Re: lug-bg: Sendmail+advanced + Again!
- Subject: Re: lug-bg: Sendmail+advanced + Again!
- From: vlk@xxxxxxxxxxxxxxxxx (Vesselin Kolev)
- Date: Tue, 6 Nov 2001 14:22:39 +0200
Blagodaria na Boyan.
Neka poiasnia kakva e bila ideiata mi i ot kakvo proiztichat povecheto
vaprosi...
Da kazhem, che az sam gateway za edna goliama Chastna mrezha VPN.
Primerno obhvashtam cila goliama sgrada s offici pod naem. Clientite mi
ne iskat da pritezhavat Public IP za da izbiagnat scanirania, floodove i t.n.
grubi shegi i zakachki. Za celta na viska firma sam dal edna mrezha class "C".
192.168.1.0/24
192.168.2.0/24
.....
nanananana
.....
192.168.100.0/24
i prochie...
Vsiaka firma izpolzva mail-server i ima pone subdomai, a niakoi imat i
domain. Web-saitovete sa na virtualen hosting pri men i s tiah niamame
problemi, imam pusnat squid-proxy i masq. i s Internet-a niama
problemi. Ne e taka obache s e-maila.
Variant 1.
Vseki edin vatreshen mail-server poluchava Public IP. Taka toi se vizhda
ot vsiakade.
Podvariant 1. Mezhdu intenet i mail-servera na fimata niama nikoi, t.e.
vsichko minava i zaminava i niama filter. Tova ne e nikak dobre. Obiknoveno
malkite firmi niamat dobri administratori, dazhe i firmata da e goliama, pove-
cheto shefove misliat, che niama nishto da im se sluchi i ne vizhdat smisala
da si naemat dobar sysadmin. Tova obache ne e nai-loshoto. Povecheto
firmi sa sas Windows NT kato serversko reshenie i zadalzhitelno izpolzvat
EMWAC IMS koito pozvoliava RELAY po default. Nikoi i ne pomislia, da
mu postavi antirelay update (da ne govorim, che tozi update ne e do tam
efektiven). Drugi izpolzvat MS ESMTP koito ima edna mnogo hubava i
priatna dupka za vseki koito iska da pravi flood na niakoi mail-server.
I taka, loshia mig idva, kogato niakoi e spamiral prez tiah. Posledvat
scandali, ako niakoi plashta na traffic me obviniava, che sam mu nadpisal
traffic i stava nezdrava atmosfera za rabota.
Podvarian 2. Mail-servera na clienta s Public IP, no e zad Firewall. Hosta
za priemane na mail na firmata e s nai-visok prioritet, a moia e sledvashtia
po prioritet. Togava vseki mail kam servera na poluchatelia se preprashta
prez moia server za mail. Pita se togava.... zashto da pravia tova, kato i
VPN mi varshi rabota za celta???
Variant 2. Clientite sa na VPN, vkl i serverite im. Moia mail-server e
sas sendmail i az priemam tehnia mail kato virtualen hosting. Ako
clientskia domain e client.bogus i ima mail-host mail.client.bogus
to v /etc/mail/local-host-names
pisha
....
client.bogus
v /etc/mail/virtusertable
....
@client.bogus %1@xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
v /etc/mail/mailertable
.....
host.vpn.address.of.client.vpn esmtp:host.vpn.address.of.client.vpn
I vsichko raboti kato pesen.
Shto se kasae do MaxMessageSize, razbrah slednoto... V sila e tazi
definicia na servera na koito se obrabotva saobshtenieto v momenta. T.e. ako
saobshtenieto e 3000000 no edin ot relay-serverite e s MaxMessageSize=
300000 to message niama da mine.
NO. Sega idva na red problema s definiciata za MaxMessageSize v
/etc/mail/sendmail.cf
Ako az zadam tozi FEATURE to vse moga da popadna v conflict s
niakoi ot clientskite mail-serveri, koito ne sa zadali tova ili ako sa
zadali to tiahanata definica chisleno e po-goliama ot moiata....
Ot druga strana ako az ne zadam tozi FEATURE riskuvam da propuskam
prozivolni po golemina messages, koito pyk da se vryshtat ot strana na
servera na poluchatelia zashtoto toi ima zadadena definica za MaxMessage
Size... Izobshto tuk ima mnogo dilemi... i paradoxi.
On Tuesday 06 November 2001 11:49, you wrote:
> > -----Original Message-----
> > From: Vesselin Kolev [mailto:vlk@xxxxxxxxxxxxxxxxx]
> > Sent: Tuesday, November 06, 2001 10:25 AM
> > To: lug-bg@xxxxxxxxxxxxxxxxxx
> > Subject: lug-bg: Sendmail+advanced + Again!
> >
> >
> > Zdraveite!
> >
> > Shte sam blagodaren, ako niakoi mozhe da mi pomogne v
> > razreshavaneto na
> > edin spor. Eto nakratno temite
> >
> > 1. MX - records.
> > Ako se izpolzva
> > FEATURE(`relay_based_on_MX')
> > to moia mail-server avtomatichno shte pochne da relayva mail
> > za daden domain,
> > stiga moia hostname da e upomanat kato MX - Record v
> > definiciite za dadenia
> > domain. Izliza, taka, che vseki mozhe da izpolzva
> > mail-servera mi za RELAY kam
> > svoia doman bazirano samo na MX-zapisi v DNS-informaciata bez
> > da e nuzhno
> > da iska moeto razreshenie. Taka li e vsashnost i kak mozhe da
> > se ogranichi
> > izpolzvaneto na FEATURE(`relay_based_om_MX') samo za
> > opredeleni domaini.
>
> Ne che sym specialist po sendmail, ama ima nachin da opiswash
> relay-domains wmesto da razchitash na dns-ite.
> Za powecheto hora obache relay_based_on_MX e dostatychno dobro i za towa
> se schita za feature a ne za security bug.
> Pyk i spamerite do kolkoto gi poznawam nqma da trygnat da promenqt dns
> zapisi che da mogat da prashtat spam.
> Imat si i po-lesni nachini :)
>
> > 2. MaxMessageSize v sendmail.cf
> > Vazhi li definiranata stoinost za MaxMessageSize za
> > syobshteniata, koito
> > se realyvat za drugi domaini syglasno
> > REATURE(`relay_based_on_MX') ili vazhi
> > samo za syobeshtaniata, koito se poluchavat ili izprashtat ot
> > i za localnite
> > mi potrebiteli.
>
> Ideq nqmam
>
> > 3. Returned mail....
> > Imame definicii za domain. V chastta za MX sa napraveni
> > slednite zapisi:
> >
> > IN MX 10 mail.mydomain.bogus.
> > IN MX 20 risk.anotherdomain.bogus.
> > IN MX 30 dummy.postdomain.bogus.
> >
> > Ako mail.mydomain.bogus e zad firewall i
> > risk.anotherdomain.bogus e bastion
> > host (t.e. samo toi mozhe da vizhda 25/tcp na
> > mail.mydomain.bogus) i az se
> > probvam da pratia e-mail do user@mydomain.bogus, to
> > mail-server na izprashta-
> > cha shte se opita parvo da kontaktne MX 10, iavno che niama
> > da mozhe, zashtoto
> > e zad firewall, togava shte opita MX 20 i ako ne mozhe da
> > kontaktne s nego
> > shte opita s MX 30. Ako MX 20 i MX 30 sa v red i priemat
> > mail, no poradi tova,
> > che pri izprashtaneto mail-servera na izprashtacha e
> > marshrutiziran da podava
> > maila za mydomin.bogus prez MX 30, to e iasno, che maila shte
> > se prepredade na
> > MX 20, zashtoto MX 30 ne vizhda mail.mydomain.bogus, zashtito
> > MX 30 ne e
> > bastion host. I taka, ako MX 10 izleze ot stroia, se pita koi
> > server MX 20
> > ili MX 30 shte varne saobshtenie, che pismoto ne mozhe da se
> > izprati, na
> > izprashtacha?
>
> Setupa ti izglejda ok. Po princip taka se prawi. drugiq wariant e s
> mailer-table da forwardwash twyrdo poshtata za domain. ot
> risk.anotherdomain.bogus. kym mail.mydomain.bogus. bez da se
> syobrazqwash s dns-a. Az bih go naprawil s dns-i i firewall, kakto si
> opisal, po-malko problemi mogat da se sluchat taka.
> ta wyzmojnite pytishta na poshtata za domain. w twoq sluchaj sa
> internet->20
> internet->30
>
> 30->20
>
> 20->10
>
> newyzmojnostta za wryzka po kojto i da e ot tezi pytishta e wremenna
> greshka. I wodi do opit za wryzka kym servera s po-golqm MX (ako takyv
> ima)
> newyzmojnostta za wryzka w prodyljenie na nqkakyv dylyg period po kojto
> i da e ot tezi pytishta e permanentna greshka.
> ako 20 i 30 sa w red poshtata shte se skladira w 20 i 20 shte generira
> syobshteniq za greshka(ako predi towa ne mu swyrshi diska :) ).
>
> Regards,
> CCNP Boyan Krosnov
> Network Administrator
> Lirex Net
> phone: +359-2-91815
>
> ===========================================================================
> A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers)
> http://www.linux-bulgaria.org/ Hosted by Internet Group Ltd. - Stara Zagora
===========================================================================
A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers)
http://www.linux-bulgaria.org/ Hosted by Internet Group Ltd. - Stara Zagora
|