Linux-Bulgaria.ORG

навигация

начало

пощенски списък

архив на групата

По Дата

Re: lug-bg: Sendmail+advanced + Again!

Subject: Re: lug-bg: Sendmail+advanced + Again!
From: vlk@xxxxxxxxxxxxxxxxx (Vesselin Kolev)
Date: Wed, 7 Nov 2001 21:31:35 +0200

Parvo, ia si nadnikni v zonata na tvoia domain!

Samo lispva bastiona:

dobrich.net     mail exchanger = 20 mx1.telecoms.bg.
dobrich.net     mail exchanger = 21 mx2.telecoms.bg.
dobrich.net     mail exchanger = 22 mx3.telecoms.bg.
dobrich.net     mail exchanger = 10 eos.dobrich.net.

Vtoro mai niakoi hora ne sa stanali ot masata sled dobria zapoi s
bira... ili ne sa cheli ili ne sa iskali da prochetat tochno kakvo e
napisano i kakav e vlozhenia smisal vav vsichko tova. Shto se
kasae do preosmisliane na mrezhovata politica za translirane i
marshrutizacia na maila, az ne sam tolkova navatre v neshtata, 
che da ia preosmisliam sam bez da sam nauchil vsichko po
vaprosa.

Sorry, che stavam otegchitelen za niakoi hora, no kakvo pyk,
malko informacia v poveche niama da navredi nikomu... stiga da
iska da ia chete.

Parvo malko introdukcia. Povecheto MX-zapisi sa za predotvratiavane
na katastrofi i za uskoriavane na maila. Ako niakoi ne e zapoznat s
fizicheskia princip, che ne vinagi nai-kysia pyt e nai-kratak si e negov
problem. iskam da kazha, che mail-traffica na Sofiiskia universitet na 
den e smushtavashto goliam. V nastoiashtia moment SU ima nai-goliamata
centralizirana clientska samoupravialiavashta se mrezha v BG. Ako niakoi
tuk vidi logovete na mail-traffica shte se izpoti. Chast ot traffica e i para-
ziten, napr. prosto otvoreni sessi na 25/tcp ot strana na razlichni po vid
pishman flooderi i hackeri, razpadnali se connekcii sas mail-server v
zapadno tambuktu, koito po shtastlivo stechenie na obstoiatelstvata e na
vryzka pri koiato se gubiat paketi a poniakoga i samata vryzka izchezva 
za minuti. Sashtestvuvat oshte kup tormozeshti maila factori, kato naprimer
pisma s greshen podatel, koito niama na koi da se vyrnat, s po-goliama 
dylzhina ot pozvolenata, timeouti ot vatreshni serveri, chiito administratori 
za propusnali da gi vkliuchat... Na posledno miasto da napomnia, che e-maila 
e osnovno sredstvo za komunikacia v academichnite sredi. Edno kopie na statia 
izprateno ot edin chovek na drug i sadarzhashto figuri i kartniki, mozhe da e 
nad 2 MB.

Govoril sam s administratori na golemi komersialni dostavchici... Te ne
izpitvat tozi koshmar v takava stepen, zashtoto povecheto im clienti ili
imat server za mail, koito raboti na direct connection, ili pyk dialup 
clientite izpolzvat webmail (hotmail, yahoo i t.n.). A i academichnite 
sistemi vinagi sa bili cel na hora, zhaleshti da se uchat varhu mrezhovata
struktura... zatova se nalaga tam da se pravi bastion i maila da se relayva.
Vseki s leka raka kazva che edna ideia e divno bezmislena, no pravi tova
edisntveno ot svoia pozicia, bez da se zamislia, kakvi sa tochno faktite i
usloviata doveli do edno ili drugo reshenie...

Sega se premestvame leko vav prostranstvoto za da vidim kak e v CERN:

cern.ch mail exchanger = 30 dxmint.cern.ch.
cern.ch mail exchanger = 10 smtp.cern.ch.
cern.ch mail exchanger = 15 mail7.cern.ch.
cern.ch mail exchanger = 20 mint.cern.ch.

Tova koeto vizhdate malko lyzhe. Mail-serverite sa dosta poveche, no po-
goliamata chast sa zad bastion. Relayvaneto po serverite na otdeli e po
UUCP, ima kup VPN-i i dr. extri. Tazi organizacia ima ogromni i moshtni 
serveri... dalech nad pentium na 166 i pak se e prezastrahovala ot buri...

Drug podhod ima Los Alamoskata nacionalna laboratoria, kadeto niakak ne
si vzimat administratori glupci, zashtoto sa grybnaka na nauchnata deinost
v otbranitelnia sector na USA:

lanl.gov        mail exchanger = 0 mailrelay2.lanl.gov.
lanl.gov        mail exchanger = 0 mailrelay3.lanl.gov.
lanl.gov        mail exchanger = 0 mailrelay1.lanl.gov.

Tova tuk e mnogo hitar podhod. Naistina shapka svaliam na adninistratora im.
Vseki server poema sredno po 1/3 ot zaiavkite. Ochevidno, che tozi server
polzva sled tova za preprashtane na maila po zvena vytreshno marshrutizirane,
UUCP ili drug nachin za prehvyrliane na e-maila.
Mail-hostovete v GOV domaina ot pyrvo nivo obiknoiveno imat i drug skrit
mehanizam za uskoriavane na poshtata, a imenno stealth DNS serveri, koito
se izpolzvat samo i edinstveno ot serverite za internet uslugi. Te ne sa dos-
tapni za clienti i chesto paziat svezhi zonalni failove za byrz dostap. Obs-
sluzhvat DNS zaiavkite na mail-serverite mnogo byrzo i poshtata ne se 
zastoiava v opashkata... Tova pesti vreme i resursi!

No mozhe bi nai-umnoto izpolzvane na poveche ot 1 MX recorda za
zonata e marsrutizaciata na maila po razlichni pytishta (dostavchici).

Ta taka, mislia da spra dotuk i da otida da pia po edna bira... tymna!

  Vesselin

On Wednesday 07 November 2001 19:36, you wrote:
> Sled kato prochetoh tova, neshto mi stana napravo...
> Purvo, ideqta na posledovatelnoto obrabotvane na msg-ta mi se vizhda
> divno bezsmislena.... Sled tova - nqkolko mashini za da e po-burzo - ami
> prakticheski na p166 sus 32/64 ram, dazhe i sendmail da se polzva,
> shte mozhe da buta po pone mail v sec. sredno, koeto za edna takava mrezha
> e predpostatuchno... Da ne govorim, che s edin qmail ( kolkoto i da go
> mrazq ) ili postfix mozhe da buta i dosta poveche....
>
> Vuobshte, vednuzh (maj na birichka s nqkogo ) sum si govoril specialno kak
> spored mene bi bilo naj-chisto da se napravi specialno mail-a ( taka se
> sluchva kogato chovek pie bira s nqkoj i ne si namerqt po-interesna tema),
> i si mislq che e vreme horata da si preosmislqt mrezhovata politikata,
> pone za mail-a...
> (slava bogu, che nqmam mnogo obshto s tazi mrezha :) )
>
> On Wed, 7 Nov 2001, Vesselin Kolev wrote:
> > Eto edna situacia, v koiaoto relay_based_on_MX e neobhodima. Obiasniavam
> > s primer varhu svoiata sistema, za da bade tochno i iasno vsichko, a vie
> > ako iskate potarsete drugi primeri, siguren sam, che shte gi namerite...
> >
> > Eto vi MX -sekciata v definicionnia file na moiata zona
> > lcpe.uni-sofia.bg:
> >
> > lcpe.uni-sofia.bg       mail exchanger = 10 ns.lcpe.uni-sofia.bg.
> > lcpe.uni-sofia.bg       mail exchanger = 20 linux.lcpe.uni-sofia.bg.
> > lcpe.uni-sofia.bg       mail exchanger = 30 e-lib.lcpe.uni-sofia.bg.
> > lcpe.uni-sofia.bg       mail exchanger = 40 ns.uni-sofia.bg.
> > lcpe.uni-sofia.bg       mail exchanger = 50 ady.uni-sofia.bg.
> > lcpe.uni-sofia.bg       mail exchanger = 60 wind.netissat.bg.
> >
> > Na niakoi mozhe da mu se stori stranno, che sa tolkova mnogo, no za
> > vsichko si ima obiasnenie... Parvite tri servera 10, 20 i 30 sa zad
> > bastion. Mail-serverite na bastiona sa 40 i 50, a mail-servera na
> > dostavchika e s teglo 60.
> >
> > Istinskia mail-server, na koito poshata se poluchava v kraia na
> > kraishtata e ns.lcpe.uni-sofia.bg s teglo 10. V nego v
> > /etc/mail/local-host-named e zapisano :
> > ...
> > lcpe.uni-sofia.bg
> >
> > Tozi mail sever kakto i linux i e-lib e zad firewall, koito ne pozvoliava
> > na vynshni clienti da se vyrzvat za 25/tcp na vytreshnite hostove. Dori i
> > wind.netissat.bg ne vizhda hostovete zad bastiona. Toi vizhda samo
> > ns.uni-sofia.bg i ady.uni-sofia.bg. Takava e mrezhovata politka na
> > Universitetskia izchislitelen center na SU. Znachi, ako v universitetskia
> > center ima problemi, a takiva e imalo, poshtata za uni-sofia.bg se
> > poluchava na wind.netissat.bg i pri popraviane na polozhenieto v SU maila
> > se izprashta kam ns.uni-sofia.bg i ady.uni-sofia.bg. Vazmozhno e obache,
> > ns.uni-sofia.bg da zapylni limita si ot vrzyki, koito mozhe da napravi za
> > primane na poshta, zashtoto mozhe na wind.netissat.bg da sa se natrupali
> > mnogo pisma. Eto tuk idva polzata naprimer ot ady.uni-sofia.bg.. Sled
> > kato niama svobodna sesia kam ns.uni-sofia.bg ostanalite se poemat ot
> > ady.uni-sofia.bg.
> >   ns.uni-sofia.bg i ady.uni-sofia.bg priemat poshtata za men i za drugite
> > subdomaini na uni-sofia.bg i kogato niama problemi i ia prepredavat
> > na vytreshnite serveri, obsluzhvashti samostoiatelnite zvena i
> > fakulteti.... Za moia sluchai poshtata nasochena prez ns.uni-sofia.bg i
> > ady.uni-sofia.bg se prepredava kam edin ot moite vytreshni mail-serveri.
> > Sega vseki shte popita da de, ama zashto sa ti celi tri mail-servera.. Mi
> > za barzina... Mail- serverite sa napraveni taka, che da obsluzhvat
> > zaiavka sled zaiavka poedinichno, a ne po mnogo zaedno... e, za tova e
> > dobre, dori
> > ns.lcpe.uni-sofia.bg da ne mozhe da poeme vhodiasht mail, to toi se
> > priema ot niakoi ot drugite dve mashini i sled kato vsichko se uspokoi
> > na ns.lcpe.uni-sofia.bg te mu predavat natrupanite v tiah saobshtenia.
> > Taka az ne natovarvam izlishno serverite ns.uni-sofia.bg i
> > ady.uni-sofia.bg ot koito zavisi skorostta na predavane na maila na celia
> > universitet i koito sa na praktika nai-natovarenite hostove vav cialata
> > tazi shema s predavaneto na maila, zashoto sa hostove ot bastiona!
> > Znam, che tuk niakoi shte kazhe, da ama ti mozhesh da prekarash
> > maila si ot bastiona bez da ukazvash v MX-zapisi vatreshnite serveri.
> > Da, mozheshe i taka s izpolzvane na remapvane, no mozhe da se
> > remapva samo kam opredeln host bez da mozhe da se pravi izbor,
> > i tova niama da otneme natovarvaneto ot hostovete na bastiona.
> > (Razbira se, reshenieto mozhe i da e VPN stealth domain, koito da se
> > vizhda samo ot hostovete na bastiona).
> >
> > Pravihme mnogobroini testove i podobna shema na poluchavane na
> > poshtata raboti efektivno i byrzo.
> >
> > V interes na istinata sam vzaimstval opit ot drugi universitetski mrezhi,
> > ne sam otkril nishto novo, prosto reshih da napravia neshto gyvkavo.
> >
> > Razbira se, ako niama bastion, ili ako chovek razpolaga s dva na broi
> > servera s goliama nadezdhnost i moshtnost, te sa mu napalno
> > dostatachni... No v akademichnite mrezhi obiknoveno se pryskat golemi
> > pari za serveri .... taka e i v po-malkite firmi...
> >
> > Taka, che relay_based_on_MX si e neshto mnogo polezno i neobhodimo i
> > se sochi kato instrument za spoluchlivo prerazpredelnie na mail-traffica
> > v edna akademichna ili korporativna mrezha!
> >
> >   Pozdravi
> >      Vesselin Kolev
>
> ===========================================================================
> A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers)
> http://www.linux-bulgaria.org/ Hosted by Internet Group Ltd. - Stara Zagora
===========================================================================
A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers)
http://www.linux-bulgaria.org/ Hosted by Internet Group Ltd. - Stara Zagora

Във връзка с:
- Documented (was: Re:lug-bg: Sendmail+Advanced)
  - Изпратено от: danchev@xxxxxxxxx (George Danchev)
- Re: lug-bg: Sendmail+advanced + Again!
  - Изпратено от: vasil@xxxxxxxxxxx (Vasil Kolev)

Относно:
- Re: lug-bg: Sendmail+advanced + Again!
  - Изпратено от: vasil@xxxxxxxxxxx (Vasil Kolev)

Предишно по дата: Re: lug-bg: Sendmail+advanced +Again!
Следващо по дата: lug-bg: atraktiwen kernel(2.4.14) crash
Предишно по тема: Re: lug-bg: Sendmail+advanced + Again!
Следващо по тема: Re: lug-bg: Sendmail+advanced + Again!
Индекс:
- По дата
- По тема

наши приятели

линукс за българи
http://linux-bg.org

FSA-BG
http://fsa-bg.org

OpenFest
http://openfest.org

FreeBSD BG
http://bg-freebsd.org

KDE-BG
http://kde.fsa-bg.org/

Gnome-BG
http://gnome.cult.bg/

проект OpenFMI
http://openfmi.net

NetField Forum
http://netField.ludost.net/forum/

Linux-Bulgaria.ORG