Posta vs. DNS
Lubos Kaspar
kaspar na cnb.cz
Čtvrtek Červen 14 17:02:25 CEST 2001
> From: Peter Mann <Peter.Mann na tuke.sk>
> Date: Thu, 14 Jun 2001 12:41:20 +0200
> To: sendmail na linux.cz
> Subject: Re: Posta vs. DNS
> ...
> no, co sa tyka klientov, cize strojov, odkial ta posta prichadza:
> EHLO cuk.atlas.cz
> 450 Client host rejected: cannot find your hostname, [195.119.187.242]
>
> tymto by som odblokoval velmi vela prichadzajucih mailov - a to kvoli tomu, ze
> tamojsi spravcovia DNS nemaju poriadok a doplatili by na to moji pouzivatelia,
> pretoze by im prestala chodit (asi) vacsina posty ... mal som to zapnute asi
> hodinku, dve, ale potom som to povolil, pretoze mi ako postmasterovi chodilo
> vela chybovych hlaseni
V tomto smeru se osvedcila indikace absence PTR v rulesetu check_relay, takze chyba
se pise jen do logu, neotravuje postmastera a klient dostane "550 access denied".
Jsem presvedcen, ze vyzadovani PTR je korektni - ostatne anonymni FTP-servery
je taky obvykle chteji (nebo aspon driv to tak byvalo). Uz jen proto, ze
anonymni IP jsou potencialnim semenistem spamu a kdyz je IP anonymni (bez PTR),
neni si asi pak kde stezovat. Obvykle priciny absence PTR SMTP-klientu podle
zkusenosti (po aplikaci tohoto omezeni asi neco pres rok) jsou:
1. ISP nevalne urovne, ktery na PTR zasadne kasle;
2. nekteri (i jinak renomovani) ISP delaji PTR az na pozadani;
3. administruje-li si reverzni domenu uzivatel, nekdy ji nema delegovanou
nebo na poradnou aktualizaci PTR kasle;
4. administruje-li si uzivatel pouze primou domenu a prida adresu, nesdeli to
administratorovi reverzu a ten je v tom nevinne.
Samozrejme, ze si nekteri uzivatele stezuji, ze jim odnekud nechodi posta.
Naprava je samozrejme trivialni a vetsinou "vinici" chybu rychle opravi a
jeste podekuji. Bohuzel nekteri zarputili uzivatele nebo i spravci anonymnich
SMTP-klientu nechapou, ze je to jejich neporadek a obvinuji z obstrukci. Typickym
"argumentem" je "vsichni od nas prijimaji, jen vy ne"... Uzivatele taky
casto operuji tim, ze jde o SMTP-klienta z vyznamne instituce a ta to jiste
musi mit v poradku - takova korelace neplati (napr. minuly rok pred zasedanim
Svetove banky a Mezinarodniho menoveho fondu v Praze meli problemy i
v 2. jmenovane vyznamne instituci - po vysvetleni postmaster na imf.org ovsem
musel uznat, ze je to ostuda - byla to pricina c.4).
Vetsina posty se samozrejme neodmita. Velmi zbezna analyza maillogu ukazuje, ze
z celkoveho poctu pokusu o pripojeni je to velmi maly podil: pri pokusu
(grep, wc, awk) porovnat pocty radku s chybovym hlasenim "unresolved"
(tech ovsem muze byt na jeden pokus o relaci mnoho, protoze server neukoncuje
spojeni, ale na kazdy prijaty povel od klienta odpovi chybou) a celkoveho poctu
radku v maillogu (obvykle obsahuje jeste 2 radky na kazdou zasilku dorucenou hned,
jinak za kazdy dalsi pokus o doruceni o 1 pokus vic) za cele dny od zacatku
tohoto mesice vyslo:
1. na primarnim MX-serveru (i se zahrnutim odchozich zasilek):
01 1280 / 14169 = 9.03 %
02 1794 / 5731 = 31.30 % (sobota)
03 1781 / 5644 = 31.56 % (nedele)
04 984 / 19982 = 4.92 %
05 1135 / 65599 = 1.73 %
06 1170 / 61050 = 1.92 %
07 265 / 13898 = 1.91 %
08 350 / 13166 = 2.66 %
09 206 / 2920 = 7.05 % (sobota)
10 148 / 2669 = 5.55 % (nedele)
11 234 / 16125 = 1.45 %
12 266 / 13658 = 1.95 %
13 241 / 13529 = 1.78 %
-- 9854 / 248140 = 3.97 % (celkem od 1. do 13.6.)
2. totez na sekundarnim MX-serveru:
01 941 / 1935 = 48.63 %
02 1647 / 3306 = 49.82 %
03 1648 / 3299 = 49.95 %
04 708 / 49509 = 1.43 %
05 759 / 95878 = 0.79 %
06 898 / 69473 = 1.29 %
07 55 / 143 = 38.46 %
08 138 / 311 = 44.37 %
09 140 / 299 = 46.82 %
10 82 / 168 = 48.81 %
11 8 / 65 = 12.31 %
12 7 / 50 = 14.00 %
13 1 / 43 = 2.33 %
14 0 / 2 = 0.00 %
-- 7032 / 224481 = 3.13 %
K interpretaci: zajimavy je masivnejsi utok v SO+NE, hlavne 2. a 3.6., jinak
u malych absolutnich poctu za nektere dny je treba "vysoky" podil brat
primerene.
Jedinym doposud zjistenym nechtenym dusledkem politiky odmitani anonymnich
SMTP-klientu je to, ze nekteri uzivatele misto toho, aby donutili sve
korespondecni partnery k naprave (doplneni PTR), jdou cestou nejmensiho
odporu a zridi si na freemailu preposiladlo (freemailove servery bohuzel
postu z anonymnich IP asi smahem berou, aby meli maximum "spokojenych"
klientu).
--
Lubos Kaspar
Další informace o konferenci Sendmail