Pavel Prikhodko wrote:
> Hello exim-conf,
и тебе hello
> Вообщем нарисовалась ситуация.
> Есть железный роутер PLANET Internet Broadband Router XRT-402C.
>> У него есть фича при включенном файрволе он может посылать собщения
> про атаки по определенному адресу.
>> Как оказалось в фирме PLANET, кто-бы сомневался, RFC не читают и как
> формировать smtp сессию тоже не знают.
не факт
> В результате я получил в логах
>> 2004-08-15 00:00:04 H=(brnt) [62.64.92.150] F=<pavel на olimpex.od.ua> rejected RCPT <pavel на olimpex.od.ua>: HELO is With only Point or Without Point
>> Письмо имеет такие заголовки
>>> Return-path: <pavel на olimpex.od.ua>
> Envelope-to: pavel на olimpex.od.ua> Delivery-date: Mon, 16 Aug 2004 10:16:57 +0300
> Received: from [62.64.92.150] (helo=brnt)
> by ns.ferko.com.ua with smtp id 1Bwbjl-00052p-Do
> for pavel на olimpex.od.ua; Mon, 16 Aug 2004 10:16:57 +0300
> From: <pavel на olimpex.od.ua>
> To: pavel на olimpex.od.ua> Subject: Alert Message!!!
1. я думаю, что у твоего роутера вполне есть настройки на внешний dns
сервер. если dns сервер не вернет fqdn для 62.64.92.150, но ничего
удивительного в таком helo нет. кстати, твой эксим тоже не смог
отрезолвить 62.64.92.150 (посмотри первую строку поля Received)
2. исключений из такой проверки helo не предусмотрено. и вот по каким
причинам:
кривые helo вроде однословных, состоящих только из точки, содержащих
левые символы, состоящие из IP адреса, содержащими хост или домен
получателя, могут приходить в валидных письмах лишь от MUA (спасибо
разработчикам оных, кои до сих пор не выправили свои руки).
но т. к. по идеологии данного набора конгфигов предусматривается прием
писем от MUA только с хостов, перечисленных в +relay_from_hosts (файл
hosts-relayfrom), и от аутентифицированных отправителей, то отдельный
файл для исключений из проверки helo не создавался. и не будет
создаваться. ибо внешние отправители со своими MUA идут лесом, а именно
- отправлять почту через smarthost'ы своих провайдеров. с исходящих
рилеев провайдеров к нам почта будет пересылаться уже ихними MTA,
которые как правило на пару порядков менее кривые (в данном случае не
рассматриваем любовь MS Exchange здороваться IP адресом внешнего
интерфейса без квадратных скобок в случае, если он не может определить
FQDN этого интерфейса), поэтому опять же, файл с исключениями не
понадобится.
а в данном конкретном случае, т. к. более других писем с этого роутера
приходить не будет, можно его IP вписать в списке хостов
+relay_white_list (файл white_list_relays)
для хостов из этого файла большинство проверок скипаются. сделан он для
случаев, когда руки у админа MTA с той стороны безнадежно кривые,
рычагов воздействия на админа с той стороны нет, а почту принимать надо
из соображений экономического или другого характера (например, это
важный клиент).
--
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Best wishes Victor Ustugov mailto:victor на corvax.kiev.ua
public GnuPG/PGP key: http://victor.corvax.kiev.ua/corvax.asc
ICQ: 77186900, 32418694 CRV2-RIPE, CRV-UANIC