Re: exim4 callouts.

To: debian-russian@lists.debian.org
Subject: Re: exim4 callouts.
From: Alexey Zbinyakov <asbinyakov@sw-soft.com>
Date: Thu, 7 Oct 2004 18:30:59 +0700
Message-id: <[🔎] 20041007183059.35627ae0@ledovsky.plesk.ru>
In-reply-to: <[🔎] 4164D7E5.8030204@0n.ru>
References: <[🔎] 20041006222828.31d6e021@ledovsky.plesk.ru> <[🔎] 41641416.7090908@0n.ru> <[🔎] 20041007021941.4ce4e823@ledovsky.plesk.ru> <[🔎] 4164D7E5.8030204@0n.ru>

On Thu, 07 Oct 2004 09:45:09 +0400
Slava Astashonok <sla@0n.ru> wrote:

SA> Alexey Zbinyakov wrote:
SA> 
SA> > А если он делает от sender adress ? Или от специального
SA> > непроверяемого домена на нашей стороне ? Типа
SA> 
SA> Только ни в коем случае не от sender adress.
SA> 
SA> > В чем проблема ? Если в принципе в вашем примере postmaster@ не
SA> > проверять то то-же самое.
SA> 
SA> Ну, хорошо, выкрутиться можно. Но!
SA> 1) Если подойти формально, то такие домены являются нарушителями
SA> RFC, причём, _стандарта_ (RFC1123 == STD0003). Такие домены, как
SA> злостные нарушители, вообще не принимают отлупов снаружи. Ну, так,
SA> чего с ними цацкаться? 
Сами callouts нарушают RFC. Ни где в rfc не сказано что from: должен быть существующим.

SA> 2) Подход псевдо-практический: задайтесь
SA> вопросом: на сколько вообще может быть адекватен ответ callout'у с
SA> mx'а такого домена, стОит ли ему верить, если там такие серьёзные
SA> ошибки в ДНК? ;-) Не будет ли проще целиком блокировать такой домен
SA> или принимать с него без бессмысленных проверок? 

Блокировать не способ при куче разных пользователей - они не поймут, и не понимают.

SA> 3) Мой практический
SA> опыт занесения таких доменов в отдельный список (не black-лист,
SA> конечно, а просто блокировка callout для них) пока оправдывается: на
SA> данный момент список в себя включает всего 8 доменов (из
SA> сколько-нибудь известных только subscribe.ru, но оно и понятно), а,
SA> к примеру, на прошлой неделе почтовик принял почту более чем 1000
SA> уникальных доменов. Так что работы с поддержкой этого списка, как
SA> сами можете видеть, не много. 

Сейчас я веду именно список доменов, но у нас кучка senders юзает на своих MX серверах какой-то smtp-proxy, который этого не принимает.

SA> 4) Если мне всё-таки не удалось вас
SA> убедить, то есть ещё одно небольшое препятствие: "MAIL FROM: <>"
SA> "прибит гвоздями" к callout'у в verify.c.
SA> 

На всякий случай буду иметь в виду.

SA> P.S. Впрочем, я не удивлюсь, если когда-нибудь появится опция,
SA> позволяющая менять нынешнее поведение callout'а, в конце концов,
SA> allow_mx_to_ip, ведь, тоже служит для того, чтобы подстраиваться под
SA> rfc-ignorant'ов...

А так же отключение проверки helo, и всякие подобные фичи.


-- 
Alexey Zbinyakov
Technical Support Engineer
SWsoft, Inc.

Attachment: pgpWHWMfnJRzm.pgp
Description: PGP signature

Reply to:

Follow-Ups:
- Re: exim4 callouts.
  - From: Slava Astashonok <sla@0n.ru>

References:
- exim4 callouts.
  - From: Alexey Zbinyakov <asbinyakov@sw-soft.com>
- Re: exim4 callouts.
  - From: Slava Astashonok <sla@0n.ru>
- Re: exim4 callouts.
  - From: Alexey Zbinyakov <asbinyakov@sw-soft.com>
- Re: exim4 callouts.
  - From: Slava Astashonok <sla@0n.ru>

Prev by Date: Re: не запускаются удаленно X приложения с моей машины
Next by Date: проблема X на intel video 845
Previous by thread: Re: exim4 callouts.
Next by thread: Re: exim4 callouts.
Index(es):
- Date
- Thread