Chyba "554 5.3.5 buildaddr: unknown mailer hub: Unknown error 4294936307"

Miroslav BENES miroslav.benes na zdas.cz
Čtvrtek Leden 5 14:57:44 CET 2006 

Náčrt situace (doufám že bude čitelný) :

+----------+
| mx.prvni +-----+
+----------+     |
                 |   +------------+     +----------+      +--------+
+----------+     |   |  centralni |     |          |      | vnejsi |
| mx.druha +-----+---+ mailserver +-----+ firewall +------+   mx   
+-----> Internet
+----------+     |   |            |     |          |      |        |
                 |   +------------+     +----------+      +--------+
+----------+     |
| mx.treti +-----+
+----------+


Veškerá pošta odcházející z domén prvni,cz, druha.cz apod. se 
shromažďuje na vnitřním "centrálním" mailserveru. Pokud patří do jiné 
domény uvnitř naší sítě, je předaná příslušnému mailserveru. Pokud má 
odejít "ven", předává se na FW. Ten udělá antivirovou kontrolu a předá 
ji dál - na vnější mailserver, který ji převezme a postará se o doručení.

Přicházející poštu (pokud je pro někoho z vyjmenovaných domén) přebírá 
"Vnější MX", které ji pak předává na FW.

Vypadá to složitě, ale udržuje se to docela dobře.
No a mě jde o to, že nahrazuji "Vnější MX", takže potřebuju nastavit 
chování:

 - doručuj odchozí poštu kamkoliv, pokud je odesilatel z vyjmenovaných 
domén (a pokud přichází se stroje FW)
 - přebírej poštu přicházející odkukoliv, pokud je adresát ve 
vyjmenovaných doménách a předávej ji na adresu FW




>
> Tohle se obavam, ze neni pravda - OP se ptal na povoleni posty, pokud 
> je _odesilatel_ z uvedenych domenach.

Asi bych to měl upřesnit - odesilatel a/nebo adresát.

> To pomoci RELAY asi nezaridite, krome toho je to celkem riziko. 
> Kdokoliv muze podvrhnout adresu odesilatele tak, aby byla z Vami 
> prijimanych domen, a pak odesilat spam "z Vasi adresy" kamkoli.

No jo sakra, to jsem si neuvědomil.
Ale zdá se, že to nejde (připojeno z ntb přes tel adaptér, tedy "zvenku"):

220 ns.prvni.cz ESMTP Sendmail 8.13.4/8.13.4; Thu, 5 Jan 2006 14:35:31 +0100
HELO ddd
250 ns.prvni.cz Hello p0982.as-l041.contactel.cz [194.108.235.220], 
pleased to meet you
MAIL FROM: blbec na prvni.cz
250 2.1.0 blbec na prvni.cz... Sender ok
RCPT TO: nekdo na post.cz
550 5.7.1 nekdo na post.cz... Relaying denied
QUIT
221 2.0.0 ns.prvni.cz closing connection

IMHO je to proto, že v souboru /etc/mail/access je toto :

localhost.localdomain           RELAY
localhost                       RELAY
127.0.0.1                       RELAY
# fw
111.222.333.444                 RELAY
# spravovane domeny
del.cz                          RELAY
zdas.cz                         RELAY
zdas.com                        RELAY
zdas.biz                        RELAY

Takže (pokud to dobře chápu) bude fumkce "RELAY" (tedy předání pošty 
ven) dostupná jen pokud má odesilatel správnou (jednu z vyjmenovaných) 
IP nebo pokud pokud jeho IP po zpětném překladu zapadne do vyjmenovaných 
domén.


Ale úplně ideální to není :

220 ns.prvni.cz ESMTP Sendmail 8.13.4/8.13.4; Thu, 5 Jan 2006 14:32:17 +0100
HELO aaa
250 ns.prvni.cz Hello p0982.as-l041.contactel.cz [194.108.235.220], 
pleased to meet you
MAIL FROM: blbec na prvni.cz
250 2.1.0 blbec na prvni.cz... Sender ok
RCPT TO: existujici.jmeno na prvni.cz
250 2.1.5 existujici.jmeno na prvni.cz... Recipient ok
DATA
354 Enter mail, end with "." on a line by itself
necum
a
makej
.
250 2.0.0 k05DWHg8015029 Message accepted for delivery
QUIT
221 2.0.0 ns.prvni.cz closing connection


Spammer tedy může podvrhnout poštu mířící dovnitř a vydávat se přitom za 
vnitřního odesilatele.
Dá se toto nějak omezit - tj. aby odesilatelé z vyjmenovaných domén 
mohli posílat maily jen z jedné povolené IP adresy ?


> Myslim, ze lepsi je pouzit SASL, nebo alespon nejakou metou 
> SMTPafterPOP3.

SASL - šifrované spojení ? To asi lepší nebude - FW ho totiž musí 
rozebrat a zkontrolovat.




BTW nakonec jsem to "vyřešil" tak, že jsem se podíval na konfiguraci 
vnitřního "centrálního" mailserveru, který dělá analogicky totéž - tj. 
rozesílá podle cílové domény na příslušné stroje. A v jeho konfiguraci 
je totéž, jen se místo $#hub používá $#esmtp. Syntaxe které zdá se chodí 
je tedy :

R$+ < @ prvni . cz . >          $#esmtp $@ fw.prvni.cz $: $1 < @ prvni . 
cz >
#R$+ < @ $* . prvni . cz . >    $#esmtp $@ fw.prvni.cz $: $1 < @ $2 
prvni . cz >
R$+ < @ neco . prvni . cz . >   $#esmtp $@ fw.prvni.cz $: $1 < @ neco . 
prvni . cz >

R$+ < @ prvni . com . >         $#esmtp $@ fw.prvni.cz $: $1 < @ prvni . 
com >
R$+ < @ prvni . biz . >         $#esmtp $@ fw.prvni.cz $: $1 < @ prvni . 
biz >

R$+ < @ druha . cz . >          $#esmtp $@ fw.prvni.cz $: $1 < @ druha . 
cz >

atd.

Další informace o konferenci Sendmail