transparent smtp proxy

ethanak@polip.com ethanak w polip.com
Pon, 28 Mar 2005, 15:30:19 CEST 


On Mon, 28 Mar 2005 dzimi w pld-linux.org wrote:

> hm, wiec w takim razie SPF i tak nie zadziała z transparent smtp proxy bo na 
> takim czymś mi generalnie zależy.

Właśnie zadziała - i pocztę odrzuci. Pamiętaj że spf działa po stronie
_odbiorcy_, a odbiorca stwierdzając że mail idzie z nieuprawnionego adresu
ma prawo uważać że to fałszywka.

Problem można częściowo rozwiązać (ale uważaj: częściowo) w sytuacji, kiedy:

a) każdy użytkownik ma przydzielony na stałe adres IP (z puli wewnętrznej
oczywiście)

b) każdy użytkownik posiada konto pocztowe w Twojej domenie

Wprowadzasz do exima regułkę zmieniającą return_path na adres użytkownika
związanego z adresem IP z którego przyszło połączenie. Tworzenie takich
regułek zależy od konfiguracji Twojego routera, u mnie jest to po prostu:

remote_smtp:
  return_path ="${lookup pgsql {select \
        rewrite_addr('${return_path}','${sender_host_address}')}}"
  drive = smtp

(exim 3.33, wszystkie dane w PostgreSQL-u, funkcja rewrite_addr napisana w
plpgsql-u zwraca oryginalny return_path jeśli jest to adres w mojej domenie,
lub adres związany z IP nadawcy w przeciwnym przypadku)

Jak to działa?

Otóż exim w tej sytuacji wysyłając "MAIL FROM" do serwera odbiorcy wysyła
adres np. user11 w moja.domena.pl zamiast dziubdziuniek w interia.pl. W
większości przypadków to wystarczy - serwery rzadko sprawdzają zgodność
nagłówków z envelope_from. Niestety czasem zdarzają się nadgorliwcy, można
temu zaradzić przez dodanie dodatkowego nagłówka - np:

X-Sender: user11 w moja.domena.pl

(na razie się z takim nadgorliwcem nie spotkałem, jak się spotkam to wtedy
się będę zastanawiał)

Pamiętaj jednak, że jest to pewna ingerencja w przesyłaną pocztę, nie każdy
sobie takowej życzy i wybór lokalnego smtp powinien być świadomy.

A jak zrobić żeby był świadomy?

A bardzo prosto... ograniczyć userom pasmo na port 25 na zewnątrz do jakichś
2 kB/s - wtedy bardzo szybko zainteresują się Twoim serwerem i zaczną z
niego korzystać :)

ethanak

PS. Aha, i pamiętaj o rekordzie spf dla Twojej domeny ;)

Więcej informacji o liście dyskusyjnej pld-users-pl