Posta vs. DNS

Lubos Kaspar kaspar na cnb.cz
Čtvrtek Červen 14 17:02:25 CEST 2001 

> From: Peter Mann <Peter.Mann na tuke.sk>
> Date: Thu, 14 Jun 2001 12:41:20 +0200
> To: sendmail na linux.cz
> Subject: Re: Posta vs. DNS
> ...
> no, co sa tyka klientov, cize strojov, odkial ta posta prichadza:
> EHLO cuk.atlas.cz
> 450 Client host rejected: cannot find your hostname, [195.119.187.242]
> 
> tymto by som odblokoval velmi vela prichadzajucih mailov - a to kvoli tomu, ze
> tamojsi spravcovia DNS nemaju poriadok a doplatili by na to moji pouzivatelia,
> pretoze by im prestala chodit (asi) vacsina posty ... mal som to zapnute asi
> hodinku, dve, ale potom som to povolil, pretoze mi ako postmasterovi chodilo
> vela chybovych hlaseni

V tomto smeru se osvedcila indikace absence PTR v rulesetu check_relay, takze chyba
se pise jen do logu, neotravuje postmastera a klient dostane "550 access denied".

Jsem presvedcen, ze vyzadovani PTR je korektni - ostatne anonymni FTP-servery
je taky obvykle chteji (nebo aspon driv to tak byvalo). Uz jen proto, ze
anonymni IP jsou potencialnim semenistem spamu a kdyz je IP anonymni (bez PTR),
neni si asi pak kde stezovat. Obvykle priciny absence PTR SMTP-klientu podle
zkusenosti (po aplikaci tohoto omezeni asi neco pres rok) jsou:

1. ISP nevalne urovne, ktery na PTR zasadne kasle;
2. nekteri (i jinak renomovani) ISP delaji PTR az na pozadani;
3. administruje-li si reverzni domenu uzivatel, nekdy ji nema delegovanou
   nebo na poradnou aktualizaci PTR kasle;
4. administruje-li si uzivatel pouze primou domenu a prida adresu, nesdeli to
   administratorovi reverzu a ten je v tom nevinne.

Samozrejme, ze si nekteri uzivatele stezuji, ze jim odnekud nechodi posta.
Naprava je samozrejme trivialni a vetsinou "vinici" chybu rychle opravi a
jeste podekuji. Bohuzel nekteri zarputili uzivatele nebo i spravci anonymnich
SMTP-klientu nechapou, ze je to jejich neporadek a obvinuji z obstrukci. Typickym
"argumentem" je "vsichni od nas prijimaji, jen vy ne"... Uzivatele taky
casto operuji tim, ze jde o SMTP-klienta z vyznamne instituce a ta to jiste
musi mit v poradku - takova korelace neplati (napr. minuly rok pred zasedanim
Svetove banky a Mezinarodniho menoveho fondu v Praze meli problemy i
v 2. jmenovane vyznamne instituci - po vysvetleni postmaster na imf.org ovsem
musel uznat, ze je to ostuda - byla to pricina c.4).

Vetsina posty se samozrejme neodmita. Velmi zbezna analyza maillogu ukazuje, ze
z celkoveho poctu pokusu o pripojeni je to velmi maly podil: pri pokusu
(grep, wc, awk) porovnat pocty radku s chybovym hlasenim "unresolved"
(tech ovsem muze byt na jeden pokus o relaci mnoho, protoze server neukoncuje
spojeni, ale na kazdy prijaty povel od klienta odpovi chybou) a celkoveho poctu
radku v maillogu (obvykle obsahuje jeste 2 radky na kazdou zasilku dorucenou hned,
jinak za kazdy dalsi pokus o doruceni o 1 pokus vic) za cele  dny od zacatku
tohoto mesice vyslo:

1. na primarnim MX-serveru (i se zahrnutim odchozich zasilek):

01  1280 /  14169 =  9.03 %
02  1794 /   5731 = 31.30 % (sobota)
03  1781 /   5644 = 31.56 % (nedele)
04   984 /  19982 =  4.92 %
05  1135 /  65599 =  1.73 %
06  1170 /  61050 =  1.92 %
07   265 /  13898 =  1.91 %
08   350 /  13166 =  2.66 %
09   206 /   2920 =  7.05 % (sobota)
10   148 /   2669 =  5.55 % (nedele)
11   234 /  16125 =  1.45 %
12   266 /  13658 =  1.95 %
13   241 /  13529 =  1.78 %
--  9854 / 248140 =  3.97 % (celkem od 1. do 13.6.)

2. totez na sekundarnim MX-serveru:

01   941 /   1935 = 48.63 %
02  1647 /   3306 = 49.82 %
03  1648 /   3299 = 49.95 %
04   708 /  49509 =  1.43 %
05   759 /  95878 =  0.79 %
06   898 /  69473 =  1.29 %
07    55 /    143 = 38.46 %
08   138 /    311 = 44.37 %
09   140 /    299 = 46.82 %
10    82 /    168 = 48.81 %
11     8 /     65 = 12.31 %
12     7 /     50 = 14.00 %
13     1 /     43 =  2.33 %
14     0 /      2 =  0.00 %
--  7032 / 224481 =  3.13 %

K interpretaci: zajimavy je masivnejsi utok v SO+NE, hlavne  2. a 3.6., jinak
u malych absolutnich poctu za nektere dny je treba "vysoky" podil brat
primerene.

Jedinym doposud zjistenym nechtenym dusledkem politiky odmitani anonymnich
SMTP-klientu je to, ze nekteri uzivatele misto toho, aby donutili sve
korespondecni partnery k naprave (doplneni PTR), jdou cestou nejmensiho
odporu a zridi si na freemailu preposiladlo (freemailove servery bohuzel
postu z anonymnich IP asi smahem berou, aby meli maximum "spokojenych"
klientu).
--
                                                Lubos Kaspar

Další informace o konferenci Sendmail