From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: X-Spam-Checker-Version: SpamAssassin 3.2.5 (2008-06-10) on sa.int.altlinux.org X-Spam-Level: X-Spam-Status: No, score=-1.2 required=5.0 tests=AWL,BAYES_00,SPF_PASS autolearn=ham version=3.2.5 X-Virus-Scanned: amavisd-new at localhost Message-ID: <49F55276.2040703@mmascience.ru> Date: Mon, 27 Apr 2009 10:36:38 +0400 From: =?KOI8-R?Q?=F7=CC=C1=C4=C9=CD=C9=D2?= User-Agent: Thunderbird 2.0.0.21 (Windows/20090302) MIME-Version: 1.0 To: ALT Linux sysadmin discuss References: <200904231749.10099.kde@kde.kiev.ua> <200904241157.10844.a_s_y@sama.ru> <49F16F2E.6060408@mmascience.ru> <200904241738.35941.a_s_y@sama.ru> In-Reply-To: Content-Type: text/plain; charset=KOI8-R; format=flowed Content-Transfer-Encoding: 8bit Subject: Re: [Sysadmins] postfix header_checks X-BeenThere: sysadmins@lists.altlinux.org X-Mailman-Version: 2.1.12 Precedence: list Reply-To: ALT Linux sysadmin discuss List-Id: ALT Linux sysadmin discuss List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Mon, 27 Apr 2009 06:36:50 -0000 Archived-At: List-Archive: Max Ivanov пишет: >>> законных отправителей (@mail.ru @yandex.ru @gmail.com) легко обходят >>> smtpd_helo_restrictions, скрывая информацию о хосте отправителя на этапе >>> установления соединения. >>> >> При чём тут helo ? Речь об анализе IP-адреса SMTP-отправителя. Опять >> же, если смотреть все Received, срежется куча нормальной почты, которая >> идёт от клиентов через сервера провайдеров. Проверять надо именно того, >> кто пытается доставить на сервер. >> > > Именно. Неважно за какими nat кто сидит, какие smtp proxy по пути > появились. Коннект на 25 порт приходит с какого-то определнного > адреса, при коннекте передается HELO имя. Об этом и речь. Если smtp client сидит за проксирующем сетевым устройством, то поле helo_hostname не передается. (просмотрите журнал на наличие записей с подстрокой client=unknown[IP_address]) Извиняюсь, сейчас нет времени продолжать. > Если адрес резолвится в это > же самое имя, то это хороший признак, если нет, а также если адрес > резолвится в домен третьего и более уровня со словами dhcp, > dsl,nat,pool, то это плохой признак. > -- Vladimir Kholmanov fmfm@mmascience.ru fmfm@mma.ru