Jak proti "open-relays" primym overenim

[Jirka Kosina]

On Mon, 18 Feb 2002, Jan Redl wrote:

> > - zkusit otevřít opačné SMTP-spojení: při neúspěchu pokračovat
> >   s výsledkem "klient není open-relay" (samozřejmě lze namítnout,
> >   že SMTP-přístup může být omezen a detekce nemusí být přesná);
> > - zkusit "helo", "mail from:" a "rcpt to:" s nějakými adresními
> >   doménami, které testovaný SMTP-server zaručeně nedoručuje
> >   (nejjednodušeji asi použít svou vlastní doménu);
> >   při odmítavé odpovědi typu "Relaying denied" SMTP-klienta
> >   přijmout, jinak ho považovat za open-relay a odmítnout.
> Proti nedostupnosti DNS serveru spravce cerne listiny je
> mozne se pojistit zprovoznenim vlastniho slave DNS ( nevim jestli to
> provozovatele cernych listin povoluji, ale principielne by tomu nic branit
> nemelo ), navic si myslim, ze je to stejne jako overovani existence

Alespon ordb.org ma dozajista AXFR ze svych nameserveru zakazany, ostatni 
jsem nezkousel.

Nicmene napriklad ordb pouziva pomerne velke mnozstvi nameserveru (jak je 
to s jejich rozmistenim po svete pro pripad vypadku linky je otazka), 
takze bych se padu prilis nebal.

> Co se tyce vami navrhovaneho postupu - osobne se mi zda jako principielne
> spatny:

Pridal bych dalsi duvod - pokud by se v SMTP seanci setkaly dva servery, 
ktere by oba pouzivaly tento postup k overovani zda-li dany mail pustit 
nebo ne, tak pokud by to nebylo vymysleno nejak chytre, tak by se to 
klidne mohlo pekne zacyklit ;)

-- 
JiKos.