sendmail a DNS - PTR vs. A
Petr Vejsada
daemon na svoboda.nevotravovat.cz
Pátek Červen 25 07:54:00 CEST 2004
Dne čt 24. června 2004 16:57 Lubos Kaspar napsal(a):
LK> Prave ze nebudete muset delat nic. Jmena byvaji stalejsi nez IP-adresy.
Neumim posoudit nakolik, uz jsem zazil, kdy spamer menil PTR kazdou chvili.
Pamatuji na pripad, kdy se nekdo snazil ke mne protlacit spam z IP a.b.c.d
bez PTR a par minut nato ho protlacil, protoze si PTR udelal. Pravda, asi to
nebude (zatim) prilis obvykle.
LK> Blokovane hosty (resp. domeny) i IP-adresy (resp. "tridy" siti) mohou byt
LK> s vyhodou v jednom souboru - dejme tomu, ze se jmenuje
LK> /etc/mail/denied-client a ma obsah typu:
[...]
LK> Umi neco takoveho i access.db?
je to v podstate uplne stejne jako access.db. Jen se do access pise jeste
navic zda RELAY, OK, REJECT apod. Priznavam, ze sendmail.cf moc nerozumim
(holt jeste nejsem ten spravny administrator, nemam za sebou napsani
vlastniho sendmail.cf), jen sendmail.mc :)
LK> Nedavno jsem sem o
LK> tom psal a take to, ze je podivny fakt, ze absence A pro jmeno z
LK> PTR mu nevadi (pouze poznamena do logu "may be forged"). Jelikoz
LK> na to tehdy nikdo nezareagoval, dovoluji si znovu nadhodit dotaz,
LK> jestli se da nejak sendmail donutit, aby absenci A pro jmeno z PTR
LK> tez povazoval za chybu resoluce, konkretne jak tuto LK> > LK> podminku
[...]
LK> Hm, jenze lepsi by bylo, kdyby to slo bez tcpwrappers, protoze takto asi
LK> sendmail vubec nedostane spojeni a nemuze generovat vlastni chybovou
LK> hlasku, takze klient muze nabyt nespravneho dojmu zavady na urovni site.
nene, nejde to pres in.tcpd, to by se musel sendmail poustet z inetd a do
hosts.* psat smtp: a ne sendmail:. Takto se sendmail dostane ke slovu a pouze
pouzije volani do knihovny tcpwrappera, aby zjistil, zda se s klientem ma
bavit nebo ne. Pravda, hlaska jakou da pri odmitnuti je natvrdo nakodovana
v /usr/src/sendmail-$VERSION/sendmail/conf.c pro sendmail-8.12.11 je to radek
4009.
Zda to jde jinak a lepe nevim :(
LK> Uplne vsem ne; potiz je v tom, ze na PTR se zhusta kasle a nejhorsi je
LK> to, ze kdyz se to nekomu vytkne, tak je jeste casto urazen, prestoze je
LK> to evidentne jeho neporadek.
Mate pravdu, uplne vsem ne. Je to stejne, jako kdyz se rika "vsichni pouzivaji
MSIE tak proc my ho tady nemame?" Nas obchodni partner (tedy spis partneri)
proste reknou, ze _vsem_ mohou posilat postu jen nam ne (a muze byt pravdou
to, ze se s odmitanim setkali poprve u nas) a proto my to mame spatne. O tom
co je PTR ti lide nemaji tuseni. Tyka se to zejmena klientu firmy Contactel,
nebot Contactel na PTR kasle snad ze zasady (zdravim zodpovedne lidi z
Contactelu). Ale to uz neni o sendmailu.
--
Zdraví
Petr Vejsada
ID klíče: 2BDE1F6C
Fingerprint klíče FDA9 F8A1 276B 1E28 544E 87CE 3642 C9E8 2BDE 1F6C
Další informace o konferenci Sendmail