Korektní chování antiviru a MTA
Jozef Hitzinger
hitzinger na phobos.fphil.uniba.sk
Úterý Červen 1 23:37:17 CEST 2004
On Tue, 1 Jun 2004, [iso-8859-2] Ing. Pavel PaJaSoft Janoušek wrote:
> nedávno jsme tu řešili, jak by se měl přijímací server chovat k
> nechtěnému kontextu - řídil jsem se radami a mimo jiné jsem trochu
> upravil naše konfigurace, bohužel koukám, že jsem si nadělal docela do
> kalhot a teď nevím, zda-li je na vině nastavení nebo urcitý systém ma
> technický problém.
Podla toho co popisujete, povedal by som ze mate problem so sendmailom
resp. implementaciou avir riesenia donho. Ze nejaky MTA odmietne mail
totiz nie je dovod aby Vas MTA zasekol frontu. S tymto konkretnym
technickym problemom nepomozem, snad ak sa ozve nejaky sendmailista ..
Ale pri citani Vasho mailu ma napadlo, ze odmietanie vramci SMTP spojenia
ma jeden nie na prvy pohlad zjavny hacik. Predstavte si, ze Vas sekundar
prijme postu, avir kontrola dopadne dobre, mail skonci vo fronte a caka
kedy bude mozne dorucit ho na primar.
Zatial vyjde update avir databaz, a ked sa konecne sekundar pokusi dorucit
mail kam patri, bude 550 odmietnuty. Pokusi sa ho bouncnut, ale je velka
sanca ze aj tam uz bude odmietnuty; alebo vezmime ze uz povodny mail je
bounca a teda bouncnut nepojde.
V takej situacii je dolezite, aby mal sekundar, ako pise RFC, postu pre
postmastra dorucovanu tak, aby double bounca dosla. Teda bud lokalne,
alebo ak inam, tak bez antivir/spam odmietania uz pocas spojenia.
Nemyslim si zeby zrovna toto bol Vas problem - double bounca failne, tak
sa vygeneruje treto bounca, ta nedojde, a tak dalej - moznost zlyhania
double bouncy snad programatori osetrili. Aj ked vo vsetkych tych amavis
skriptoch si clovek nemoze byt celkom isty.
Ale je to zaujimavy pripad, co poviete?
--
jozef :-)
> Jako MTA je na všech uzlech Sendmail (vychází z akademického
> prostředí, předpokládám maximální konformitu s RFC). Jako Milter filtr
> je amavis-ng, kterého jsem donutil (bohužel ruční úpravou source, neb
> touto funkcionalitou oplývá pouze amavis-milter, nikoli
> AMAVIS/MTA/Milter.pm), aby na zavirovaný mail odpovídal:
>
> 550 5.7.0 Message content rejected - virus suspected
>
> Normálně všechno funguje, problém nastane pokud se takovýto mail
> v pozici klienta snaží doručit záložní MX server na primární. Pak totiž
> nastane to, že primár to s tímto kódem odmítne, sekundár vyplodí do LOGu
> tuto hlášku:
>
> Jun 1 10:08:18 excalibur sendmail[19088]: i5188G719088:
> to=janousek na fonet.cz, delay=00:00:01, xdelay=00:00:01, mailer=esmtp,
> pri=70669, relay=merlin.fonet.cz. [212.71.176.163], dsn=5.0.0,
> stat=Service unavailable
> Jun 1 10:08:18 excalibur sendmail[19088]: i5188G619088: Losing
> ./qfi5188G619088: savemail panic
> Jun 1 10:08:18 excalibur sendmail[19088]: i5188G619088: SYSERR(root):
> savemail: cannot save rejected email anywhere
>
> ba co více, na sekundáru MTA po tomto UKONČÍ zpracování fronty,
> takže tato vesele boptná a není cesta, jak ji flushnout...
>
> A můj logický dotaz zní - je něco špatně na primáru
> (merlin.fonet.cz) nebo sekundáru (exalibur.fonet.cz) nebo je Sendmail
> nekorektně implementován?
Další informace o konferenci Sendmail