SMTP: правила для входящих

Обсуждение настройки и работы сервисов, резервирования, сетевых настроек и вопросов безопасности ОС для молодых и начинающих системных администраторов.

Модератор: SLEDopit

Ответить
IMB
Сообщения: 2559
ОС: Debian

SMTP: правила для входящих

Сообщение IMB »

Доброго дня!
Читаю сейчас RFC 2821 и не могу найти четкого ответа - какие именно данные и в каком виде должны быть предоставлены участниками процесса друг другу.
Вопрос возник в связи с Решено: Фильтрация почты в exim по check_helo . Все работает, по eximstats отсеяно кучу всего нехорошего, но ... Я не зря опасался мультидоменных систем и сегодня случился подобный инциндент.

user@localhost

sudo exigrep rrm@searu.com /var/log/exim4/mainlog.1 2009-03-26 13:18:10 H=hcmail1.smtp.ru [89.111.176.38] F=<rrm@searu.com> rejected RCPT <user@company.ru>: I think this is SPAM sudo exigrep al@searu.com /var/log/exim4/mainlog.3.gz 2009-03-24 18:35:03 1Lm8ed-0000bU-FV <= user@company.ru H=([192.168.10.135]) [192.168.10.135] P=esmtp S=1530 id=49C8FD88.2000101@company.ru from <user@company.ru> for al@searu.com 2009-03-24 18:35:06 1Lm8ed-0000bU-FV => al@searu.com R=dnslookup T=remote_smtp H=mx2.hc.ru [79.174.72.77] C="250 OK id=1Lm8xL-0009Ld-3f" 2009-03-24 18:35:06 1Lm8ed-0000bU-FV Completed sudo exigrep al@searu.com /var/log/exim4/mainlog.7.gz 2009-03-20 14:02:45 1LkcUv-00037V-53 <= al@searu.com H=hcmail1.smtp.ru [89.111.176.38] P=smtp S=74827 id=!&!AAAAAAAAAAAYAAAAAAAAAPNb0YvjP6FHkKNCxBSqwUvCgAAAEAAAANMnGv12nmdFo7f7L0T8Eu4B AAAAAA==@searu.com from <al@searu.com> for user@company.ru 2009-03-20 14:02:45 1LkcUv-00037V-53 => user <user@company.ru> R=mysqluser T=mysql_delivery 2009-03-20 14:02:45 1LkcUv-00037V-53 Completed

Этот домен я внес в "белый список", но... Можно использовать SPF, но насколько мне известно это еще не очень распространено.
Вопрос в данном случае простой - насколько я могу требовать от отправляющей стороны передачи хостом того же доменного имени, которое значится в электронном адресе?
Спасибо.
Спасибо сказали:
Аватара пользователя
danger08
Сообщения: 715
ОС: Linux (CentOS, Ubuntu)
Контактная информация:

Re: SMTP: правила для входящих

Сообщение danger08 »

IMB писал(а):
27.03.2009 13:54
Вопрос в данном случае простой - насколько я могу требовать от отправляющей стороны передачи хостом того же доменного имени, которое значится в электронном адресе?

Вы вообще не можете требовать этого от отправляющей стороны. И не только из-за мультидоменных серверов.
Я так полагаю, что весьма незначительное число почтовых релеев имеет адреса, полностью совпадающие с доменным именем, используемым в почтовых целях ;)
Блогосайт - http://www.fateyev.com
Спасибо сказали:
IMB
Сообщения: 2559
ОС: Debian

Re: SMTP: правила для входящих

Сообщение IMB »

danger08 писал(а):
27.03.2009 15:27
Вы вообще не можете требовать этого от отправляющей стороны. И не только из-за мультидоменных серверов.

Это никто не соблюдает или это не требуется по RFC или другим регулирующим документам.
Спасибо сказали:
Аватара пользователя
Ленивая Бестолочь
Бывший модератор
Сообщения: 2760
ОС: Debian; gentoo

Re: SMTP: правила для входящих

Сообщение Ленивая Бестолочь »

смотрите: когда на сервер приходит почта, допустим с адреса vinnypuh@mail.ru мы можем сделать запрос на предмет MX записи:

Код: Выделить всё

rakul@tycoon:~/thunderbird3$ dig mail.ru mx
; <<>> DiG 9.5.1-P2 <<>> mail.ru mx
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 38209
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; QUESTION SECTION:
;mail.ru.                       IN      MX

;; ANSWER SECTION:
mail.ru.                3006    IN      MX      10 mxs.mail.ru.

;; ADDITIONAL SECTION:
mxs.mail.ru.            3007    IN      A       94.100.176.20

;; Query time: 0 msec
;; SERVER: 172.16.253.101#53(172.16.253.101)
;; WHEN: Fri Mar 27 16:00:09 2009
;; MSG SIZE  rcvd: 61


а лучше наверно вот так даже:

Код: Выделить всё

rakul@tycoon:~/thunderbird3$ host -t mx mail.ru
mail.ru mail is handled by 10 mxs.mail.ru.


здесь важна строчка:
mail.ru. 3006 IN MX 10 mxs.mail.ru.

ну так вот. вместо mxs.mail.ru там могло быть yahoo.com, если бы почта mail.ru реально размещалась там. и это не противоречит никаким RFC.
Солнце садилось в море, а люди с неоконченным высшим образованием выбегали оттуда, думая, что море закипит.
Спасибо сказали:
IMB
Сообщения: 2559
ОС: Debian

Re: SMTP: правила для входящих

Сообщение IMB »

Ленивая Бестолочь писал(а):
27.03.2009 16:04
ну так вот. вместо mxs.mail.ru там могло быть yahoo.com, если бы почта mail.ru реально размещалась там. и это не противоречит никаким RFC.

Спасибо за исчерпывающий ответ.
Спасибо сказали:
Аватара пользователя
Ленивая Бестолочь
Бывший модератор
Сообщения: 2760
ОС: Debian; gentoo

Re: SMTP: правила для входящих

Сообщение Ленивая Бестолочь »

подумал, что наверно я плохо объяснил, так что на всякий случай уточнаю:
речь идет о записе, позволяющей послать почту ТУДА (на mail.ru).
если нам нужно вставить проверку приходящей оттуда почты то для этого существует специальная технология - называется SPF.
посмотреть можно так:

Код: Выделить всё

rakul@tycoon:~/thunderbird3$ dig mail.ru txt

; <<>> DiG 9.5.1-P2 <<>> mail.ru txt
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 43989
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 6, ADDITIONAL: 6

;; QUESTION SECTION:
;mail.ru.                       IN      TXT

;; ANSWER SECTION:
mail.ru.                1926    IN      TXT     "v=spf1 ip4:194.67.57.0/24 ip4:194.67.23.0/24 ip4:194.67.45.0/24 ip4:195.239.211.0/24 ip4:194.186.55.0/24 ip4:195.239.174.0/24 ip4:94.100.176.0/20 ~all"

;; AUTHORITY SECTION:
mail.ru.                2808    IN      NS      ns1.mail.ru.
mail.ru.                2808    IN      NS      ns2.mail.ru.
mail.ru.                2808    IN      NS      ns3.mail.ru.
mail.ru.                2808    IN      NS      ns4.mail.ru.
mail.ru.                2808    IN      NS      ns5.mail.ru.
mail.ru.                2808    IN      NS      ns.mail.ru.

;; ADDITIONAL SECTION:
ns.mail.ru.             2808    IN      A       194.67.23.130
ns1.mail.ru.            1043    IN      A       94.100.179.159
ns2.mail.ru.            1043    IN      A       94.100.179.163
ns3.mail.ru.            2808    IN      A       194.67.23.17
ns4.mail.ru.            2808    IN      A       194.67.57.4
ns5.mail.ru.            2808    IN      A       194.67.23.232

;; Query time: 20 msec
;; SERVER: 172.16.253.101#53(172.16.253.101)
;; WHEN: Fri Mar 27 16:47:57 2009
;; MSG SIZE  rcvd: 391

оно тут: mail.ru. 1926 IN TXT "v=spf1 ip4:194.67.57.0/24 ip4:194.67.23.0/24 ip4:194.67.45.0/24 ip4:195.239.211.0/24 ip4:194.186.55.0/24 ip4:195.239.174.0/24 ip4:94.100.176.0/20 ~all"
это хосты, которым разрешено посылать почту с обратным адресом *@mail.ru.

эта технология появилась недавно (по сравнению с smtp вообще) и, поэтому не все хосты ею пользуются, поэтому пользоваться ей нужно аккуратно.
то бишь грубо говоря в идеале так:
если у mail.ru есть SPF запись, тогда применяем проверку. если она провалена (хост, с которого пришло письмо не входит в список SPF) - deny.
если у mail.ru нет SPF записи, что ж - такое возможно, пропускаем эту проверку.

проверку нужно втыкать сюда: acl_smtp_rcpt

вот тут нашел кое-что, может быть поможет:

http://wiki.exim.org/SPF
http://tldp.org/HOWTO/Spam-Filtering-for-MX/exim-spf.html
Солнце садилось в море, а люди с неоконченным высшим образованием выбегали оттуда, думая, что море закипит.
Спасибо сказали:
IMB
Сообщения: 2559
ОС: Debian

Re: SMTP: правила для входящих

Сообщение IMB »

Ээээ, да мы говорим о разных вещах.
Куда послать - не вопрос. Интереснее - откуда принять.
У меня получается, что письма приходят с другого места и я не могу быть уверенным, что это не спамеры.
По поводу SPF знаю, в силу не очень большой распространености пока у себя не внедрил и не проверяю.
Спасибо сказали:
Аватара пользователя
danger08
Сообщения: 715
ОС: Linux (CentOS, Ubuntu)
Контактная информация:

Re: SMTP: правила для входящих

Сообщение danger08 »

IMB писал(а):
27.03.2009 17:36
У меня получается, что письма приходят с другого места и я не могу быть уверенным, что это не спамеры.

Общий принцип выше написали - проверять, есть ли SPF- или DKIM-запись для домена (если есть, проверять правильность).
Если SPF-записи нет, то проверять хотя бы по DNSBL.
Блогосайт - http://www.fateyev.com
Спасибо сказали:
IMB
Сообщения: 2559
ОС: Debian

Re: SMTP: правила для входящих

Сообщение IMB »

Господа, а что Вы можете сказать по поводу callout? Насколько распространено его использование?
Спасибо сказали:
Аватара пользователя
danger08
Сообщения: 715
ОС: Linux (CentOS, Ubuntu)
Контактная информация:

Re: SMTP: правила для входящих

Сообщение danger08 »

IMB писал(а):
07.04.2009 12:01
Господа, а что Вы можете сказать по поводу callout? Насколько распространено его использование?

Никак не распространено.
Блогосайт - http://www.fateyev.com
Спасибо сказали:
IMB
Сообщения: 2559
ОС: Debian

Re: SMTP: правила для входящих

Сообщение IMB »

Значит мне везет. За последнию неделю уже сервера три встретил. Сейчас раздумываю как лучше поступить - разрешить у себя проверку по callout или отписывать тем админам. Пока получается проще разрешить у себя проверку, но кто там знает как проверяют - одни могут с "пустым" адресом, другие что то туда впишут.
Спасибо сказали:
Ответить