On Thu, 07 Oct 2004 09:45:09 +0400 Slava Astashonok <[EMAIL PROTECTED]> wrote:
SA> Alexey Zbinyakov wrote: SA> SA> > А если он делает от sender adress ? Или от специального SA> > непроверяемого домена на нашей стороне ? Типа SA> SA> Только ни в коем случае не от sender adress. SA> SA> > В чем проблема ? Если в принципе в вашем примере postmaster@ не SA> > проверять то то-же самое. SA> SA> Ну, хорошо, выкрутиться можно. Но! SA> 1) Если подойти формально, то такие домены являются нарушителями SA> RFC, причём, _стандарта_ (RFC1123 == STD0003). Такие домены, как SA> злостные нарушители, вообще не принимают отлупов снаружи. Ну, так, SA> чего с ними цацкаться? Сами callouts нарушают RFC. Ни где в rfc не сказано что from: должен быть существующим. SA> 2) Подход псевдо-практический: задайтесь SA> вопросом: на сколько вообще может быть адекватен ответ callout'у с SA> mx'а такого домена, стОит ли ему верить, если там такие серьёзные SA> ошибки в ДНК? ;-) Не будет ли проще целиком блокировать такой домен SA> или принимать с него без бессмысленных проверок? Блокировать не способ при куче разных пользователей - они не поймут, и не понимают. SA> 3) Мой практический SA> опыт занесения таких доменов в отдельный список (не black-лист, SA> конечно, а просто блокировка callout для них) пока оправдывается: на SA> данный момент список в себя включает всего 8 доменов (из SA> сколько-нибудь известных только subscribe.ru, но оно и понятно), а, SA> к примеру, на прошлой неделе почтовик принял почту более чем 1000 SA> уникальных доменов. Так что работы с поддержкой этого списка, как SA> сами можете видеть, не много. Сейчас я веду именно список доменов, но у нас кучка senders юзает на своих MX серверах какой-то smtp-proxy, который этого не принимает. SA> 4) Если мне всё-таки не удалось вас SA> убедить, то есть ещё одно небольшое препятствие: "MAIL FROM: <>" SA> "прибит гвоздями" к callout'у в verify.c. SA> На всякий случай буду иметь в виду. SA> P.S. Впрочем, я не удивлюсь, если когда-нибудь появится опция, SA> позволяющая менять нынешнее поведение callout'а, в конце концов, SA> allow_mx_to_ip, ведь, тоже служит для того, чтобы подстраиваться под SA> rfc-ignorant'ов... А так же отключение проверки helo, и всякие подобные фичи. -- Alexey Zbinyakov Technical Support Engineer SWsoft, Inc.
pgpGLLKSXZvBU.pgp
Description: PGP signature
