Re: spamassassin + exim
- To: debian-russian@lists.debian.org
- Subject: Re: spamassassin + exim
- From: Artem Chuprina <ran@ran.pp.ru>
- Date: Thu, 20 Oct 2005 18:07:41 +0400
- Message-id: <[🔎] 50809266@tigger.lan.cryptocom.ru>
- Mail-followup-to: debian-russian@lists.debian.org
- In-reply-to: <dj83ll$5ca$1@sea.gmane.org> (Slava Astashonok's message of "Thu, 20 Oct 2005 16:48:24 +0400")
- References: <43541A78.6000901@tinuviel.ru> <20051018072342.GB18537@badger.wapper.ru> <40111343@wizzle.ran.pp.ru> <dj31g6$qpc$1@sea.gmane.org> <97223431@tigger.lan.cryptocom.ru> <dj7bt9$u5e$1@sea.gmane.org> <52563567@wizzle.ran.pp.ru> <dj7odv$10a$1@sea.gmane.org> <74006429@tigger.lan.cryptocom.ru> <dj83ll$5ca$1@sea.gmane.org>
Slava Astashonok -> debian-russian@lists.debian.org @ Thu, 20 Oct 2005 16:48:24 +0400:
>> SA> А DISCARD работает как-то иначе?
>>
>> Ага. Если пользоваться амависом.
>>
>> SA> Ну, расскажите, пожалуйста - мы же, надеюсь, не просто плевками
>> SA> обмениваемся? :)
>>
>> Очень просто. Прежде чем сказать 250, он прикопает письмо в карантине.
>> Откуда, если оно за месяц не потребовалось, его тихо прибьет cron.
SA> Ну, такое поведение я прокоментировал в другом письме.
SA> Я понимаю, что апологетам post-SMTP обработки ничего другого не
SA> остаётся, и я им сочувствую, но полностью одобрить такие методы не
SA> могу по профессионально-этическим принципам.
Ну а я примерно по ним же не могу полностью одобрить твои. И что?
>> SA> Очередь тоже может вырасти на столько, что очень важное письмо
>> SA> доберётся до адресата спустя сутки, так что не надо.
>>
>> Тут я его хотя бы смогу в случае острой необходимости вытащить руками.
>> Потому что оно уже у меня.
SA> Ну, хорошо, хорошо, я в случае крайней необходимости почти ничего
SA> не сделаю. Осталось только посчитать на какую почтовую активность
SA> хватит тысячного целерона и увидеть, что техническое решение этого
SA> вопроса (увеличение вычислительных мощностей) будет копеечным для
SA> конторы, которой этого целерона не хватит.
У меня есть свой собственный сервер. Не конторский. 300-й целерон и
128 мег памяти. Если ты мне подаришь ему замену, я даже специально ради
тебя сделаю там in-SMTP проверку.
>> >> Для своей локальной сети все являются опен релеями. А кто
>> >> пытается ввести проверку, того очень быстро начинают больно
>> >> пинать. Ибо смысл понятия "локальная сеть" для MTA - именно в
>> >> том, что из нее принимается любая почта. С проверкой на вирусы,
>> >> конечно, да. Но проверка на вирусы - дело ресурсоемкое, не
>> >> слишком простое и от свежих вирусов спасающее плохо.
>>
>> SA> Ну, это у кого как. Но то, что почти у всех это опен релей я хорошо
>> SA> вижу на куче идиотских DSN'ов. Когда-то это было приемлимо, но не
>> SA> теперь. Неужели вы принимаете любую почту только на основании
>> SA> того, что она направляется в ваш домен?
>>
>> Когда _в_ мой домен - это проще. Адрес получателя обязательно должен
>> быть валидным, иначе как я письмо доставлю? А адрес отправителя -
>> только в том случае, если я ему что-то решу доставить. Что совершенно
>> не факт.
SA> Это был риторический вопрос :) Разумеется адрес получателя должен
SA> существовать и эту проверку _теперь_ все делают в течение SMTP-сессии, а
SA> раньше, как я писал - нет - потому что спама не было. Это я говорил к
SA> вопросу о проверке валидности envelope sender'а в почте, отправляемой
SA> внутренними пользователями вовне: _теперь_ этот, так сказать, жест
SA> вежливости по отношению к другим (мол, мы гарантируем, что адрес
SA> отправителя действительно наш) мне лично не кажется надуманным.
А я не гарантирую, что он мой. Когда я отправляю письмо через MTA фирмы
со своего домашнего адреса, он ничего про мой домашний адрес
гарантировать не может. И когда я отправляю со своего сервера письмо,
полученное по UUCP с ноутбука, этот сервер про этот ноутбук тоже ничего
гарантировать не может. Кроме того, что почту на произвольный адрес в
домене wizzle.ran.pp.ru (и еще в нескольких доменах) он положит в спул
тому же UUCP.
Которые умеют гонять почту исключительно по SMTP - им этого всего не
понять. И того, что почта может быть отправлена локально и SMTP-сессии
там вообще не было как класса (и это не повод не проверять его на
вирусы) - тоже...
>> SA> А ведь раньше почтовики так и работали - сначала принимали, а потом
>> SA> убеждались в существовании адресата. но теперь то всё изменилось и
>> SA> бездумно принимать всю почту из локальной сети глупо. Неужели вы
>> SA> серьёзно отметаете возможность проникновения червя в локальную
>> SA> сеть? Это по меньшей мере не серьёзно. Авторизация плюс
>> SA> обязательная проверка существования ящика отправителя - вот
>> SA> минимальные требования хорошего граничного почтовика, а желательно
>> SA> ещё и антивирус на нём.
>> А авторизация от нынешних червяков уже не шибко спасает. Прикопанный на
>> диске пароль они тоже умеют прочесть. Вернее, просто воспользоваться
>> той же самой почтовкой для отправки.
SA> Да, но пока к счастью ещё где-то спасает, особенно если почтовый
SA> клиент не оутглюк. Но главное - авторизация позволяет проверить
SA> допустимось значения envelope sender'а, т.е. запретить его спуфинг.
Ага, и потом долго настраивать - тому два дополнительных адреса
прописать, этому три, uucp вообще домены целиком разрешать (а твой exim
это переживет?)... А у меня (surprise!) ни одного лдапа на всю контору,
не считая криво поставленного Active Directory, у которого и в прямой
постановке прибабахов хватает... И функции админа у меня не основные.
--
Artem Chuprina
RFC2822: <ran{}ran.pp.ru> Jabber: ran@jabber.ran.pp.ru
Работай хоть за четверых. Только не говори им об этом.
Кнышев.
Reply to: