ne-bouncy

Lubos Kaspar lk na cnb.cz
Čtvrtek Prosinec 12 15:51:48 CET 2002 

> Date: Wed, 11 Dec 2002 09:24:15 +0100 (CET)
> From: Jozef Hitzinger <hitzinger na phobos.fphil.uniba.sk>
> To: sendmail na linux.cz
> Subject: ne-bouncy
> 
> Rad by som sa opytal pritomnych postmastrov co si myslia o dalsej
> "skvelej" ficure. Situacia:
> 
> 1. cerv vygeneruje nejaky mail s adresou odosielatela z nasej domeny
> <Niekto.Nejaky na nasadomena> a posle ho na neexistujucu adresu
> 
> 2. prijimajuci mailserver vygeneruje spravu o chybe, ale nie je to riadna
> bounca, lebo vo From: _a_aj_ v Return-Path pouzije nasu adresu
> <mailer-daemon na nasadomena>. Generuje to napr. masina rly-ip04.mx.aol.com.
> 
> (perlicka: v samotnej sprave je napisane, ze v pripade problemov treba
> kontaktovat postmaster na nasadomena. Pritom ten mail z nasich serverov
> neprisiel, nic s nim nemame)
> 
> 3. AFAIK obalkoveho sendera "mailer-daemon na nasadomena" mozu mat iba spravy
> generovane nasimi mailservrami, preto ich prijem je zakazany (badmailfrom)
> 
> 4. sprava z 2. sa teda bouncne; keby to bola poriadna bounca, s
> Return-Path:<>, tak by to skoncilo a bol by pokoj, ale takto ta masina
> vygeneruje teraz uz naozajstnu bouncu, ktora ide samozrejme na
> <mailer-daemon na nasadomena>
> 
> Kym to chodilo iba z @rs03.singnet.com.sg, spravil to zakaz celej domeny,
> ale zakazat aol.com? Hm. Ako to riesite vy?

Tady je kazda rada draha... :-( Pokud se trochu "zhresi" a nebude se uplne
striktne dodrzovat uplne vse, co je napsano v RFC 2505 'Anti-Spam
Recommendations for SMTP MTAs', tj. zejmena v kap. 2.6 '"MAIL From: <>" and
"MAIL From: <user na my.local.dom.ain>"', pak me napadaji asi tak tyto moznosti:

1. "MAIL From: <>" odmitat selektivne jen registrovanym "otravum" podle
   nejakeho administrovaneho seznamu (at uz podle IP nebo podle domen) -
   samozrejme s rizikem, ze skutecne chybove zpravy pak mistni odesilatele
   nedostanou; nesmi tedy jit o odmitani vsech "MAIL From: <>" s obecnou
   hlaskou typu "bogus sender" ap. (jak se nekdy vyskytuje - viz napr.
   http://www.rfc-ignorant.org/ ), ale v odpovedi MTA by melo byt jasne
   napsano, ze jde o cilene opatreni proti spamu; v sendmailu by tedy
   definice prislusne tridy a zacatek rulesetu check_mail mohly vypadat
   snad napr. nejak takto (varianta odmitani klientu podle domen):

   F{DeniedBounces} /etc/mail/deniedbounces

   Scheck_mail
   R<>				$: <> $| $&{client_name}
   R<> $| $={DeniedBounces}	$#error $@ 5.7.1 $: "571 Probably spam bounce, "$1" bounce-banned"
   R<> $| $+.$={DeniedBounces}	$#error $@ 5.7.1 $: "571 Probably spam bounce, *."$2" bounce-banned"
   R<> $| $*			$@ ok

2. je-li domena vylozene "sluzebni", tj. nejsou-li zadouci zadna presmerovani
   nekam jinam (zejmena z duvodu omezeni uniku duvernych informaci
   z intranetu ap.) a neni duvod pro odesilani zprav s lokalni domenou
   odjinud nez z presne definovanych mist, lze asi tolerovat odmitani
   "MAIL From: <user na my.local.dom.ain>";
   zkusenost ukazuje, ze toto opatreni je take velmi dobre proti zacykleni
   pri vzajemnem presmerovani typu relay (se zachovanim SMTP-obalkoveho
   odesilatele) - v sendmailu by prislusna pravidla byla nekde na konci
   rulesetu check_mail (lze asi prip. tez aplikovat selektivne jen na urcite
   IP nebo domeny relayi podle administrovaneho seznamu).

Opakuji, ze uvedene moznosti jsou ponekud nekorektni a jsou jen urcitymi
berlickami - kazdy tedy na sve riziko, nikoho k nicemu takovemu nenabadam.
--
Lubos Kaspar

Další informace o konferenci Sendmail