relay check
Jan Houstek
Jan.Houstek na mff.cuni.cz
Úterý Srpen 15 15:21:43 CEST 2006
On Tue, 15 Aug 2006, Marek Barton wrote:
>> A proc by nemohl? Muze klidne mit databazi existujicich adres, kterou
>> nejakym na SMTP nezavislym mechanismem
>
> no tak zaprvy neznam zadny standartni, bezne pouzivany mechanismus na to
> co popisujete a za druhe nespravuji ucty na serverech, kterym delam
> zalozni mx, cili nemuzu ani udrzovat takovouto databazi.
Ale coby ne? Da se udelat stejna finta jako u lustrovani tech zpatecnich
adres, akorat tentokrat na cilovou adresu.
Priklad -- vzdaleny SMTP klient se pripoji na relay a cpe mail na nejakou
adresu, ktera se dle pravidel ma smerovat nekam dal do vnitrni site.
Server necha konexi otevrenou a na pozadi si otevre SMTP spojeni na ten
server a posle HELO, nejaky nekonfliktni MAIL FROM: (napr. prazdy,
pripadne postmaster apod.) a v RCPT TO uvede tu testovanou adresu. Pote
spojeni tak jako tak utne (nezahaji DATA). Pokud server na to RCPT TO:
odpovi OK, jak uz je dost velka pravdepodobnost, ze se mail podari
cilovemu serveru uspesne predat (a je celkem fuk, zda cilova schranka
existuje nebo ne, protoze tak jako tak to uz nebude problem toho relay).
Vysledek takoveho testu je samozrejme rozumne kesovat, a to pozitivni
vysledek klidne velmi dlouho, negativni radeji max. v radu minut. Pokud
test skonci docasnou chybou, je uz v zasade otazkou vkusu, zda mail
prijmout nebo odmitnout taktez s docasnou chybou. Tedy je to kosmeticka
zalezitost v pripade, ze jde o relay dovnitr site dle nejakeho
explicitniho smerovani. V pripade, ze je ten server backup uvedeny v MX,
tak by ten mail mel prijmout, jinak by postradal smysl, na druhou stranu i
tady muze mit tato technika smysl, pokud se ale nastavi dlouha cache na
pozitivni i negativni vysledky testu.
> ano toto chovani postaka, tedy odmitani mailu, ktere maji obalku s
> nekorektni adresou, chci odmitat. A muj postak to tak skutecne dela a
> odmita takoveto maily (overeno rucne testem), presto se mi dostanou do
> spoolu maily, ktere by timto pravidlem nemeli projit. A od zacatku se
> ptam, jak je to mozne?
No mozna proto, ze ten test nikdy nebude 100% spolehlivy -- neni mozne
spolehlive otestovat, ze neco pujde nekam odeslat jinak, nez ze to zkusite
poslat. Treba jen testujete existenci domeny, ale uz ne MX/A zaznamu. A
nebo i existuje nejaky server v DNS, ale neposloucha na nem smtpd na
25/tcp.
> sendmail toto ma nejak implementovano a priznam se, ze detailni
> podrobnosti jsem nezkoumal.
Pokud vim, tak samy od sebe (bez nutnosti neco doprogramovavat) tuhle vec
umi sendmail a postfix. U sendmailu jsem to nikdy nezkousel, ale u
postfixu je to velmi srozumitelne popsane zde
http://www.postfix.org/ADDRESS_VERIFICATION_README.html
-- Jan Houstek
Další informace o konferenci Sendmail