sendmail relay check

Marek Barton bivoj na pohoda.com
Úterý Srpen 15 21:55:33 CEST 2006 

> > coz chapu tak, ze bez teto feature bych delal relay i pro
> > franta.corax.cz, pepa.corax.cz atd, pokud bych mel uvedeno v
> > relay-domains
> > pouze corax.cz.
>
> 	Samozrejme, ale pokud mame e-mail adresu aaa na corax.cz, zaroven
> corax.cz zapisete do relay-domains a ještě tvrdíte, že to není doména, ale
> HOST,

jak to, ze tvrdim, ze to neni domena, ale host? Jak jste na to prisel?
Jestli tak usuzujete podle te FEATURE(relay_hosts_only), tak to jsme si
snad vysvetlili. Navic z pohledu dns je naprosto jedno, jestli
franta.domena.cz je jmeno konkretniho hosta nebo jestli je to subdomena 3.
urovne. Pokud postak bude dorucovat mail aaa na franta.domena.cz, tak si vzdy
bude zjistovat, zda ma franta.domena.cz definovan mx zaznam a pokud ne,
tak se to pokusi resolvnout na ip adresu, kterou pak kontaktuje. Cili z
tohoto pohledu je rozlisovani mezi domenou a hostem irelevantni.

> pak se sendmail pokusi to lokálně doručit i pokud MX-ko říká něco
> jiného...

to je nesmysl, sendmail mi jasne zaloguje, zda se jedna o mailer=local
nebo mailer=esmtp + relay=neco.nekde. A chova se presne jak ma.

> > to je zajimava uvaha, ktera je samozrejme mylna. Kdybych
> > delal relaying
> > pro celou .cz (proc zrovna pro .cz??) tak bych byl jednoduse
> > coz rozhodne nejsem, a velmi rychle bych se dostal na
> > vsemozne blacklisty,
> > kde rovnez nejsem.
>
> 	V tom se ale zásadně mýlíte... Open relay můžete být z hlediska
> doručování - protože svému sendmailu tvrdíte, že skutečně doručujete... -
> ale nikoli pro svět.

tak tuto vetu jsem nepochopil. Open relay chapu tak, ze umoznim relay pro
koholiv, kdezto z me konfigurace vyplyva, ze relay je umoznen pouze tem,
ktere mam definovany.

> O tom svědčí to, že se s vámi nebaví skutečné MX servery,

jak to, ze se se mnou nebavi?? Vzdyt ten server ma na starosti stovky
domen, ktere dorucuje jak lokalne, tak je i preposila dal ci dela zalozni
mx.

> 	Já také provozuji některé věci dlouho a následně zjišťuji, že to
> není IN...:-) Nicméně v tomto případě je tomu již více jak pětiletka, kdy
> pro podobné účely je jak stvořen soubor /etc/mail/access (proto mne zajímal
> jeho obsah) a soubor /etc/mail/relay-domains je dneska pouze z historických
> důvodů - všimněte si, že celá dokumentace k sendmailu (verze 8.11 - 8.13) se
> o tomto souboru zmiňuje pouze v README.cf, bez bližšího popisu a jen s
> poukazem, že obsah tohoto seznamu je přístupný přes R třídu, podobně jako
> obsah access.db. V sendmailu verze 8.9. přibyla možnost změnit výchozí
> umístění tohoto souboru, ale to je tak vše, co se o tomto historickém
> souboru dozvíme...

ano, vim ze je mozne pro kontrolu relayingu pouzit soubor access, ktery
nabizi mnohem vice funkci, je primarne doporucovan a je jak rikate IN, ale
to prece neznamena, ze je to jedina spravna cesta. Pokud sendmail umoznuje
dosahnout meho cile pres relay-domains misto access a pokud tento soubor
neni oznacen jako "obsolete, soon will be removed", a ja jsem pritom
zvykly ho pouzivat, tak nevidim jediny duvod, proc bych mel konfiguraci
predelavat. Na linuxu se mi prave libi to, ze umoznuje stejneho cile
dosahnout ruznymi cestami.

> 	Takže ptáte-li se, jak dle mého názoru vypadá vzorová správná
> konfigurace, odpověď je ve stručnosti taková:
>
> - domény, které lokálně doručujete uvést v local-host-names
> - domény, pro které sloužíte jako záložní MX server vést v access s RELAY,
> případně můžete vzít ještě restriktivnější verzi, když před pravidlo na levé
> straně můžete uvést některé std. speciality jako From, Connect atd.,
> případně můžete dále kombinovat s dalšími, podporovanými třeba z
> milter.org-u. Taktéž zde můžete definovat skupiny adres (domén atd.), které
> jsou spam přátelé a hateři atd. - všechny tyto možnosti netuším, jak
> "kódovat" v relay-domains

ano, tak to pouzivam, pouze misto access pouzivam relay-domains. Feature
ktere popisujete v access nepotrebuji, do relay-domains uvadite pouze to,
cemu chcete delat relay.

> - dále je vhodné nadefinovat patřičně delay_check makro

nepouzivam.

> - zda-li povolíte doručování i na základě neresolvovatelných domén je na Vás

to je defaultne zakazane a ja to nepovoluji. A na toto se od zacatku ptam.
Puvodni otazka totiz znela, jak to, ze ve spoolu mam postu pro stroje,
kterym delam zalozni mx a pritom tuto postu nemuzu na ne dorucit, protoze
mi odpovi, ze adresa odesilate does not resolv. Pritom stejny test delam
take a funguje. Tak jak je mozne, ze takove maily mam ve spoolu.  Zrejme
jedine logicke vysvetleni je, ze v dobe prijmu teto posty ma muj dns
server nakesovanou domenu, ktera je jiz nefunkcni, a proto cilovy postak
s vlastnim dns serverem odmitne postu prijmout.

Marek Barton

Další informace o konferenci Linux