URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 82216
[ Назад ]
Исходное сообщение
"Как запретить SMTP соединения от IP адресов без отбратки?"
Отправлено zeiter , 01-Окт-08 13:22 
Доброго дня!

Как запретить SMTP соединения от IP адресов, не имеющих доменного имени в обратной зоне DNS? На сегодня Exim в логах пишет сообщения, но письма к отправке принимает:

2008-10-01 16:12:01 [70816] no host name found for IP address 220.68.229.120
2008-10-01 16:12:03 [70816] list matching forced to fail: failed to find host name for 220.68.229.120
2008-10-01 16:12:03 [70816] list matching forced to fail: failed to find host name for 220.68.229.120
2008-10-01 16:13:20 [70905] no host name found for IP address 80.234.126.73
2008-10-01 16:13:21 [70905] list matching forced to fail: failed to find host name for 80.234.126.73
2008-10-01 16:14:04 [71038] no host name found for IP address 92.46.153.82
2008-10-01 16:14:07 [71038] list matching forced to fail: failed to find host name for 92.46.153.82
2008-10-01 16:14:09 [71053] no host name found for IP address 92.46.153.82
2008-10-01 16:14:10 [71053] list matching forced to fail: failed to find host name for 92.46.153.82
2008-10-01 16:16:55 [71241] no host name found for IP address 220.68.229.120
2008-10-01 16:16:57 [71241] list matching forced to fail: failed to find host name for 220.68.229.120
2008-10-01 16:16:57 [71241] list matching forced to fail: failed to find host name for 220.68.229.120
2008-10-01 16:17:49 [71323] no host name found for IP address 92.47.38.12
2008-10-01 16:17:51 [71323] list matching forced to fail: failed to find host name for 92.47.38.12
2008-10-01 16:17:51 [71323] list matching forced to fail: failed to find host name for 92.47.38.12
2008-10-01 16:18:11 [71392] no host name found for IP address 92.47.38.12
2008-10-01 16:18:13 [71392] list matching forced to fail: failed to find host name for 92.47.38.12
2008-10-01 16:18:13 [71392] list matching forced to fail: failed to find host name for 92.47.38.12
2008-10-01 16:18:32 [71401] no host name found for IP address 92.47.38.12
2008-10-01 16:18:34 [71401] list matching forced to fail: failed to find host name for 92.47.38.12
2008-10-01 16:18:34 [71401] list matching forced to fail: failed to find host name for 92.47.38.12
2008-10-01 16:18:53 [71470] no host name found for IP address 92.47.38.12
2008-10-01 16:18:58 [71470] list matching forced to fail: failed to find host name for 92.47.38.12
2008-10-01 16:18:58 [71470] list matching forced to fail: failed to find host name for 92.47.38.12

Запрет ставится в Exim или на уровне файервола? IPFW?

Содержание
Сообщения в этом обсуждении
"Как запретить SMTP соединения от IP адресов без отбратки?"
Отправлено Vitaly_loki , 01-Окт-08 13:38 
>[оверквотинг удален]
>name for 92.47.38.12
>2008-10-01 16:18:34 [71401] list matching forced to fail: failed to find host
>name for 92.47.38.12
>2008-10-01 16:18:53 [71470] no host name found for IP address 92.47.38.12
>2008-10-01 16:18:58 [71470] list matching forced to fail: failed to find host
>name for 92.47.38.12
>2008-10-01 16:18:58 [71470] list matching forced to fail: failed to find host
>name for 92.47.38.12
>
>Запрет ставится в Exim или на уровне файервола? IPFW?

Это делается в почтовом сервере: не принимать письма от IP, не имеющих обратной зоны. Конкретнее - смотреть документацию exim

"Как запретить SMTP соединения от IP адресов без отбратки?"
Отправлено zeiter , 01-Окт-08 13:46 
>
>Это делается в почтовом сервере: не принимать письма от IP, не имеющих
>обратной зоны. Конкретнее - смотреть документацию exim

Ага, вроде нашел, что нужно иметь определенный ACL для запрета... есть ли у кого пример такого?

"Как запретить SMTP соединения от IP адресов без отбратки?"
Отправлено zeiter , 01-Окт-08 14:25 
Ага, вроде нашел раздел 10.14 документации Exim:

Если любой элемент, который следует “+include_unknown” требует информации, которая не может быть найдена, exim ведет себя так, будто хост соответствует списку. Например,

host_reject_connection = +include_unknown:*.enemy.ex

отклоняет подключения от любых хостов, чьи имена совпадают с “*.enemy.ex”, и от тех хостов, чьи имена не могут быть найдены.

http://www.lissyara.su/?id=1210#10.14

"Как запретить SMTP соединения от IP адресов без отбратки?"
Отправлено Andrey Mitrofanov , 01-Окт-08 14:28 
>Ага, вроде нашел, что нужно иметь определенный ACL для запрета...

Неа, %) не нашёл: http://www.google.ru/search?q=exim+reverse+dns+acl

> есть ли у кого пример такого?

"Как запретить SMTP соединения от IP адресов без отбратки?"
Отправлено zeiter , 01-Окт-08 15:31 
>>Ага, вроде нашел, что нужно иметь определенный ACL для запрета...
>
>Неа, %) не нашёл: http://www.google.ru/search?q=exim+reverse+dns+acl
>
>> есть ли у кого пример такого?

Благодарю, уже немного разобрался:


  warn  message = X-Broken-Reverse-DNS: no host name for sender IP address $sender_host_address
        log_message = X-Broken-Reverse-DNS: There is no reverse DNS on $sender_host_address
        !hosts = net-lsearch;/etc/virtual/pophosts : /etc/virtual/friendly_ips : 127.0.0.1
        !verify = reverse_host_lookup
  warn  message = X-OK-Reverse-DNS: host name for sender IP address $sender_host_address found!
        log_message = X-OK-Reverse-DNS: host name for sender IP address $sender_host_address found!
        verify = reverse_host_lookup
  warn  message = X-Friendly-Reverse-DNS: host is in friendly list of IP ($sender_host_address)!
        log_message = X-Friendly-Reverse-DNS: host is in friendly list of IP ($sender_host_address)!
        hosts = net-lsearch;/etc/virtual/pophosts : /etc/virtual/friendly_ips : 127.0.0.1
        !verify = reverse_host_lookup

"Как запретить SMTP соединения от IP адресов без отбратки?"
Отправлено zeiter , 01-Окт-08 15:34 
Сейчас так погоняю чуток... а потом warn на deny заменю)))


"Как запретить SMTP соединения от IP адресов без отбратки?"
Отправлено ALex_hha , 01-Окт-08 23:51 
>Сейчас так погоняю чуток... а потом warn на deny заменю)))

Глупо отвергать только по одному признаку - отсутствию записи в обратной зоне. А тем более в exim.

"Как запретить SMTP соединения от IP адресов без отбратки?"
Отправлено zeiter , 02-Окт-08 07:27 
>Глупо отвергать только по одному признаку - отсутствию записи в обратной зоне.
>А тем более в exim.

А какие есть еще варианты? Предложите свой...

Мне вот видится такой или еще один, отвергать письма по признаку - отсутствию записи в обратной зоне и уровню спама хотя бы 1 (X-Spam-Flag: YES и X-Spam-Level: *) из SpamAssassin`a.

"Как запретить SMTP соединения от IP адресов без отбратки?"
Отправлено ALex_hha , 02-Окт-08 11:02 
>>Глупо отвергать только по одному признаку - отсутствию записи в обратной зоне.
>>А тем более в exim.
>
>А какие есть еще варианты? Предложите свой...

"Награждать" грейлистингом

>Мне вот видится такой или еще один, отвергать письма по признаку -
>отсутствию записи в обратной зоне и уровню спама хотя бы 1
>(X-Spam-Flag: YES и X-Spam-Level: *) из SpamAssassin`a.

более менее, но мало

"Как запретить SMTP соединения от IP адресов без отбратки?"
Отправлено zeiter , 02-Окт-08 11:06 
>>А какие есть еще варианты? Предложите свой...
>
>"Награждать" грейлистингом

Хорошая идея, благодарю)))


"Как запретить SMTP соединения от IP адресов без отбратки?"
Отправлено zeiter , 02-Окт-08 12:20 

>>Мне вот видится такой или еще один, отвергать письма по признаку -
>>отсутствию записи в обратной зоне и уровню спама хотя бы 1
>>(X-Spam-Flag: YES и X-Spam-Level: *) из SpamAssassin`a.
>
>более менее, но мало

Тут узнал, что SpamAssassin сам умеет проверять:

score RDNS_DYNAMIC 1.0
score RDNS_NONE 1.0


"Как запретить SMTP соединения от IP адресов без отбратки?"
Отправлено Fes , 15-Июл-09 12:32 
>>Сейчас так погоняю чуток... а потом warn на deny заменю)))
>
>Глупо отвергать только по одному признаку - отсутствию записи в обратной зоне.
>А тем более в exim.

А как на этом этапе можно сделать перенаправление на другой адрес spam@<domain.com> к примеру, а не тупо отвергать письмо?