sendmail a DNS - PTR vs. A

Čtvrtek Červen 24 16:57:48 CEST 2004

> From: Petr Vejsada <daemon na svoboda.nevotravovat.cz>
> To: sendmail na linux.cz
> Subject: Re: sendmail a DNS - PTR vs. A (Re: sendmail - proc mi tento spam proleze?)
> Date: Thu, 24 Jun 2004 13:15:37 +0200
> 
> Dne čt 24. června 2004 12:51 Lubos Kaspar napsal(a):
> 
> LK> Jenze kdyz treba zmeni providera, tak to prestane fungovat. Mne se naopak
> 
> to je pravda, ale co s tim nadelam ?

Prave ze nebudete muset delat nic. Jmena byvaji stalejsi nez IP-adresy.

> LK> lepe osvedcuje do blacklistu registrovat relayove hosty, jejich domeny
> LK> nebo naddomeny. Samozrejme se museji odmitat anonymni IP (bez PTR).
> 
> Nerozumim, co bych tedy mel napsat do blacklistu pokud dostanu spam od 
> xyz.adsl.bleble.net.br ?

Blokovane hosty (resp. domeny) i IP-adresy (resp. "tridy" siti) mohou byt s vyhodou
v jednom souboru - dejme tomu, ze se jmenuje /etc/mail/denied-client a ma obsah
typu:

: net.br
: 111.112.113
: host.com.br
: 12.34.56.78
: ...

Pak staci dat do sendmail.cf asi toto:

: ...
: F{DeniedClients} /etc/mail/denied-client
: ...
: Scheck_relay
: R[ $* ] $| $*			$#error $@ 5.7.1 $: "["$2"] unresolved"		bez PTR nebo rozpor PTR vs. A
: R$+ $| $={DeniedClients}	$#error $@ 5.7.1 $: "["$2"] banned"		konkretni IP
: R$+ $| $={DeniedClients}.$+	$#error $@ 5.7.1 $: "["$2"."$3"] banned"	IP-sit
: R$+ $| $+			$: $1
: R$+.				$: $1
: R$={DeniedClients}		$#error $@ 5.7.1 $: $1" banned"			konkretni host
: R$+.$={DeniedClients}		$#error $@ 5.7.1 $: $1"."$2" banned"		domena

Podle definice "net.br" se odmitne napr. i bleble.net.br,
adsl.bleble.net.br, xyz.adsl.bleble.net.br ap.
Umi neco takoveho i access.db?

> LK> A jak prosim konkretne delate dotaz jen na PTR bez vazby na A?
> 
> tcpwrappers, do /etc/hosts.deny dam:
> 
> sendmail : UNKNOWN
> 
> LK> Sendmail ma totiz nejak nastaveno, ze resoluci udela, kdyz existuje pro
> LK> nejakou IP-adresu PTR a k nemu podle jmena z PTR bud neni zadny A nebo
> LK> v tomto A musi byt stejna IP-adresa. Pokud je IP-adresa v PTR a A (pro
> LK> stejne jmeno) ruzna, misto FQDN se jako 1. parametr Scheck_relay preda
> LK> IP-adresa v []. Nedavno jsem sem o tom psal a take to, ze je podivny
> LK> fakt, ze absence A pro jmeno z PTR mu nevadi (pouze poznamena do logu
> LK> "may be forged"). Jelikoz na to tehdy nikdo nezareagoval, dovoluji si
> LK> znovu nadhodit dotaz, jestli se da nejak sendmail donutit, aby absenci A
> LK> pro jmeno z PTR tez povazoval za chybu resoluce, konkretne jak tuto
> LK> podminku vtelit do Scheck_relay.
> 
> Nu ja bych to resil tak, ze bych do /etc/hosts.deny dal:
> 
> sendmail : PARANOID
> 
> jestli tedy popisu tcpwrappers spravne rozumim.

Hm, jenze lepsi by bylo, kdyby to slo bez tcpwrappers, protoze takto asi
sendmail vubec nedostane spojeni a nemuze generovat vlastni chybovou
hlasku, takze klient muze nabyt nespravneho dojmu zavady na urovni site.

> LK> Podle me brat jakykoliv PTR neni moc vhodne, protoze jsem jiz videl
> LK> resoluci na "localhost", hole hostname (bez domeny) a jine zrudnosti
> LK> (nekteri hostmasteri jsou vylozeni dobrodruzi nebo primo diletanti).
> LK> S takovymi SMTP-klienty asi neni radno se bavit.
> 
> Mam znacne problemy uz s tim, ze odmitam maily od stroju bez PTR. Musel jsem 
> do /etc/hosts.allow napsat asi 20 stroju ci dokonce C siti, od kterych maily 
> beru i kdyz nemaji PTR. Nekterym nasim obchodnim partnerum to proste 
> nevysvetlite a rikaji "vsem to funguje, jen vam kdyz posleme mail tak 
> ne". :-(((

Uplne vsem ne; potiz je v tom, ze na PTR se zhusta kasle a nejhorsi je
to, ze kdyz se to nekomu vytkne, tak je jeste casto urazen, prestoze je
to evidentne jeho neporadek.
--
Lubos Kaspar