[exim-conf] libspf2 некорректное поведение при MX>5

Victor Ustugov victor на corvax.kiev.ua
Ср Дек 19 16:49:14 EET 2007 

dawnshade wrote:
> 
> -----Original Message-----
> From: Victor Ustugov <victor на corvax.kiev.ua>
> To: dawnshade <exim-conf на mta.org.ua>
> Date: Wed, 19 Dec 2007 16:00:41 +0200
> Subject: Re: [exim-conf]libspf2 некорректное поведение при MX>5
> 
>> dawnshade wrote:
>>> Всем привет.
>>> с libspf2 обнаружилась замечательная проблема, когда оный работает с доменом у которго указано больше 5 MX записей, яркий пример тому odnoklassniki.ruб у него 8 MX. Лимит MX в самой либе дефолтен 5 (SPF_DEFAULT_MAX_DNS_MX 5) значит в среднем результат проверки при отправке с валидных MX в 3х из 8и случаях будет fail.
>>> с недефолтным лимитом (10) libspf2 собрана только на убунте и дебиане.
>>> Виктор обещал на днях слабать патч, включив его в паровоз.
>> оказалось, что кроме изменения значения SPF_DEFAULT_MAX_DNS_MX в 
>> src/include/spf.h нужно менять значение SPF_MAX_DNS_MX в 
>> src/include/spf_internal.h и src/include/spf_server.h
>>
>> патч доступен тут:
>> http://mta.org.ua/exim-4.67-conf/patches/libspf2-1.2.5-DoS_limits/patch-src::DoS_limits.patch
> 
> по-хорошему авторам libspf2 оторвать руки за такие вещи и реально править надо не лимиты, иначе найдется другой хост у которого кол-во MX будет 21. реально решать ситуацию надо заменой веридикта в таких случаях с fail на error, т.е. просто ниасилил распарсить. тем более что в стандарте веридикт spf_error задекларирован.
> вопрос в другом, что патч для правки веридикта может вылится в существенно бОльшую работу, потому как механизм работы libspf таков что парситься все что попадает под pass, pass не попался значит fail.

ну... вероятность появления домена с более чем 20 MX записями 
существенно меньше, чем с более чем 5 MX записями.

так что патч для возврата error вместо fail я буду писать позже.

кстати, в experimental-spec.txt среди списка возвращаемых значений нет 
spf_error. судя по всему, SPF_RESULT_TEMPERROR, который интерпретируется 
как "error (temporary)", соответствует Кистнеровскому значению err_temp

-- 
Best wishes Victor Ustugov   mailto:victor на corvax.kiev.ua
public GnuPG/PGP key:        http://victor.corvax.kiev.ua/corvax.asc
ICQ: 77186900, 32418694      CRV2-RIPE, CRV-UANIC

Подробная информация о списке рассылки exim-conf