Chyba "554 5.3.5 buildaddr: unknown mailer hub: Unknown error 4294936307"
Petr Barta
petr na netas.cz
Čtvrtek Leden 5 15:12:47 CET 2006
> Náčrt situace (doufám že bude čitelný) :
>
> +----------+
> | mx.prvni +-----+
> +----------+ |
> | +------------+ +----------+ +--------+
> +----------+ | | centralni | | | | vnejsi |
> | mx.druha +-----+---+ mailserver +-----+ firewall +------+ mx +----->
> Internet
> +----------+ | | | | | | |
> | +------------+ +----------+ +--------+
> +----------+ |
> | mx.treti +-----+
> +----------+
Takze (coz jsem nevidel nikde napsano) plati predpoklad, ze _odesilatel s
povolenou domenou_ muze pres _vnejsi MX_ pristupovat pouze z FW?
> Přicházející poštu (pokud je pro někoho z vyjmenovaných domén) přebírá
> "Vnější MX", které ji pak předává na FW.
>
> Vypadá to složitě, ale udržuje se to docela dobře.
> No a mě jde o to, že nahrazuji "Vnější MX", takže potřebuju nastavit chování:
>
> - doručuj odchozí poštu kamkoliv, pokud je odesilatel z vyjmenovaných domén
> (a pokud přichází se stroje FW)
Tohle je v poradku, pokud jsou splneny obe podminky. Jak je ale zajistit
na sendmailu Vam bohuzel neporadim...
> - přebírej poštu přicházející odkukoliv, pokud je adresát ve vyjmenovaných
> doménách a předávej ji na adresu FW
Tohle je v poradku - to je relaying + mailertable
>> Tohle se obavam, ze neni pravda - OP se ptal na povoleni posty, pokud je
>> _odesilatel_ z uvedenych domenach.
>
> Asi bych to měl upřesnit - odesilatel a/nebo adresát.
To jsou prave ale dva pripady, ketre je nutne rozlisovat. :-)
>> To pomoci RELAY asi nezaridite, krome toho je to celkem riziko. Kdokoliv
>> muze podvrhnout adresu odesilatele tak, aby byla z Vami prijimanych domen,
>> a pak odesilat spam "z Vasi adresy" kamkoli.
>
> No jo sakra, to jsem si neuvědomil.
> Ale zdá se, že to nejde (připojeno z ntb přes tel adaptér, tedy "zvenku"):
>
> 220 ns.prvni.cz ESMTP Sendmail 8.13.4/8.13.4; Thu, 5 Jan 2006 14:35:31 +0100
> HELO ddd
> 250 ns.prvni.cz Hello p0982.as-l041.contactel.cz [194.108.235.220], pleased
> to meet you
> MAIL FROM: blbec na prvni.cz
> 250 2.1.0 blbec na prvni.cz... Sender ok
> RCPT TO: nekdo na post.cz
> 550 5.7.1 nekdo na post.cz... Relaying denied
> QUIT
> 221 2.0.0 ns.prvni.cz closing connection
>
> IMHO je to proto, že v souboru /etc/mail/access je toto :
>
> localhost.localdomain RELAY
> localhost RELAY
> 127.0.0.1 RELAY
> # fw
> 111.222.333.444 RELAY
> # spravovane domeny
> del.cz RELAY
> zdas.cz RELAY
> zdas.com RELAY
> zdas.biz RELAY
>
> Takže (pokud to dobře chápu) bude fumkce "RELAY" (tedy předání pošty ven)
> dostupná jen pokud má odesilatel správnou (jednu z vyjmenovaných) IP nebo
> pokud pokud jeho IP po zpětném překladu zapadne do vyjmenovaných domén.
mozna to chapu spatne, ale spis si myslim, ze to chapte spatne Vy. ;-)
RELAY v tomhle konfigu neznamena, ze se posta ma predat "ven", ale
povoleni "relay" chovani - tedy prijem zpravy a jeji predani dal.
> Ale úplně ideální to není :
>
> 220 ns.prvni.cz ESMTP Sendmail 8.13.4/8.13.4; Thu, 5 Jan 2006 14:32:17 +0100
> HELO aaa
> 250 ns.prvni.cz Hello p0982.as-l041.contactel.cz [194.108.235.220], pleased
> to meet you
> MAIL FROM: blbec na prvni.cz
> 250 2.1.0 blbec na prvni.cz... Sender ok
> RCPT TO: existujici.jmeno na prvni.cz
> 250 2.1.5 existujici.jmeno na prvni.cz... Recipient ok
> DATA
> 354 Enter mail, end with "." on a line by itself
> necum
> a
> makej
> .
> 250 2.0.0 k05DWHg8015029 Message accepted for delivery
> QUIT
> 221 2.0.0 ns.prvni.cz closing connection
Tohle je v poradku - posilate postu dovnitr, a prijemce je z Vami
definovane domeny, zprava je tedy prijata (ze odesilatel nesmi byt z te
same domeny prece nikde neni zakazano).
> Spammer tedy může podvrhnout poštu mířící dovnitř a vydávat se přitom za
> vnitřního odesilatele.
> Dá se toto nějak omezit - tj. aby odesilatelé z vyjmenovaných domén mohli
> posílat maily jen z jedné povolené IP adresy ?
Tohel Vam v sendmailu zaridit neumim.
>> Myslim, ze lepsi je pouzit SASL, nebo alespon nejakou metou SMTPafterPOP3.
>
> SASL - šifrované spojení ? To asi lepší nebude - FW ho totiž musí rozebrat a
> zkontrolovat.
SASL neni sifrovani spojeni, jen overeni uzivatele. Sifrovane spojeni se
zarizuje TLS. :-)
Petr Barta
Další informace o konferenci Sendmail