URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 87447
[ Назад ]

Исходное сообщение
"Проверки в Postfix, рекомендации RFC"

Отправлено Raduga , 27-Ноя-09 13:10 
С точки зрения RFC домен abcprint.ru и почтовый хост соответсвуют рекоменадциям?


%dig mx absprint.ru

; <<>> DiG 9.3.5 <<>> mx absprint.ru
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 53133
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1

;; QUESTION SECTION:
;absprint.ru.                   IN      MX

;; ANSWER SECTION:
absprint.ru.            7091    IN      MX      0 mail.absprint.ru.
absprint.ru.            7091    IN      MX      5 absprint.ru.

;; ADDITIONAL SECTION:
mail.absprint.ru.       7122    IN      A       89.223.107.35

;; Query time: 1 msec
;; SERVER: 10.1.1.1#53(10.1.1.1)
;; WHEN: Fri Nov 27 12:43:36 2009
;; MSG SIZE  rcvd: 82

%dig -x mail.absprint.ru

; <<>> DiG 9.3.5 <<>> -x mail.absprint.ru
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 65279
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;ru.absprint.mail.in-addr.arpa. IN      PTR

;; AUTHORITY SECTION:
in-addr.arpa.           201     IN      SOA     a.root-servers.net. dns-ops.arin.net. 2009112616 1800 900 691200 801

;; Query time: 0 msec
;; SERVER: 10.1.1.1#53(10.1.1.1)
;; WHEN: Fri Nov 27 12:43:42 2009
;; MSG SIZE  rcvd: 114

%nslookup mail.absprint.ru
Server:         10.1.1.1
Address:        10.1.1.1#53

Non-authoritative answer:
Name:   mail.absprint.ru
Address: 89.223.107.35

%nslookup 89.223.107.35
Server:         10.1.1.1
Address:        10.1.1.1#53

Non-authoritative answer:
35.107.223.89.in-addr.arpa      name = kuzia-colocation.nvc.ru.

Authoritative answers can be found from:

%

С точки зрения проверок в postfix хост легатимный?

reject_unknown_client_hostname,
reject_invalid_hostname,
reject_unknown_client,

reject_unknown_hostname,
reject_invalid_hostname,

reject_unknown_address
reject_unknown_sender_domain
reject_unknown_sender_domain


Содержание

Сообщения в этом обсуждении
"Проверки в Postfix, рекомендации RFC"
Отправлено ALex_hha , 27-Ноя-09 13:39 
# host -t mx absprint.ru
absprint.ru mail is handled by 0 mail.absprint.ru.
absprint.ru mail is handled by 5 absprint.ru.

# host mail.absprint.ru
mail.absprint.ru has address 89.223.107.35

# host absprint.ru
absprint.ru has address 89.223.107.35
absprint.ru mail is handled by 5 absprint.ru.
absprint.ru mail is handled by 0 mail.absprint.ru.

# host 89.223.107.35
35.107.223.89.in-addr.arpa domain name pointer kuzia-colocation.nvc.ru.

В идеале 89.223.107.35 должен ссылаться на mail.absprint.ru


"Проверки в Postfix, рекомендации RFC"
Отправлено Raduga , 27-Ноя-09 13:41 
>[оверквотинг удален]
>
># host absprint.ru
>absprint.ru has address 89.223.107.35
>absprint.ru mail is handled by 5 absprint.ru.
>absprint.ru mail is handled by 0 mail.absprint.ru.
>
># host 89.223.107.35
>35.107.223.89.in-addr.arpa domain name pointer kuzia-colocation.nvc.ru.
>
>В идеале 89.223.107.35 должен ссылаться на mail.absprint.ru

именно это хотела услышать.
так вот если не совпадает, правильно или не правильно отвергать почту?


"Проверки в Postfix, рекомендации RFC"
Отправлено Pahanivo , 27-Ноя-09 13:50 
>[оверквотинг удален]
>>absprint.ru mail is handled by 5 absprint.ru.
>>absprint.ru mail is handled by 0 mail.absprint.ru.
>>
>># host 89.223.107.35
>>35.107.223.89.in-addr.arpa domain name pointer kuzia-colocation.nvc.ru.
>>
>>В идеале 89.223.107.35 должен ссылаться на mail.absprint.ru
>
>именно это хотела услышать.
>так вот если не совпадает, правильно или не правильно отвергать почту?

правильно отвергать
адресная запись должна быть семетрична реверсной


"Проверки в Postfix, рекомендации RFC"
Отправлено ALex_hha , 27-Ноя-09 14:19 
>[оверквотинг удален]
>>># host 89.223.107.35
>>>35.107.223.89.in-addr.arpa domain name pointer kuzia-colocation.nvc.ru.
>>>
>>>В идеале 89.223.107.35 должен ссылаться на mail.absprint.ru
>>
>>именно это хотела услышать.
>>так вот если не совпадает, правильно или не правильно отвергать почту?
>
>правильно отвергать
>адресная запись должна быть семетрична реверсной

не согласен, допустим у тебя один MX обслуживает 100 доменов.

# host -t mx domain1.com
domain1.com mail is handled by 10 mail.domain1.com.

# host -t mx domain2.com
domain2.com mail is handled by 10 mail.domain2.com.

# host mail.domain1.com.
host mail.domain1.com has address xxx.xxx.xxx.xxx

# host mail.domain2.com.
host mail.domain2.com has address xxx.xxx.xxx.xxx

Не всегда есть возможность указывать в качестве МХ одно имя. Я бы не стал отвергать.


"Проверки в Postfix, рекомендации RFC"
Отправлено Raduga , 27-Ноя-09 14:23 
если неправильно отвергать, зачем в postfix включена такая возможость?
если надо отвергать возможность должна быть, если неправильно отвергать, такой встроенной возможности не должно быть.

"Проверки в Postfix, рекомендации RFC"
Отправлено PavelR , 27-Ноя-09 14:30 
>правильно отвергать
>адресная запись должна быть семетрична реверсной

debian:/# nslookup 89.223.107.35

Non-authoritative answer:
35.107.223.89.in-addr.arpa      name = kuzia-colocation.nvc.ru.


debian:/# nslookup kuzia-colocation.nvc.ru.

** server can't find kuzia-colocation.nvc.ru.: NXDOMAIN

или

debian:/# nslookup 1.2.3.4

** server can't find 4.3.2.1.in-addr.arpa.: NXDOMAIN


Вот за это надо отвергать.

За несуществующий/не fqdn helo - надо отвергать.


"Проверки в Postfix, рекомендации RFC"
Отправлено Raduga , 27-Ноя-09 14:58 
где тут несущеcтвующий fqdn helo ?

почта то легатимная, как пользователю объяснишь, что это нарушение RFC?
postmaster и abuse не существует, кому писать.


"Проверки в Postfix, рекомендации RFC"
Отправлено Pahanivo , 27-Ноя-09 15:14 
>[оверквотинг удален]
>domain2.com mail is handled by 10 mail.domain2.com.
>
># host mail.domain1.com.
>host mail.domain1.com has address xxx.xxx.xxx.xxx
>
># host mail.domain2.com.
>host mail.domain2.com has address xxx.xxx.xxx.xxx
>
>Не всегда есть возможность указывать в качестве МХ одно имя. Я бы
>не стал отвергать.

на сколько я помню проверяется на этапе хелоу (ехлоу) - на все твои 100 виртуальных доменов сервак будет представляться одинаково - mail.SERVER.com
вот и должен быть реверс на него


"Проверки в Postfix, рекомендации RFC"
Отправлено ALex_hha , 27-Ноя-09 16:18 
>[оверквотинг удален]
>>
>># host mail.domain2.com.
>>host mail.domain2.com has address xxx.xxx.xxx.xxx
>>
>>Не всегда есть возможность указывать в качестве МХ одно имя. Я бы
>>не стал отвергать.
>
>на сколько я помню проверяется на этапе хелоу (ехлоу) - на все
>твои 100 виртуальных доменов сервак будет представляться одинаково - mail.SERVER.com
>вот и должен быть реверс на него

Опять таки зависит от настроек

Иногда приходилось делать

#/etc/postfix/main.cf

banner_if1 = mx1.sys-adm.org.ua ESMTP
banner_if2 = mx2.sys-adm.org.ua ESMTP


#/etc/postfix/master.cf

xxx.xxx.xxx.xxx:smtp      inet  n       -       n       -       -       smtpd
    -o smtpd_banner=$banner_if1

yyy.yyy.yyy.yyy:smtp      inet  n       -       n       -       -       smtpd
    -o smtpd_banner=$banner_if2



"Проверки в Postfix, рекомендации RFC"
Отправлено Pahanivo , 27-Ноя-09 18:05 
смысел?

"Проверки в Postfix, рекомендации RFC"
Отправлено Raduga , 27-Ноя-09 14:21 
спасибо и это хотела услышать.
еще не существуют пользователи postmaster и abuse, как с этим?

"Проверки в Postfix, рекомендации RFC"
Отправлено PavelR , 27-Ноя-09 14:32 
>спасибо и это хотела услышать.
>еще не существуют пользователи postmaster и abuse, как с этим?

Вы  при каждой отправке вам письма будете проверять, существуют ли на домене отправителя postmaster и abuse ?


"Проверки в Postfix, рекомендации RFC"
Отправлено Raduga , 27-Ноя-09 14:53 
нет, к примеру сказала, к тому, что RFC никому не указ. зачем рекомендовать, если можно не следовать, и тем более фильтровать на основании рекомендаций, зачем rfc-ignore если можно не поддерживать postmaster и abuse.

"Проверки в Postfix, рекомендации RFC"
Отправлено tux2002 , 27-Ноя-09 14:55 
>[оверквотинг удален]
>>absprint.ru mail is handled by 5 absprint.ru.
>>absprint.ru mail is handled by 0 mail.absprint.ru.
>>
>># host 89.223.107.35
>>35.107.223.89.in-addr.arpa domain name pointer kuzia-colocation.nvc.ru.
>>
>>В идеале 89.223.107.35 должен ссылаться на mail.absprint.ru
>
>именно это хотела услышать.
>так вот если не совпадает, правильно или не правильно отвергать почту?

Если в helo он здоровается как kuzia-colocation.nvc.ru или [89.223.107.35] то он прав. Если здоровается не так, то на Ваше усмотрение.


"Проверки в Postfix, рекомендации RFC"
Отправлено PavelR , 27-Ноя-09 14:59 
>[оверквотинг удален]
>>># host 89.223.107.35
>>>35.107.223.89.in-addr.arpa domain name pointer kuzia-colocation.nvc.ru.
>>>
>>>В идеале 89.223.107.35 должен ссылаться на mail.absprint.ru
>>
>>именно это хотела услышать.
>>так вот если не совпадает, правильно или не правильно отвергать почту?
>
>Если в helo он здоровается как kuzia-colocation.nvc.ru или [89.223.107.35] то он прав.
>Если здоровается не так, то на Ваше усмотрение.

1) не-не, а как же multihomed-hosts ?

2) Разве helo не должно быть fqdn а не IP ?



"Проверки в Postfix, рекомендации RFC"
Отправлено ALex_hha , 27-Ноя-09 15:07 
>[оверквотинг удален]
>>>
>>>именно это хотела услышать.
>>>так вот если не совпадает, правильно или не правильно отвергать почту?
>>
>>Если в helo он здоровается как kuzia-colocation.nvc.ru или [89.223.107.35] то он прав.
>>Если здоровается не так, то на Ваше усмотрение.
>
>1) не-не, а как же multihomed-hosts ?
>
>2) Разве helo не должно быть fqdn а не IP ?

ip может быть, если он заключен в квадратные скобки, т.н. литеральная форма. Хотя уже давно как не используется. Я за такое награждаю грейлистингом. А вот если просто ip, то просто отклоняю.

2 ТС
RFC это не ГОСТ, где шаг влево, шаг вправо - расстрел. Это рекомендации, а прислушиваться к ним или нет и в какой степени, каждый решает для себя сам


"Проверки в Postfix, рекомендации RFC"
Отправлено Raduga , 27-Ноя-09 15:20 
в чем смысл таких рекомендаций.

можно строку как за [] получаетй грейлист?


"Проверки в Postfix, рекомендации RFC"
Отправлено ALex_hha , 27-Ноя-09 16:20 
>в чем смысл таких рекомендаций.
>можно строку как за [] получаетй грейлист?

не понял смысла вопросов :)


"Проверки в Postfix, рекомендации RFC"
Отправлено PavelR , 27-Ноя-09 16:20 
>в чем смысл таких рекомендаций.
>
>можно строку как за [] получаетй грейлист?

примерно так:


smtpd_restriction_classes = greylisting

greylisting = check_policy_service inet:127.0.0.1:10023

smtpd_helo_restrictions  =  

check_helo_access pcre:/usr/local/etc/postfix/helo-pcre


Файл helo-pcre:

/^\[\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}\]$/ greylisting


"Проверки в Postfix, рекомендации RFC"
Отправлено ALex_hha , 28-Ноя-09 12:26 
>Файл helo-pcre:
>
>/^\[\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}\]$/ greylisting

Можно и так ;)
/^\[[[:digit:]\.]*\]$/ greylisting


"Проверки в Postfix, рекомендации RFC"
Отправлено PavelR , 27-Ноя-09 14:31 
>[оверквотинг удален]
>
># host absprint.ru
>absprint.ru has address 89.223.107.35
>absprint.ru mail is handled by 5 absprint.ru.
>absprint.ru mail is handled by 0 mail.absprint.ru.
>
># host 89.223.107.35
>35.107.223.89.in-addr.arpa domain name pointer kuzia-colocation.nvc.ru.
>
>В идеале 89.223.107.35 должен ссылаться на mail.absprint.ru

Или хотя-бы  kuzia-colocation.nvc.ru. должен ссылаться на 89.223.107.35.