relay check

Jan Houstek Jan.Houstek na mff.cuni.cz
Úterý Srpen 15 15:21:43 CEST 2006 

On Tue, 15 Aug 2006, Marek Barton wrote:
>> A proc by nemohl? Muze klidne mit databazi existujicich adres, kterou
>> nejakym na SMTP nezavislym mechanismem
>
> no tak zaprvy neznam zadny standartni, bezne pouzivany mechanismus na to 
> co popisujete a za druhe nespravuji ucty na serverech, kterym delam 
> zalozni mx, cili nemuzu ani udrzovat takovouto databazi.

Ale coby ne? Da se udelat stejna finta jako u lustrovani tech zpatecnich 
adres, akorat tentokrat na cilovou adresu.

Priklad -- vzdaleny SMTP klient se pripoji na relay a cpe mail na nejakou 
adresu, ktera se dle pravidel ma smerovat nekam dal do vnitrni site. 
Server necha konexi otevrenou a na pozadi si otevre SMTP spojeni na ten 
server a posle HELO, nejaky nekonfliktni MAIL FROM: (napr. prazdy, 
pripadne postmaster apod.) a v RCPT TO uvede tu testovanou adresu. Pote 
spojeni tak jako tak utne (nezahaji DATA). Pokud server na to RCPT TO: 
odpovi OK, jak uz je dost velka pravdepodobnost, ze se mail podari 
cilovemu serveru uspesne predat (a je celkem fuk, zda cilova schranka 
existuje nebo ne, protoze tak jako tak to uz nebude problem toho relay).

Vysledek takoveho testu je samozrejme rozumne kesovat, a to pozitivni 
vysledek klidne velmi dlouho, negativni radeji max. v radu minut. Pokud 
test skonci docasnou chybou, je uz v zasade otazkou vkusu, zda mail 
prijmout nebo odmitnout taktez s docasnou chybou. Tedy je to kosmeticka 
zalezitost v pripade, ze jde o relay dovnitr site dle nejakeho 
explicitniho smerovani. V pripade, ze je ten server backup uvedeny v MX, 
tak by ten mail mel prijmout, jinak by postradal smysl, na druhou stranu i 
tady muze mit tato technika smysl, pokud se ale nastavi dlouha cache na 
pozitivni i negativni vysledky testu.

> ano toto chovani postaka, tedy odmitani mailu, ktere maji obalku s 
> nekorektni adresou, chci odmitat. A muj postak to tak skutecne dela a 
> odmita takoveto maily (overeno rucne testem), presto se mi dostanou do 
> spoolu maily, ktere by timto pravidlem nemeli projit. A od zacatku se 
> ptam, jak je to mozne?

No mozna proto, ze ten test nikdy nebude 100% spolehlivy -- neni mozne 
spolehlive otestovat, ze neco pujde nekam odeslat jinak, nez ze to zkusite 
poslat. Treba jen testujete existenci domeny, ale uz ne MX/A zaznamu. A 
nebo i existuje nejaky server v DNS, ale neposloucha na nem smtpd na 
25/tcp.

> sendmail toto ma nejak implementovano a priznam se, ze detailni 
> podrobnosti jsem nezkoumal.

Pokud vim, tak samy od sebe (bez nutnosti neco doprogramovavat) tuhle vec 
umi sendmail a postfix. U sendmailu jsem to nikdy nezkousel, ale u 
postfixu je to velmi srozumitelne popsane zde

http://www.postfix.org/ADDRESS_VERIFICATION_README.html

-- Jan Houstek

Další informace o konferenci Sendmail