znaczacy > comp.* > comp.mail.mta

Robert Garwacki (06.03.2007, 11:39)
Witam,

Gdzie najlepiej wstawić reject_unknown_helo_hostname? Do
smtpd_helo_restrictions, czy do smtpd_recipient_restrictions ?

Pozdrawiam,

R
Day-Day Jones (06.03.2007, 12:49)
Użytkownik "Robert Garwacki"
<rgarwacki_nospamplease> napisał w wiadomości
news:t991
> Witam,
> Gdzie najlepiej wstawić reject_unknown_helo_hostname? Do
> smtpd_helo_restrictions, czy do smtpd_recipient_restrictions ?
> Pozdrawiam,
> R


osobiscie z tym odrzucaniem hosta w sesji smtp na podstawie niewlasciwego
helo to bym uwazal...
przerabiane bylo juz kilka razy na gruie pod wieloma watkami. ja z
doswiadczenia raczej bylbym na nie :)
Lemat (06.03.2007, 13:33)
Robert Garwacki napisał(a):
> Witam,
> Gdzie najlepiej wstawić reject_unknown_helo_hostname? Do
> smtpd_helo_restrictions, czy do smtpd_recipient_restrictions ?


ja bym osobiście nie wrzucał nigdzie, bo takiej opcji nie ma, są za to:

reject_unknown_hostname,
reject_non_fqdn_hostname,

i ja bym je wrzucił do smtpd_recipient_restrictions przed RBLami.
Robert Garwacki (06.03.2007, 15:55)
Lemat napisał(a):
> Robert Garwacki napisał(a):
> ja bym osobiście nie wrzucał nigdzie, bo takiej opcji nie ma, są za to:
> reject_unknown_hostname,
> reject_non_fqdn_hostname,


Chyba jednak jest

tyle że w nowej wersji inaczej się nazywa

> i ja bym je wrzucił do smtpd_recipient_restrictions przed RBLami.


A jakieś słówko uzasadnienia? Z góry dzięki.

R
Lemat (06.03.2007, 17:14)
Robert Garwacki napisał(a):
> Chyba jednak jest
>
> tyle że w nowej wersji inaczej się nazywa


mea culpa

>> i ja bym je wrzucił do smtpd_recipient_restrictions przed RBLami.

> A jakieś słówko uzasadnienia? Z góry dzięki.


aby klienci ze swoimi MUA, które mogą się przedstawić dowolnym ciągiem
znaków w HRLO nie byli łapani i
aby sprawdzenie odbywało się przed RBLami, niepotrzebnie ich nie obciążając.
Robert Garwacki (06.03.2007, 18:42)
Lemat napisał(a):
> Robert Garwacki napisał(a):
> mea culpa
> aby klienci ze swoimi MUA, które mogą się przedstawić dowolnym ciągiem
> znaków w HRLO nie byli łapani i
> aby sprawdzenie odbywało się przed RBLami, niepotrzebnie ich nie obciążając.


Ale chyba można w smtpd_recipient_restrictions dać najpierw
permit_sasl_authenticated, a potem reject_unknown_[helo]_hostname i
wtedy MUA, jeżeli przejdzie przez autoryzację, zostanie puszczony nawet
z krzaczkami w HELO. Dobrze mówię, czy gadam głupoty ?

R
Lemat (06.03.2007, 20:34)
Robert Garwacki napisał(a):
[..]
Robert Garwacki (07.03.2007, 11:01)
Lemat napisał(a):
> Robert Garwacki napisał(a):
>> Ale chyba można w smtpd_recipient_restrictions dać najpierw
>> permit_sasl_authenticated, a potem reject_unknown_[helo]_hostname i
>> wtedy MUA, jeżeli przejdzie przez autoryzację, zostanie puszczony nawet
>> z krzaczkami w HELO. Dobrze mówię, czy gadam głupoty ?

> nie, mniej więcej powtórzyłeś to, co ja powiedziałem


Racja, namieszałem, mea culpa. Chodziło mi o smtpd_helo_restrictions,
tzn. czy można w smtpd_helo_restrictions uzyć permit_sasl_authenticated?

R
Lemat (07.03.2007, 11:11)
Robert Garwacki napisał(a):
> Lemat napisał(a):
> Racja, namieszałem, mea culpa. Chodziło mi o smtpd_helo_restrictions,
> tzn. czy można w smtpd_helo_restrictions uzyć permit_sasl_authenticated?


podczas sesji SMTP najpierw jest HELO a potem autoryzacja, czyli podczas
wykonywania smtpd_helo_restrictions postfix jeszcze nic nie wie na temat
użytkownika.
Robert Garwacki (07.03.2007, 11:21)
Lemat napisał(a):
> Robert Garwacki napisał(a):
> podczas sesji SMTP najpierw jest HELO a potem autoryzacja, czyli podczas
> wykonywania smtpd_helo_restrictions postfix jeszcze nic nie wie na temat
> użytkownika.


A jakby ustawić smtpd_delay_reject = yes ?
Lemat (07.03.2007, 11:55)
Robert Garwacki napisał(a):
> Lemat napisał(a):
>> podczas sesji SMTP najpierw jest HELO a potem autoryzacja, czyli
>> podczas wykonywania smtpd_helo_restrictions postfix jeszcze nic nie
>> wie na temat użytkownika.

> A jakby ustawić smtpd_delay_reject = yes ?


musiałbyś przetestować. IMO to jest niezgodne "ze sztuką"
Jacek 'Szumak' Kotlarski (12.03.2007, 12:27)
Dnia Tue, 6 Mar 2007 11:49:54 +0100 osobie znanej jako "Day-Day Jones"
<spamtrap> przyszlo do glowy napisac co nastepuje:

> osobiscie z tym odrzucaniem hosta w sesji smtp na podstawie
> niewlasciwego helo to bym uwazal...
> przerabiane bylo juz kilka razy na gruie pod wieloma watkami. ja z
> doswiadczenia raczej bylbym na nie :)


Z jednej strony metoda jest blogoslawienstwem - pozwala utracic IMO
~80% maili generowanych przez boty (trojany, wirusy, spamboty) juz na
"dzien dobry" bez dalszego obciazania systemu sprawdzaniem tych
wiadomosci...

Z drugiej strony to cholerstwo wymaga uwaznego i ciaglego monitorowania
logów w celu wylapania i white-listowania wszystkich adresówserwerów,
które nie zostaly poprawnie skonfigurowane - to dodaje administratorowi
sporo pracy kazdego dnia.
Day-Day Jones (14.03.2007, 11:05)
Użytkownik "Jacek 'Szumak' Kotlarski" <lowcajeleni>

>> osobiscie z tym odrzucaniem hosta w sesji smtp na podstawie
>> niewlasciwego helo to bym uwazal...
>> przerabiane bylo juz kilka razy na gruie pod wieloma watkami. ja z
>> doswiadczenia raczej bylbym na nie :)


....

> to cholerstwo wymaga uważnego i ciągłego monitorowania
> logów w celu wyłapania i white-listowania wszystkich adresów serwerów,
> które nie zostały poprawnie skonfigurowane - to dodaje administratorowi
> sporo pracy każdego dnia.


dokladnie o to mi chodzilo...
a jak sie w firmie robi wiecej niz tylko poczte to czasu nie starcza.
Podobne wątki