
подлинность по MX-записи?

> Ведь собствено reject_unknown_hostname в данном случае проверяет именно
> поддельное имя, а не реальное...

http://www.postfix.org/postconf.5.html#reject_unknown_hostname
- более правильного поведения данного reject-правила ты врядли
придумаешь.

> я могу в исходниках изменить проверку, но хотелось бы узнать чем собственно
> была вызвана именно такая проверка и правильно ли  это?

Задай вопрос автору постфикса. ;) Проверка правильна - она делает ровно то,
для чего и предназначалась: reject если данных хост unknown. Правила определения
unknown см. в документации (ссылка выше).


-- 
WBR, Dmitry Lebkov


^ permalink raw reply	[flat|nested] 15+ messages in thread

* Re[2]: [Comm] глюк_или_фича_в__postfix(_е_)_?
  2005-03-13 15:41       ` [Comm] " Dmitry Lebkov
@ 2005-03-13 16:35         ` Maksim E Lapin
  2005-03-14  0:05           ` Dmitry Lebkov
  2005-03-14  5:22           ` Mike Lykov
  0 siblings, 2 replies; 15+ messages in thread
From: Maksim E Lapin @ 2005-03-13 16:35 UTC (permalink / raw)
  To: community

Hello, Dmitry Lebkov 
Вс, 13.03.2005 19:41:25 you wrote:

DL> Max Lapin wrote:
DL> > Dmitry Lebkov пишет:
DL> > 
DL> >> Max Lapin wrote:
DL> >>
DL> >>> Maksim E Lapin пишет:
DL> >>> всетаки кто нить ответит? эта фича сводит на нет всю антиспамовскую 
DL> >>> защиту...
DL> >>
DL> >> Что это за "защита", если она базируется на одной проверке HELO?
DL> > 
DL> > 
DL> > Ну естественно не только ...  я все "урезал" для большей понятности 
DL> > самой проблеммы, но неужели нету элементарной проверки на подлинность? в 
DL> > принципе достаточно проверить MX-ы для того домена который и сравнить с 
DL> > IP c которого устанавливается связь.
DL> 
DL> А посмотри на ситуацию немного шире: конфигурация, в которой один (или больше)
DL> серверов занимаются только отправкой по SMTP и один (или больше) - только
DL> приемом по SMTP. Конфигурация вполне реальная. Как ты в этом случае проверишь
DL> подлинность по MX-записи?

Элементарно:

IN  MX 10 mail1.domain.ru
IN  MX 20 mail2.domain.ru
эти принимать почту не обязанны
(у меня именно так только всего 2 один на прием другой для передачи) 
насколько я понимаю другие проверяют тоже так
IN  MX 30 mail3.domain.ru
IN  MX 40 mail4.domain.ru

domain.ru   IN   TXT     "v=spf1 mx -all"

mail1.domain.ru  IN A 1.2.3.4
mail2.domain.ru  IN A 1.2.3.5
mail3.domain.ru  IN A 1.2.3.6
.....
ну или для балансировки нагрузки
mail1.domain.ru  IN A 1.2.3.4
mail1.domain.ru  IN A 1.2.3.5
mail1.domain.ru  IN A 1.2.3.6
но это уже частности..

Ну и PTR записи 

1.2.3.4  IN PTR mail1.domain.ru
....

помоему должен резолвится IP сравниватся с заявленным именем сервера (для любителей - SPF хотя, помоему, он бесполезен) ну и далее есть ли для этой тачки MX и правильная A ... для виртуальных доменов тоже проблем не вижу.. ну еще RBL для проверки на открытый релей.

DL> 
DL> > Ведь собствено reject_unknown_hostname в данном случае проверяет именно
DL> > поддельное имя, а не реальное...
DL> 
DL> http://www.postfix.org/postconf.5.html#reject_unknown_hostname
DL> - более правильного поведения данного reject-правила ты врядли
DL> придумаешь.
DL> 
DL> > я могу в исходниках изменить проверку, но хотелось бы узнать чем собственно
DL> > была вызвана именно такая проверка и правильно ли  это?
DL> 
DL> Задай вопрос автору постфикса. ;) Проверка правильна - она делает ровно то,
DL> для чего и предназначалась: reject если данных хост unknown. Правила определения
DL> unknown см. в документации (ссылка выше).
__________
www.newmail.ru -- бесплатная почта, бесплатный хостинг.


^ permalink raw reply	[flat|nested] 15+ messages in thread

* Re: [Comm] Re: глюк или фича в  postfix( е ) ?
  2005-03-13 15:19       ` [Comm] " Konstantin A. Lepikhov
@ 2005-03-13 17:23         ` Maksim E Lapin
  2005-03-14  7:35           ` Alexey I. Froloff
  0 siblings, 1 reply; 15+ messages in thread
From: Maksim E Lapin @ 2005-03-13 17:23 UTC (permalink / raw)
  To: community

Hello, Konstantin A. Lepikhov
Вс, 13.03.2005 19:19:10 you wrote:

KAL> Hi Max!
KAL> 
KAL> Sunday 13, at 05:40:54 PM you wrote:
KAL> 
KAL> > Dmitry Lebkov пишет:
KAL> > 
KAL> > >Max Lapin wrote:
KAL> > >
KAL> > >>Maksim E Lapin пишет:
KAL> > >>всетаки кто нить ответит? эта фича сводит на нет всю антиспамовскую 
KAL> > >>защиту...
KAL> > >Что это за "защита", если она базируется на одной проверке HELO?
KAL> > Ну естественно не только ...  я все "урезал" для большей понятности 
KAL> > самой проблеммы, но неужели нету элементарной проверки на подлинность? в 
KAL> > принципе достаточно проверить MX-ы для того домена который и сравнить с 
KAL> > IP c которого устанавливается связь. Ведь собствено 
KAL> > reject_unknown_hostname в данном случае проверяет именно поддельное имя, 
KAL> > а не реальное... я могу в исходниках изменить проверку, но хотелось бы 
KAL> > узнать чем собственно была вызвана именно такая проверка и правильно ли это?
KAL> а чем вас check_helo_access не устраивает? Делаете для таких map, а дальше
KAL> рубите по приведенному ниже примеру (как говорится, на подлете).
KAL> 
KAL> PS Если поставите 2.1, то там есть много вкусного (например
KAL> check_helo_mx_access/check_help_ns_access).

Да похоже что так и придется и поступить... скачал 2.2.0 и вот сижу разбираюсь.
Р.S. 
Я собственно хотел разобратся почему собственно проверка применяется к "подделываему"
полю, а не к IP с которого устанавливается соединение. И какой собственно смысл от такой проверки?
И не собирался затевать каких либо принципиальных споров.

KAL> 
KAL> -- 
KAL> WBR, Konstantin	      chat with ==>ICQ: 109916175
KAL>      Lepikhov,	      speak  to ==>JID: lakostis@jabber.org
KAL> aka L.A. Kostis       write  to ==>mailto:lakostis@pisem.net.nospam
KAL> 
KAL> ...The information is like the bank... 			  (c) EC8OR




__________
www.newmail.ru -- Новая Почта для нового поколения.


^ permalink raw reply	[flat|nested] 15+ messages in thread

* Re: [Comm] глюк_или_фича_в__postfix(_е_)_?
  2005-03-13 16:35         ` Re[2]: [Comm] глюк_или_фича_в__postfix(_е_)_? Maksim E Lapin
@ 2005-03-14  0:05           ` Dmitry Lebkov
  2005-03-14  7:47             ` Alexey Morsov
  2005-03-14 11:19             ` Re[2]: " Maksim E Lapin
  2005-03-14  5:22           ` Mike Lykov
  1 sibling, 2 replies; 15+ messages in thread
From: Dmitry Lebkov @ 2005-03-14  0:05 UTC (permalink / raw)
  To: community

On Sun, 13 Mar 2005 19:35:28 +0300
Maksim E Lapin wrote:

> Hello, Dmitry Lebkov 
> Вс, 13.03.2005 19:41:25 you wrote:
> 
> DL> Max Lapin wrote:
> DL> > Dmitry Lebkov пишет:
> DL> > 
> DL> >> Max Lapin wrote:
> DL> >>
> DL> >>> Maksim E Lapin пишет:
> DL> >>> всетаки кто нить ответит? эта фича сводит на нет всю антиспамовскую 
> DL> >>> защиту...
> DL> >>
> DL> >> Что это за "защита", если она базируется на одной проверке HELO?
> DL> > 
> DL> > 
> DL> > Ну естественно не только ...  я все "урезал" для большей понятности 
> DL> > самой проблеммы, но неужели нету элементарной проверки на подлинность? в 
> DL> > принципе достаточно проверить MX-ы для того домена который и сравнить с 
> DL> > IP c которого устанавливается связь.
> DL> 
> DL> А посмотри на ситуацию немного шире: конфигурация, в которой один (или больше)
> DL> серверов занимаются только отправкой по SMTP и один (или больше) - только
> DL> приемом по SMTP. Конфигурация вполне реальная. Как ты в этом случае проверишь
> DL> подлинность по MX-записи?
> 
> Элементарно:
> 
> IN  MX 10 mail1.domain.ru
> IN  MX 20 mail2.domain.ru
> эти принимать почту не обязанны
> (у меня именно так только всего 2 один на прием другой для передачи) 

Зачем SMTP-sender'у MX-запись на домен, для которого он только _отправляет_
почту? В большинстве случаев, он даже и не слушает 25 порт.


> насколько я понимаю другие проверяют тоже так
> IN  MX 30 mail3.domain.ru
> IN  MX 40 mail4.domain.ru
> 
> domain.ru   IN   TXT     "v=spf1 mx -all"
> 
> mail1.domain.ru  IN A 1.2.3.4
> mail2.domain.ru  IN A 1.2.3.5
> mail3.domain.ru  IN A 1.2.3.6
> .....
> ну или для балансировки нагрузки
> mail1.domain.ru  IN A 1.2.3.4
> mail1.domain.ru  IN A 1.2.3.5
> mail1.domain.ru  IN A 1.2.3.6
> но это уже частности..
> 
> Ну и PTR записи 
> 
> 1.2.3.4  IN PTR mail1.domain.ru
> ....
> 
> помоему должен резолвится IP сравниватся с заявленным именем сервера
> (для любителей - SPF хотя, помоему, он бесполезен) ну и далее есть ли
> для этой тачки MX и правильная A ... для виртуальных доменов тоже
> проблем не вижу.. ну еще RBL для проверки на открытый релей.

Подозреваю, сэр желает странного. А именно, требует от reject_unknown_hostname
поведения reject_unkonown_client. 

Вообще, лучше _все_ проверки делать в smtpd_recipient_restrictions. А еще
лучше - внимательно "раскурить" www.postfix.org и соответствующие ссылки
с него. ;)

-- 
WBR, Dmitry Lebkov


^ permalink raw reply	[flat|nested] 15+ messages in thread

* Re: Re[2]: [Comm] глюк_или_фича_в__postfix(_е_)_?
  2005-03-13 16:35         ` Re[2]: [Comm] глюк_или_фича_в__postfix(_е_)_? Maksim E Lapin
  2005-03-14  0:05           ` Dmitry Lebkov
@ 2005-03-14  5:22           ` Mike Lykov
  1 sibling, 0 replies; 15+ messages in thread
From: Mike Lykov @ 2005-03-14  5:22 UTC (permalink / raw)
  To: community

В сообщении от Воскресенье 13 Март 2005 20:35 Maksim E Lapin написал:
> domain.ru   IN   TXT     "v=spf1 mx -all"
....
> помоему должен резолвится IP сравниватся с заявленным именем сервера (для
> любителей - SPF хотя, помоему, он бесполезен)

почему бесполезен? он как сравнит заявленный адрес с разрешенным диапазоном 
ip.

-- 
Mike Lykov
Samara, "Vesna" parfum company, System administrator 


^ permalink raw reply	[flat|nested] 15+ messages in thread

* Re: [Comm] Re: глюк или фича в  postfix( е ) ?
  2005-03-13 17:23         ` Maksim E Lapin
@ 2005-03-14  7:35           ` Alexey I. Froloff
  0 siblings, 0 replies; 15+ messages in thread
From: Alexey I. Froloff @ 2005-03-14  7:35 UTC (permalink / raw)
  To: ALT Linux Community

[-- Attachment #1: Type: text/plain, Size: 446 bytes --]

* Maksim E Lapin <Max_LAN@> [050313 20:41]:
> Я собственно хотел разобратся почему собственно проверка
> применяется к "подделываему" полю,
Потому, что параметр в конфиге называется HELO_restrictions...

-- 
Regards, Sir Raorn.
-------------------
> У меня немного голова перегрелась при разборке кода :)
Писать патч на перегретую голову опасно для вашего здоровья. :)
Для моего тоже не полезно такие патчи читать.
		-- ldv in devel@

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

^ permalink raw reply	[flat|nested] 15+ messages in thread

* Re: [Comm] глюк_или_фича_в__postfix(_е_)_?
  2005-03-14  0:05           ` Dmitry Lebkov
@ 2005-03-14  7:47             ` Alexey Morsov
  2005-03-14  8:44               ` Dmitry Lebkov
  2005-03-14 11:19             ` Re[2]: " Maksim E Lapin
  1 sibling, 1 reply; 15+ messages in thread
From: Alexey Morsov @ 2005-03-14  7:47 UTC (permalink / raw)
  To: community



Dmitry Lebkov wrote:
> On Sun, 13 Mar 2005 19:35:28 +0300
> Maksim E Lapin wrote:
> 
> 
>>Hello, Dmitry Lebkov 
>>Вс, 13.03.2005 19:41:25 you wrote:
>>
>>DL> Max Lapin wrote:
>>DL> > Dmitry Lebkov пишет:
>>DL> > 
>>DL> >> Max Lapin wrote:
>>DL> >>
>>DL> >>> Maksim E Lapin пишет:
>>DL> >>> всетаки кто нить ответит? эта фича сводит на нет всю антиспамовскую 
>>DL> >>> защиту...
>>DL> >>
>>DL> >> Что это за "защита", если она базируется на одной проверке HELO?
>>DL> > 
>>DL> > 
>>DL> > Ну естественно не только ...  я все "урезал" для большей понятности 
>>DL> > самой проблеммы, но неужели нету элементарной проверки на подлинность? в 
>>DL> > принципе достаточно проверить MX-ы для того домена который и сравнить с 
>>DL> > IP c которого устанавливается связь.
>>DL> 
>>DL> А посмотри на ситуацию немного шире: конфигурация, в которой один (или больше)
>>DL> серверов занимаются только отправкой по SMTP и один (или больше) - только
>>DL> приемом по SMTP. Конфигурация вполне реальная. Как ты в этом случае проверишь
>>DL> подлинность по MX-записи?
>>
>>Элементарно:
>>
>>IN  MX 10 mail1.domain.ru
>>IN  MX 20 mail2.domain.ru
>>эти принимать почту не обязанны
>>(у меня именно так только всего 2 один на прием другой для передачи) 
> 
> 
> Зачем SMTP-sender'у MX-запись на домен, для которого он только _отправляет_
> почту? В большинстве случаев, он даже и не слушает 25 порт.
> 
> 
> 
>>насколько я понимаю другие проверяют тоже так
>>IN  MX 30 mail3.domain.ru
>>IN  MX 40 mail4.domain.ru
>>
>>domain.ru   IN   TXT     "v=spf1 mx -all"
>>
>>mail1.domain.ru  IN A 1.2.3.4
>>mail2.domain.ru  IN A 1.2.3.5
>>mail3.domain.ru  IN A 1.2.3.6
>>.....
>>ну или для балансировки нагрузки
>>mail1.domain.ru  IN A 1.2.3.4
>>mail1.domain.ru  IN A 1.2.3.5
>>mail1.domain.ru  IN A 1.2.3.6
>>но это уже частности..
>>
>>Ну и PTR записи 
>>
>>1.2.3.4  IN PTR mail1.domain.ru
>>....
>>
>>помоему должен резолвится IP сравниватся с заявленным именем сервера
>>(для любителей - SPF хотя, помоему, он бесполезен) ну и далее есть ли
>>для этой тачки MX и правильная A ... для виртуальных доменов тоже
>>проблем не вижу.. ну еще RBL для проверки на открытый релей.
> 
> 
> Подозреваю, сэр желает странного. А именно, требует от reject_unknown_hostname
> поведения reject_unkonown_client. 
> 
> Вообще, лучше _все_ проверки делать в smtpd_recipient_restrictions. А еще
> лучше - внимательно "раскурить" www.postfix.org и соответствующие ссылки
> с него. ;)
Да да, согласен. Понапихать non_fqdn и unknow_host везде кроме helo - 
режет замечательно и при этом лишнего не отрубит (бо частенько бывают 
вполне себе нормальные почтовые корпоративные сервера, имеющие скажем 
запись dns только в прямой зоне но не имеющие в обратной. :)
И потом опять же dilup-ы всякие (т.е. я имею ввиду ваши же юзьверя к 
примеру) - у них нет dns и ip дипамический - так что вышеуказанные 
режекты в helo их отрубят сразу ^_^
Я бы все таки был осторожнее :)

-- 
Всего наилучшего,
Системный Администратор ЗАО "ИК "РИКОМ-ТРАСТ"
Алексей Морсов
ICQ: 196766290
Jabber: Samurai@jabber.pibhe.com
http://www.ricom.ru
http://www.fondmarket.ru


^ permalink raw reply	[flat|nested] 15+ messages in thread

* Re: [Comm] глюк_или_фича_в__postfix(_е_)_?
  2005-03-14  7:47             ` Alexey Morsov
@ 2005-03-14  8:44               ` Dmitry Lebkov
  0 siblings, 0 replies; 15+ messages in thread
From: Dmitry Lebkov @ 2005-03-14  8:44 UTC (permalink / raw)
  To: community

On Mon, 14 Mar 2005 10:47:59 +0300
Alexey Morsov wrote:

[skip]

> > Вообще, лучше _все_ проверки делать в smtpd_recipient_restrictions. А еще
> > лучше - внимательно "раскурить" www.postfix.org и соответствующие ссылки
> > с него. ;)
> Да да, согласен. Понапихать non_fqdn и unknow_host везде кроме helo - 
> режет замечательно и при этом лишнего не отрубит (бо частенько бывают 
> вполне себе нормальные почтовые корпоративные сервера, имеющие скажем 
> запись dns только в прямой зоне но не имеющие в обратной. :)

Всё зависит от локальной политики. По мне так хосты, не имеющие обратной
зоны -> RFC-Ignorants. Не взирая на лица. ;)

> И потом опять же dilup-ы всякие (т.е. я имею ввиду ваши же юзьверя к 
> примеру) - у них нет dns и ip дипамический - так что вышеуказанные 
> режекты в helo их отрубят сразу ^_^
> Я бы все таки был осторожнее :)

Наши юзеры ходят с авторизацией, и если успешно авторизовались - работают
c любых ip-адресов не зависимо от. И у них есть днс. И прямой и обратный.
И прямой в том виде, что блокируй либо весь *.dialup.domain.tld, либо выборочно,
по регионам. ;) Ну а для trusted-релэев есть соответствующие записи в access.
И т.д., и т.п. ... %)


-- 
WBR, Dmitry Lebkov


^ permalink raw reply	[flat|nested] 15+ messages in thread

* Re[2]: [Comm] глюк_или_фича_в__postfix(_е_)_?
  2005-03-14  0:05           ` Dmitry Lebkov
  2005-03-14  7:47             ` Alexey Morsov
@ 2005-03-14 11:19             ` Maksim E Lapin
  1 sibling, 0 replies; 15+ messages in thread
From: Maksim E Lapin @ 2005-03-14 11:19 UTC (permalink / raw)
  To: community

DL> 
DL> Подозреваю, сэр желает странного. А именно, требует от reject_unknown_hostname
DL> поведения reject_unkonown_client. 
DL> 

как оказалось именно этого спасибо.

DL> Вообще, лучше _все_ проверки делать в smtpd_recipient_restrictions. А еще
DL> лучше - внимательно "раскурить" www.postfix.org и соответствующие ссылки
DL> с него. ;)

читал .. наверно плохо читал... "сделайте так то и такто" а почему именно так непонятно...
глубако пытаюсь копать поэтому не вижу элементарных вещей.. поэтому спрашиваю - не судите строго...
__________
www.newmail.ru -- Новая Почта: все по-новому.


^ permalink raw reply	[flat|nested] 15+ messages in thread

end of thread, other threads:[~2005-03-14 11:19 UTC | newest]

Thread overview: 15+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2005-03-11 19:29 [Comm] глюк или фича в postfix( е ) ? Maksim E Lapin
2005-03-13 10:13 ` Max Lapin
2005-03-13 13:44   ` Dmitry Lebkov
2005-03-13 14:40     ` Max Lapin
2005-03-13 15:19       ` [Comm] " Konstantin A. Lepikhov
2005-03-13 17:23         ` Maksim E Lapin
2005-03-14  7:35           ` Alexey I. Froloff
2005-03-13 15:41       ` [Comm] " Dmitry Lebkov
2005-03-13 16:35         ` Re[2]: [Comm] глюк_или_фича_в__postfix(_е_)_? Maksim E Lapin
2005-03-14  0:05           ` Dmitry Lebkov
2005-03-14  7:47             ` Alexey Morsov
2005-03-14  8:44               ` Dmitry Lebkov
2005-03-14 11:19             ` Re[2]: " Maksim E Lapin
2005-03-14  5:22           ` Mike Lykov
2005-03-13 13:52   ` [Comm] глюк или фича в postfix( е ) ? Pavel Usischev

ALT Linux Community general discussions

This inbox may be cloned and mirrored by anyone:

	git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git

	# If you have public-inbox 1.1+ installed, you may
	# initialize and index your mirror using the following commands:
	public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
		mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
	public-inbox-index community

Example config snippet for mirrors.
Newsgroup available over NNTP:
	nntp://lore.altlinux.org/org.altlinux.lists.community


AGPL code for this site: git clone https://public-inbox.org/public-inbox.git