Re: spamassassin + exim
Slava Astashonok -> debian-russian@lists.debian.org @ Thu, 20 Oct 2005 13:36:34 +0400:
>> >> В корне эту проблему решает DISCARD. На кой, спрашивается, говорить
>> >> тому концу, что ты не хочешь принимать письмо с вирусом, если ты его все
>> >> равно уже получил целиком? Чтобы, если это подломанная винда, она на
>>
>> SA> А если это человек, а не червь прислал письмо? Ну завирусовыный
>> SA> документ у него, а он ни сном ни духом. Повторяю: нельзя просто так
>> SA> выкидывать сообщения - человек должен получить уведомление о судьбе
>> SA> своей почты.
>>
>> А кто его выкидывает? Ты? А...
SA> А DISCARD работает как-то иначе?
Ага. Если пользоваться амависом.
SA> Ну, расскажите, пожалуйста - мы же, надеюсь, не просто плевками
SA> обмениваемся? :)
Очень просто. Прежде чем сказать 250, он прикопает письмо в карантине.
Откуда, если оно за месяц не потребовалось, его тихо прибьет cron.
>> SA> DoS? Ой, ну откуда он возмётся? Или postfix не умеет
>> SA> контролировать LA? Тогда я правильно сделал, что не выбрал его
>> SA> в качестве MTA ;) И не имеет значения где почта будет
>> SA> отлёживаться до фактической доставки - в локальном спуле, или
>> SA> на удалённом сервере, получившем в час пик 450.
>>
>> ... и в следующий раз важное письмо поползет только через полчаса.
>> И опять наткнется на 450... Это и есть DoS. В post-SMTP схеме оно
>> будет обработано в порядке очереди, а в твоей - как повезет. _Если_
>> повезет.
SA> Очередь тоже может вырасти на столько, что очень важное письмо
SA> доберётся до адресата спустя сутки, так что не надо.
Тут я его хотя бы смогу в случае острой необходимости вытащить руками.
Потому что оно уже у меня.
>> SA> Не понял. От кого "от тебя"? Не я шлю безумные DSN'ы, а другой
>> SA> хост, и если он поверил отправителю и его MAIL FROM, то он и
>> SA> виноват. Виноват так же и в том, что скорее всего является open
>> SA> relay'ем для своей локальной сети и не проверяет сообщения на
>> SA> вирусы. Так что претензии не ко мне а к говнопровайдеру.
>>
>> Для своей локальной сети все являются опен релеями. А кто пытается
>> ввести проверку, того очень быстро начинают больно пинать. Ибо смысл
>> понятия "локальная сеть" для MTA - именно в том, что из нее принимается
>> любая почта. С проверкой на вирусы, конечно, да. Но проверка на вирусы
>> - дело ресурсоемкое, не слишком простое и от свежих вирусов спасающее
>> плохо.
SA> Ну, это у кого как. Но то, что почти у всех это опен релей я хорошо
SA> вижу на куче идиотских DSN'ов. Когда-то это было приемлимо, но не
SA> теперь. Неужели вы принимаете любую почту только на основании
SA> того, что она направляется в ваш домен?
Когда _в_ мой домен - это проще. Адрес получателя обязательно должен
быть валидным, иначе как я письмо доставлю? А адрес отправителя -
только в том случае, если я ему что-то решу доставить. Что совершенно
не факт.
SA> А ведь раньше почтовики так и работали - сначала принимали, а потом
SA> убеждались в существовании адресата. но теперь то всё изменилось и
SA> бездумно принимать всю почту из локальной сети глупо. Неужели вы
SA> серьёзно отметаете возможность проникновения червя в локальную
SA> сеть? Это по меньшей мере не серьёзно. Авторизация плюс
SA> обязательная проверка существования ящика отправителя - вот
SA> минимальные требования хорошего граничного почтовика, а желательно
SA> ещё и антивирус на нём.
С отправителем проблема с роботами. У них, ага, в Reply-To, вполне
возможно, и правильный адрес (у моих так да, правильный, но те, _от_
которых мне нужно почту получать - как повезет). В отличие от envelope
sender. Получателя проверять - еще куда ни шло...
А авторизация от нынешних червяков уже не шибко спасает. Прикопанный на
диске пароль они тоже умеют прочесть. Вернее, просто воспользоваться
той же самой почтовкой для отправки.
Антивирус - да, держим. И даже спам, от нас идущий, честно помечаем как
таковой :-)
--
Artem Chuprina
RFC2822: <ran{}ran.pp.ru> Jabber: ran@jabber.ran.pp.ru
Как в notepad тексты редактировать? Руками каждую букву набирать, что ли?
(c)vitus
Reply to: