Chyba "554 5.3.5 buildaddr: unknown mailer hub: Unknown error 4294936307"

Petr Barta petr na netas.cz
Čtvrtek Leden 5 15:12:47 CET 2006 

> Náčrt situace (doufám že bude čitelný) :
>
> +----------+
> | mx.prvni +-----+
> +----------+     |
>                |   +------------+     +----------+      +--------+
> +----------+     |   |  centralni |     |          |      | vnejsi |
> | mx.druha +-----+---+ mailserver +-----+ firewall +------+   mx   +-----> 
> Internet
> +----------+     |   |            |     |          |      |        |
>                |   +------------+     +----------+      +--------+
> +----------+     |
> | mx.treti +-----+
> +----------+

Takze (coz jsem nevidel nikde napsano) plati predpoklad, ze _odesilatel s 
povolenou domenou_ muze pres _vnejsi MX_ pristupovat pouze z FW?

> Přicházející poštu (pokud je pro někoho z vyjmenovaných domén) přebírá 
> "Vnější MX", které ji pak předává na FW.
>
> Vypadá to složitě, ale udržuje se to docela dobře.
> No a mě jde o to, že nahrazuji "Vnější MX", takže potřebuju nastavit chování:
>
> - doručuj odchozí poštu kamkoliv, pokud je odesilatel z vyjmenovaných domén 
> (a pokud přichází se stroje FW)
Tohle je v poradku, pokud jsou splneny obe podminky. Jak je ale zajistit 
na sendmailu Vam bohuzel neporadim...

> - přebírej poštu přicházející odkukoliv, pokud je adresát ve vyjmenovaných 
> doménách a předávej ji na adresu FW
Tohle je v poradku - to je relaying + mailertable

>> Tohle se obavam, ze neni pravda - OP se ptal na povoleni posty, pokud je 
>> _odesilatel_ z uvedenych domenach.
>
> Asi bych to měl upřesnit - odesilatel a/nebo adresát.

To jsou prave ale dva pripady, ketre je nutne rozlisovat. :-)

>> To pomoci RELAY asi nezaridite, krome toho je to celkem riziko. Kdokoliv 
>> muze podvrhnout adresu odesilatele tak, aby byla z Vami prijimanych domen, 
>> a pak odesilat spam "z Vasi adresy" kamkoli.
>
> No jo sakra, to jsem si neuvědomil.
> Ale zdá se, že to nejde (připojeno z ntb přes tel adaptér, tedy "zvenku"):
>
> 220 ns.prvni.cz ESMTP Sendmail 8.13.4/8.13.4; Thu, 5 Jan 2006 14:35:31 +0100
> HELO ddd
> 250 ns.prvni.cz Hello p0982.as-l041.contactel.cz [194.108.235.220], pleased 
> to meet you
> MAIL FROM: blbec na prvni.cz
> 250 2.1.0 blbec na prvni.cz... Sender ok
> RCPT TO: nekdo na post.cz
> 550 5.7.1 nekdo na post.cz... Relaying denied
> QUIT
> 221 2.0.0 ns.prvni.cz closing connection
>
> IMHO je to proto, že v souboru /etc/mail/access je toto :
>
> localhost.localdomain           RELAY
> localhost                       RELAY
> 127.0.0.1                       RELAY
> # fw
> 111.222.333.444                 RELAY
> # spravovane domeny
> del.cz                          RELAY
> zdas.cz                         RELAY
> zdas.com                        RELAY
> zdas.biz                        RELAY
>
> Takže (pokud to dobře chápu) bude fumkce "RELAY" (tedy předání pošty ven) 
> dostupná jen pokud má odesilatel správnou (jednu z vyjmenovaných) IP nebo 
> pokud pokud jeho IP po zpětném překladu zapadne do vyjmenovaných domén.

mozna to chapu spatne, ale spis si myslim, ze to chapte spatne Vy. ;-) 
RELAY v tomhle konfigu neznamena, ze se posta ma predat "ven", ale 
povoleni "relay" chovani - tedy prijem zpravy a jeji predani dal.

> Ale úplně ideální to není :
>
> 220 ns.prvni.cz ESMTP Sendmail 8.13.4/8.13.4; Thu, 5 Jan 2006 14:32:17 +0100
> HELO aaa
> 250 ns.prvni.cz Hello p0982.as-l041.contactel.cz [194.108.235.220], pleased 
> to meet you
> MAIL FROM: blbec na prvni.cz
> 250 2.1.0 blbec na prvni.cz... Sender ok
> RCPT TO: existujici.jmeno na prvni.cz
> 250 2.1.5 existujici.jmeno na prvni.cz... Recipient ok
> DATA
> 354 Enter mail, end with "." on a line by itself
> necum
> a
> makej
> .
> 250 2.0.0 k05DWHg8015029 Message accepted for delivery
> QUIT
> 221 2.0.0 ns.prvni.cz closing connection

Tohle je v poradku - posilate postu dovnitr, a prijemce je z Vami 
definovane domeny, zprava je tedy prijata (ze odesilatel nesmi byt z te 
same domeny prece nikde neni zakazano).

> Spammer tedy může podvrhnout poštu mířící dovnitř a vydávat se přitom za 
> vnitřního odesilatele.
> Dá se toto nějak omezit - tj. aby odesilatelé z vyjmenovaných domén mohli 
> posílat maily jen z jedné povolené IP adresy ?

Tohel Vam v sendmailu zaridit neumim.

>> Myslim, ze lepsi je pouzit SASL, nebo alespon nejakou metou SMTPafterPOP3.
>
> SASL - šifrované spojení ? To asi lepší nebude - FW ho totiž musí rozebrat a 
> zkontrolovat.

SASL neni sifrovani spojeni, jen overeni uzivatele. Sifrovane spojeni se 
zarizuje TLS. :-)

 				Petr Barta

Další informace o konferenci Sendmail