Alexander Leschinsky wrote:
> VU> 1.
> VU> (Reject a connection from RFC 3330 private or special purpose IP
> VU> addresses. Note that ClientRejectLoopback checks for 127.0.0.0/8
> VU> excluding 127.0.0.1.)
> VU> эта проверка вообще делается средствами access_db, без всяких хаков
> VU> остается сделать исключения. правда, я не представляю, какие исключения
> VU> можно сделать из этой проверки
> Для этого надо
> помнить все сетки
для этого hack не нужен
> прописать их в access_db
10.0.0.0/8
14.0.0.0/8
24.0.0.0/8
39.0.0.0/8
128.0.0.0/16
169.254.0.0/16
172.16.0.0/12
191.255.0.0/16
192.0.0.0/24
192.0.2.0/24
192.88.99.0/24
192.168.0.0/16
198.18.0.0/15
223.255.255.0/24
224.0.0.0/4
240.0.0.0/5
> SMTP-AUTH пишется легко и штатными методами в mc, но для красоты и
> читабельности у тебя же есть HACK на это?
да, давно
> Исключения - хост с двумя интерфейсами... с внутренней серой сети
> коннекты (даже неаутентифицированные) берем, на внешнем - посылаем в
> пеший поход. это навскидку
я тебя умоляю... как к тебе вообще на внешний интерфейс придет коннект с
серого адреса не твоей сети? ответ все равно никуда не уйдет
> VU> 2.
> VU> HeloClaimsUs
> VU> (Клиент в HELO дает или адрес интерфейса, на который коннектится, или
> VU> FQDN хоста, к которому коннектится)
> VU> это тоже уже есть. исключения есть пока для исходящих писем и для
> VU> аутентифицированных отправителей.
> VU> мое мнение - других исключений делать не нужно.
> Не нужно... Внешний мир идет лесом однозначно....
значит считаем этот пункт выполненным
> VU> 3.
> VU> (То же самое, что и первый тест, но проверяется параметр из HELO)
> VU> этого еще нет.
> VU> правильно ли я тебя понял? надо взять helo, получить соответствующую A
> VU> запись, провести поиск в access_db с определенным квалификатором?
> Да, или не по access_db (соображения почему см. выше) а по внтрееннему
> списку сетей
не понял, подробнее. я понял, что ситуация с хостом с двумя
интерфейсами. но ведь коннекты на внутренний интерфейс из внутренней
сети и так будут исключены из этой проверки. остается давить по
access_db всех тех, кто извне пришел с helo, резолвящимся в серый
адрес... примером может служить доменчик bph.com с его хостом
x9.bph.com, который у него и best MX тоже
> VU> 4.
> VU> Reject an MX with RFC 3330 private or special purpose IP addresses -
> VU> на приватное пространство проверяется MX домена из MAIL FROM.
> VU> это как раз я уже сделал. но исключения тоже пока мои традиционные -
> VU> исходящие, аутентифицированные, локальные
> Локальные - это хто?
это когда ${client_addr} находится в $w в квадратных скобках или
${client_name} находится в $w, ессно, без квадратных скобок :)
--
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Best wishes Victor Ustugov mailto:victor на corvax.kiev.ua
public GnuPG/PGP key: http://victor.corvax.kiev.ua/corvax.asc
ICQ UIN: 77186900, 32418694 nic-handle: CRV2-RIPE, CRV-UANIC