Jak proti "open-relays" primym overenim
Jirka Kosina
jikos na jikos.cz
Pondělí Únor 18 12:46:44 CET 2002
On Mon, 18 Feb 2002, Jan Redl wrote:
> > - zkusit otevřít opačné SMTP-spojení: při neúspěchu pokračovat
> > s výsledkem "klient není open-relay" (samozřejmě lze namítnout,
> > že SMTP-přístup může být omezen a detekce nemusí být přesná);
> > - zkusit "helo", "mail from:" a "rcpt to:" s nějakými adresními
> > doménami, které testovaný SMTP-server zaručeně nedoručuje
> > (nejjednodušeji asi použít svou vlastní doménu);
> > při odmítavé odpovědi typu "Relaying denied" SMTP-klienta
> > přijmout, jinak ho považovat za open-relay a odmítnout.
> Proti nedostupnosti DNS serveru spravce cerne listiny je
> mozne se pojistit zprovoznenim vlastniho slave DNS ( nevim jestli to
> provozovatele cernych listin povoluji, ale principielne by tomu nic branit
> nemelo ), navic si myslim, ze je to stejne jako overovani existence
Alespon ordb.org ma dozajista AXFR ze svych nameserveru zakazany, ostatni
jsem nezkousel.
Nicmene napriklad ordb pouziva pomerne velke mnozstvi nameserveru (jak je
to s jejich rozmistenim po svete pro pripad vypadku linky je otazka),
takze bych se padu prilis nebal.
> Co se tyce vami navrhovaneho postupu - osobne se mi zda jako principielne
> spatny:
Pridal bych dalsi duvod - pokud by se v SMTP seanci setkaly dva servery,
ktere by oba pouzivaly tento postup k overovani zda-li dany mail pustit
nebo ne, tak pokud by to nebylo vymysleno nejak chytre, tak by se to
klidne mohlo pekne zacyklit ;)
--
JiKos.
Další informace o konferenci Sendmail