sendmail relay check

[Marek Barton]

> 	A to je přesně okamžik, kdy si nejsem zcela jist, že to je tak, jak
> říkáte... - pokud Vám to přijme poštu z hosta
> cpe-74-69-16-216.rochester.res.rr.com od JosephPyGreen na billawi.net (BTW ten
> první transakční záznam Received od spodu je IMHO fake) pro někoho z
> corax.cz, tak vy tvrdíte, že:
>
> - nepovolujete příjem z neexistujících domén (co to pro Vás je?)

sendmail ma implementovanu funkci check_mail, ktera toto resi. Jak presne
domenu testuje jsem nezkoumal.

> - nejste OR

nejsem

> - jste záložní MX pro doménu corax.cz

ano

> 	Před chvíli jsem zkoušel a z hlediska DNS je vše z vašich hlaviček v
> pořádku a resolvovatelné... Já Vám věřím, že obsahem zprávy je spam, ale buď
> zahaprovalo DNS v určitém čase (což teď už nejde ověřit) nebo je zrada
> jinde... Ona i negativní odpověď se má kešovat jen určitou dobu... - možná
> je problém v tom, že billawi.net má sice definovány NS záznamy, ale nemá SOA
> (!!!!) a nemá MX... - teorie o tom, že vy ten záznam máte nacacheovaný a Váš
> protějšek ne je sice z hlediska teorie možnu, v praxi však velmi málo
> pravděpodobný...

no ta pravdepodobnost tak mala neni a skutecne se tak deje. Jde totiz o
to, ze muj server ma o nekolik radu vetsi mail traffic nez cilovy server.
Cili je velmi pravdepodobne, ze pokud zacne nejaky spamer vysilat, dostane
se jeho spam urceny pro nejakou z mnoha domen, ktere prijimam na muj
server. V tomto okamziku ma domenu jeste funkcni a je tedy zakesovana mym
nameserverem. Mezitim se zacne valit proud bouce mailu na mx domeny
spamera a spravce jeho dns serveru se rozhodne tuto domenu smazat, proto
jsou od napr. domeny billawi.net dostupne pouze ns zaznamy, ktere
poskytuji nameservery TLD a nikoliv soa nebo mx. A v tomto okamziku prijde
dalsi mail od spamera, muj server mail prijme, protoze domena z me dns
cache projde bez problemu resolv testem meho postaka a dal zacne posilat
mail na cilovy server, ktery s touto domenou zatim nemel nic spolecneho.
DNS ciloveho serveru proveri domenu, zjisti, ze neexistuje a tudiz jeho
postak mail neprijme, a tak mail zustava v mem spoolu. Proto by me
zajimalo, zda muzu nadefinovat dobu, po kterou se budou tyto deferred
maily z duvodu does not resolv dorucovat. Neco jako
Timeout.queuereturn.defered.reason.does.not.resolv = 1h ;-) Lze to
nadefinovat?

> > dosahnout meho cile pres relay-domains misto access a pokud
> > tento soubor
> > neni oznacen jako "obsolete, soon will be removed", a ja jsem pritom
>
> 	:-) - samozřejmě, ale už jen, že není k němu dokumentace je
> minimálně podezřelé...

to je mozne, ale pouzivam to od dob tusim sendmailu 8.8 a syntaxi mi
nezmenili, takze nemam duvod to menit. Byt IN je mozna nekdy dobre, ale
ja se spis ridim okridlenym don't touch on running system ;-)

> > Puvodni otazka totiz znela, jak to, ze ve spoolu mam postu pro stroje,
> > kterym delam zalozni mx a pritom tuto postu nemuzu na ne
> > dorucit, protoze
> > mi odpovi, ze adresa odesilate does not resolv. Pritom stejny
>
> 	Protože MX blíže k cíli může dělat těch testů více...

ten mx blize k cili jsem konfiguroval ja, tudiz vim, ze dela presne stejne
testy jako mu server ...

> neexistující uživatele apod. v cílové adresářové službě) a pak se to
> pokusil doručit, pokud nelze, vygenerovat bounce (zpravidla u spamu na
> smyšlenou adresu, takže to 5 dnů bude tvrdnout ve frontě a pak to jde do
> stoupy, tedy postmasterovi... - denně takto dostávám hezkou desítku
> mailů a každý den se takto zahazuje cca 50-100 kousků). A nebo se chovat

to jste stastny clovek, ze jen 100kousku. Me chodi tak cca 1 za minutu. S
takovymi maily se vyrovnam, daji se tridit, mazat atd. To me netrapi. Vadi
mi ty maily, ktere visi 5dnu ve spoolu a snazi se neustale kontaktovat
cilovy stroj a odeslat. Kdyby pro ne sel nadefinovat timeout, tak by mi to
dost pomohlo.

Marek Barton