Защита почтового шлюза от спама

[corvax]

Согласен, что было бы правильным принимать всю почту,

ню-ню

Что ню-ню? Пойдите объясните директору крупной госконторы, что мол ваш сервер не будет принимать от него почту по некоторым причинам, которые только вы сами понимаете. В лучшем случае вы, как исполнитель, будете посланы НА....

Но, да, все-таки ИМХО...

во-первых, в соседней мессаге я объяснил, что буквально воспринял ваши с автором предыдущей мессаге слова "принимать всю почту" буквально. кто ж знал, что под "всей" и "ото всех" вы понимаете в данном случае не то, что написано, а то, что подразумевалось. но это так, лирика... мне просто надо было вчитаться в текст внимательнее, из контекста можно было понять все

а на счет директора крупной конторы - у меня руководители вменяемые. и если я говорю, что по такой-то причине мы не принимаем почту от тех-то и тех-то, они спрашивают, можно ли сделать исключение. обычно так и происходит. но если исключение сделать нельзя (кривые HELO с диалапных динамических адресов), я объясняю, почему посылаю нах отправителей. и они напрягают руководство той стороны, чтобы оно напрягло админа, чтобы он хотя бы выслушал мою консультацию на тему возможных механизмов выпрямления рук. и неразрешимых ситуаций пока не было...

[corvax]

но на самом деле под шлюз перед exchange легче заточить exim. у меня есть очень крупная инсталляция такая. exim может либо по smtp проверять у exchange наличие пользователя (как и sendmail), либо с помощью ldap запроса к AD

На опеннет есть ряд статей на тему авторизации с помощью ldap + winbind. А какой почтовик прикручивать - дело вкуса.

во-первых, вы путаете понятия аутентификации и авторизации
во-вторых, речь не идет ни об аутентификации, ни об авторизации. речь идет о проверке существования пользователя, что есть связанные, но все же разные задачи

[Stranger03]

во-первых, вы путаете понятия аутентификации и авторизации

Да нет конечно, все в недосказанностях и криво высказанных мыслях. Порой мысль бежит впереди паровоза и частенько пока пишешь, она уже далеко убегает.

во-вторых, речь не идет ни об аутентификации, ни об авторизации. речь идет о проверке существования пользователя, что есть связанные, но все же разные задачи

Разные то они разные. В принципе проверки существования пользователя на шлюзе вашими способами должно хватить, чтобы как минимум отбросить несуществующих либо удаленных пользователей. Если же хочется почитать подробнее, ммм, ну я уже писал.

[corvax]

во-вторых, речь не идет ни об аутентификации, ни об авторизации. речь идет о проверке существования пользователя, что есть связанные, но все же разные задачи

Разные то они разные. В принципе проверки существования пользователя на шлюзе вашими способами должно хватить, чтобы как минимум отбросить несуществующих либо удаленных пользователей.

а о чем еще на данном этапе может идти речь?

Если же хочется почитать подробнее, ммм, ну я уже писал.

дело не в почитать, а в том, что я, например, не представляю, как "с помощью ldap + winbind" проверить наличие пользователя без его пароля. если вы знаете, я готов выслушать. или под "почитать подробнее" подразумевалось что-то еще?

[Stranger03]

дело не в почитать, а в том, что я, например, не представляю, как "с помощью ldap + winbind" проверить наличие пользователя без его пароля. если вы знаете, я готов выслушать. или под "почитать подробнее" подразумевалось что-то еще?

Вот например:
http://www.opennet.ru/base/net/freebsd_ ... h.txt.html
На этой основе можно сделать не только авторизацию пользователей, но и проверку его существования. Схема например такая:
Для Sendmail - domain.ru - локальный домен. При приеме почты он проверяет существование пользователя с помощью вышенаписанного метода. Далее локальный пользователь перенаправляется в домен domain.local, который является маршрутизируемым для внутреннего Ексченжа. На мой взгляд очень изящная комбинация.

[corvax]

дело не в почитать, а в том, что я, например, не представляю, как "с помощью ldap + winbind" проверить наличие пользователя без его пароля. если вы знаете, я готов выслушать. или под "почитать подробнее" подразумевалось что-то еще?

Вот например:
http://www.opennet.ru/base/net/freebsd_ ... h.txt.html
На этой основе можно сделать не только авторизацию пользователей, но и проверку его существования. Схема например такая:
Для Sendmail - domain.ru - локальный домен. При приеме почты он проверяет существование пользователя с помощью вышенаписанного метода. Далее локальный пользователь перенаправляется в домен domain.local, который является маршрутизируемым для внутреннего Ексченжа. На мой взгляд очень изящная комбинация.

я просмотрел статью по диагонали (к сожалению времени подробно изучать ее нет, а на практике она мне не пригодится, ибо у меня самого эксча нет, все работы были для сторонних клиентов). и где там был механизм проверки существования пользователя, если мы не указываем его пароль. прошу прощения, если что-то просто просмотрел в статье...

опять же, ставить самбу на почтовом шлюзе только для проверки пользователей - это как-то громоздко

p. s. автор статьи тоже называет аутентфикацию авторизацией. забавно. я не осознавал, на сколько это распространено

[Stranger03]

и где там был механизм проверки существования пользователя, если мы не указываем его пароль. прошу прощения, если что-то просто просмотрел в статье...

Да ее действительно по диагонали надо читать и выбирать только то, что необходимо. В принципе как и в большинстве статей на подобную тему я из них беру минимум, потом сам многое доделываю. Эта же статья дает представление о пути решения, но никак не панацея.

[Stranger03]

А вот кстати как-то давненько я поднимал вопрос проверки обратной зоны на опеннет, может интересно:
http://www.opennet.ru/openforum/vsluhfo ... 38726.html

[corvax]

и где там был механизм проверки существования пользователя, если мы не указываем его пароль. прошу прощения, если что-то просто просмотрел в статье...

Да ее действительно по диагонали надо читать и выбирать только то, что необходимо. В принципе как и в большинстве статей на подобную тему я из них беру минимум, потом сам многое доделываю. Эта же статья дает представление о пути решения, но никак не панацея.

вы намеренно уходите от ответа?

[Stranger03]

вы намеренно уходите от ответа?

От какого? Как с помощью этой статьи сделать проверку существования пользователя на Ексч-е?

[corvax]

А вот кстати как-то давненько я поднимал вопрос проверки обратной зоны на опеннет, может интересно:
http://www.opennet.ru/openforum/vsluhfo ... 38726.html

ничего личного... но ничего интересного по ссылке нет

к тому же на том же сайте есть вот это:
http://www.opennet.ru/base/net/antireve ... l.txt.html
что вполне подходит в качестве ответа на ваш вопрос из корня указанного вами треда

[corvax]

вы намеренно уходите от ответа?

От какого? Как с помощью этой статьи сделать проверку существования пользователя на Ексч-е?

да
ибо я вижу в статье аутентификацию
и не вижу ничего о проверке пользователя без знания его пароля

[Stranger03]

ничего личного... но ничего интересного по ссылке нет

Например правила проверки обратной зоны для сендмыла
http://www.cs.niu.edu/~rickert/cf/hack/require_rdns.m4

[corvax]

ничего личного... но ничего интересного по ссылке нет

Например правила проверки обратной зоны для сендмыла
http://www.cs.niu.edu/~rickert/cf/hack/require_rdns.m4

все это покрывается теми несколькими строками, ссылку на которые я выслал, плюс исключениями в access_db с префиксом Connect и значением OK

[Stranger03]

От какого? Как с помощью этой статьи сделать проверку существования пользователя на Ексч-е?

да

Я эту проверку делал ммм, года три назад. На память не помню точную технологию, помню что часть описания брал из этой статьи. Схема (к слову ее я уже писал) у меня выглядела так:
1. авторизация локальных пользователей на фре проходила через ldap + winbind
2. поскольку мне нужны были тогда только почта для пользователей, для них для всех был отключен шелл и домашний каталог
3. в сендмыле внешний домен был указан как локальный. Тем самым принимая почту сендмыл через ldap + winbind проверял существование пользователя, но
4. далее внешний домен в адресе получателя подменялся на внутренний .local, который и форвардился внутрь в ексченж.
Поскольку я уже не помню всех деталей, а доступ к моим серверам ласковый админ прикрыл, то посмотреть мне уже негде. Сохранились некоторые ссылки на авторизацию, ну и примерная схема в голове, как это делалось года три назад.
Если это не ответ на вопрос, ну чтож, извините за мою...