[Sysadmins] postfix header_checks

[Владимир]

Max Ivanov пишет:
>> Это "теория", а если внимательно читать логи, то можно видеть, что и
>> спамеры, и множество
>> законных отправителей (@mail.ru @yandex.ru @gmail.com) легко обходят
>> smtpd_helo_restrictions, скрывая информацию о хосте отправителя на этапе
>> установления соединения.
>>     
>
> Как они это делают?
>   

Если коротко, то "непроизвольно".
Но, чтобы раскопать, как это получается, пришлось повозиться.

1. Диалог helo предполагает, что отправитель и получатель, либо находятся
в одной сети, либо разделены "обычным" маршрутизатором, либо разделены
"обычным" nat. А вот через посредника proxy диалог без нарушений 
протокола проблематичен.
Или это не так?

2. Широко распространенные cisco firewolls только теоретически являются 
"обычными" пакетными фильтрами.
Для повышения защищенности, на отдельных этапах соединения они срываются 
на  проксирование.
Или это не так?

3. Посмотрите в журнале, как поступают письма, например, от yandex.ru (у 
меня стойкое ощущение,
что их web клиенты сидят за циской). Вы увидите, что диалог "поцокан 
проксей", а информация о helo_hostname вовсе отсутсвует. Хотя письма 
принимаются.
Или это не так?

Вопрос, что лучше, не принимать писем от всех клиентов сидящих за 
цисками, или оставлять дырку для спамеров. Судя по всему, разработчики 
postfix из двух зол выбрали меньшее. Камень не в циску, а в админов, 
которые прячут smtp клиентов за цисками.


-- 
Vladimir Kholmanov
fmfm на mmascience.ru
fmfm на mma.ru