chráněný RELAY (potřetí :-( ) - a naposledy :)

Úterý Září 6 10:50:01 CEST 2005

Miroslav BENES wrote:

> Děkuij za pomoc, už to chodí.

[...]

> To je jasné, ale není to náš případ.
> Tento poštovní server bude fungovat jen jako "mezistanice" a bude 
> dělat RELAY pro veškerou poštu - _vše_ co přijme (od autorizovaných 
> uživatelů) bude přeposílat na náš hlavní poštovní uzel. Zde se pošta 
> zpracuje úplně stejně jako buy byla od vnitřního uživatele.
> Výhodou tohoto řešení je že takto nastavený server bude v 
> "demilitarizované zóně" (DMZ), takže bude vhodnými pravidly ma 
> firewallu dostupný jak z vnitřní sítě tak i z internetu - cestujicí 
> uživatel si tak může připojit notebook ve vnitřní síti nebo "venku" 
> přes providera, ale nastavení poštovního serveru pro odchozí poštu 
> nemusí měnit.
>
>> Pokud platí domněnka, že jde o specializovaný server pouze pro cestující
>> zaměstnance, je implicitně zapnuto přijímání pošty pro místní uživatele
>> odkudkoliv i bez autorizace a pokud to chcete jinak, vynuťte si ověření
>> totožnosti vhodným příznakem 
>
>
> Možná se ptám blbě, ale jak se pozná, co je "pro místní uživayele" - 
> jen podle shody domény serveru a cílové e-mailové adresy ?

Pokud doménou serveru myslíte kteroukoliv doménu ve třídě w (nebo W, teď 
si nejsem jistý), tak ano. Implicitně je do této třídy přiřazeno jméno 
stroje a ve standardních konfiguracích z nezměněných sendmail.mc pak 
ještě obsah souboru sednmail.cw, u posledních řad pak nějak jako 
local-domains nebo tak nějak.

Myslím, že je to vcelku logické -- má-li se něco doručit na nějakou 
adresu, tak ví-li sednamil, že tato adresa je lokální, tak se to pokusí 
doručit. A jinak ví, že má hledat někoho dalšího, komu má zásilku předat.

Nemá-li se lokálně doručovat nic (doporučuji dobře zvážit důsledky), tak 
je třeba lokální doménu skrývat (masquarade *) a pozor na uživatele v 
EXPOSED_USERS (implicitně root), kteří se neskrývají. A somozřejmě 
nerozšiřovat obsah třídy w.

Jinak díky za perfektně zpracované řešení i s potencionálními chytáky -- 
skvělý příspěvek uložitelný do znalostní databáze :-)

Přeji pěkný den,

V. S.