[Sysadmins] postfix header_checks

Пт Апр 24 09:18:48 UTC 2009

Доброго времени суток!
On Friday 24 April 2009 11:53:59 Владимир wrote:
> Max Ivanov пишет:
> >> Это "теория", а если внимательно читать логи, то можно видеть, что и
> >> спамеры, и множество
> >> законных отправителей (@mail.ru @yandex.ru @gmail.com) легко обходят
> >> smtpd_helo_restrictions, скрывая информацию о хосте отправителя на этапе
> >> установления соединения.
> >
> > Как они это делают?
>
> Если коротко, то "непроизвольно".
> Но, чтобы раскопать, как это получается, пришлось повозиться.
>
> 1. Диалог helo предполагает, что отправитель и получатель, либо находятся
> в одной сети, либо разделены "обычным" маршрутизатором, либо разделены
> "обычным" nat. А вот через посредника proxy диалог без нарушений
> протокола проблематичен.
> Или это не так?
>
> 2. Широко распространенные cisco firewolls только теоретически являются
> "обычными" пакетными фильтрами.
> Для повышения защищенности, на отдельных этапах соединения они срываются
> на  проксирование.
> Или это не так?
>
> 3. Посмотрите в журнале, как поступают письма, например, от yandex.ru (у
> меня стойкое ощущение,
> что их web клиенты сидят за циской). Вы увидите, что диалог "поцокан
> проксей", а информация о helo_hostname вовсе отсутсвует. Хотя письма
> принимаются.
> Или это не так?
>
> Вопрос, что лучше, не принимать писем от всех клиентов сидящих за
> цисками, или оставлять дырку для спамеров. Судя по всему, разработчики
> postfix из двух зол выбрали меньшее. Камень не в циску, а в админов,
> которые прячут smtp клиентов за цисками.


Именно по этой причине меня и смущает:
check_client_access pcre:/etc/postfix/access_client_pcre

и в добавку к нему таки полезен header_checks на предмет Received.
-- 
Denis Kuznetsov
	mailto: kde на kde.kiev.ua
	jabber: denis.e.kuznetsov на gmail.com