From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <fmfm@mmascience.ru>
X-Spam-Checker-Version: SpamAssassin 3.2.5 (2008-06-10) on sa.int.altlinux.org
X-Spam-Level: 
X-Spam-Status: No, score=-1.2 required=5.0 tests=AWL,BAYES_00,SPF_PASS
	autolearn=ham version=3.2.5
X-Virus-Scanned: amavisd-new at localhost
Message-ID: <49F55276.2040703@mmascience.ru>
Date: Mon, 27 Apr 2009 10:36:38 +0400
From: =?KOI8-R?Q?=F7=CC=C1=C4=C9=CD=C9=D2?= <fmfm@mmascience.ru>
User-Agent: Thunderbird 2.0.0.21 (Windows/20090302)
MIME-Version: 1.0
To: ALT Linux sysadmin discuss <sysadmins@lists.altlinux.org>
References: <200904231749.10099.kde@kde.kiev.ua>	<200904241157.10844.a_s_y@sama.ru>
	<49F16F2E.6060408@mmascience.ru>	<200904241738.35941.a_s_y@sama.ru>
	<fbfa7b0c0904240546r5517f6d3mb01a35d9b3784e8@mail.gmail.com>
In-Reply-To: <fbfa7b0c0904240546r5517f6d3mb01a35d9b3784e8@mail.gmail.com>
Content-Type: text/plain; charset=KOI8-R; format=flowed
Content-Transfer-Encoding: 8bit
Subject: Re: [Sysadmins] postfix header_checks
X-BeenThere: sysadmins@lists.altlinux.org
X-Mailman-Version: 2.1.12
Precedence: list
Reply-To: ALT Linux sysadmin discuss <sysadmins@lists.altlinux.org>
List-Id: ALT Linux sysadmin discuss <sysadmins.lists.altlinux.org>
List-Unsubscribe: <https://lists.altlinux.org/mailman/options/sysadmins>,
	<mailto:sysadmins-request@lists.altlinux.org?subject=unsubscribe>
List-Archive: <http://lists.altlinux.org/pipermail/sysadmins>
List-Post: <mailto:sysadmins@lists.altlinux.org>
List-Help: <mailto:sysadmins-request@lists.altlinux.org?subject=help>
List-Subscribe: <https://lists.altlinux.org/mailman/listinfo/sysadmins>,
	<mailto:sysadmins-request@lists.altlinux.org?subject=subscribe>
X-List-Received-Date: Mon, 27 Apr 2009 06:36:50 -0000
Archived-At: <http://lore.altlinux.org/sysadmins/49F55276.2040703@mmascience.ru/>
List-Archive: <http://lore.altlinux.org/sysadmins/>

Max Ivanov пишет:
>>> законных отправителей (@mail.ru @yandex.ru @gmail.com) легко обходят
>>> smtpd_helo_restrictions, скрывая информацию о хосте отправителя на этапе
>>> установления соединения.
>>>       
>> При чём тут helo ? Речь об анализе IP-адреса SMTP-отправителя. Опять
>> же, если смотреть все Received, срежется куча нормальной почты, которая
>> идёт от клиентов через сервера провайдеров. Проверять надо именно того,
>> кто пытается доставить на сервер.
>>     
>
> Именно. Неважно за какими nat кто сидит, какие smtp proxy  по пути
> появились. Коннект на 25 порт приходит с какого-то определнного
> адреса, при коннекте передается HELO имя. 

Об этом и речь. Если smtp client сидит за проксирующем сетевым устройством,
то поле helo_hostname не передается.

(просмотрите журнал на наличие записей с подстрокой 
client=unknown[IP_address])

Извиняюсь, сейчас нет времени продолжать.

> Если адрес резолвится в это
> же самое имя, то это хороший признак, если нет, а также если адрес
> резолвится в домен третьего и более уровня со словами dhcp,
> dsl,nat,pool, то это плохой признак.
>   


-- 
Vladimir Kholmanov
fmfm@mmascience.ru
fmfm@mma.ru