Привет,
вот что в итоге получилось:
helo_verify = 0.0.0.0/0
sender_verify
no_sender_verify_fixup
sender_verify_reject
receiver_verify
#
# callback'ом поигрался, но в итоге согласился со следующими утверждениями -
# http://www.backscatterer.org/index.php?target=sendercallouts
#
#sender_verify_hosts_callback = *
#sender_verify_callback_domains = *
#
headers_checks_fail
headers_check_syntax
headers_sender_verify
#
percent_hack_domains = "! 0/0"
sender_unqualified_hosts = "! 0/0"
receiver_unqualified_hosts = "! 0/0"
#
smtp_accept_max = 5
smtp_accept_max_per_host = 1
smtp_connect_backlog = 5
smtp_receive_timeout = 1m
no_smtp_verify
доставка несуществующих адресов выполняется в :fail:
есть два вопроса -
1) а насколько по нынешним временам рекомендовано или не рекомендовано
поддерживать SMTP VERIFY?
2) а как нынешние kinds of majordom реагируют на неправильно
оформленные запросы от якобы абонентов? по логике, менеджер должен
отослать отлуп вида "неправильно оформленный запрос, вот вам хелп", но
это может быть частью атаки... делать suppress?
Спасибо
2009/6/18 Marina S. Uzhentseva
Приветствую
On Thursday 18 of June 2009 10:06:49 Vladimir Litovka wrote:
столкнулся с такой проблемой:
================ Вполне возможно, что кто-то выбрал этот сервер для того, чтобы отправлять через него misdirected bounces. (заведомо неправильный адрес получателя письма и адрес атакуемого отправителя). Поскольку проверки адреса получателя у тебя не стоит, то сервер, вместо того, чтобы дать отлуп в процессе SMTP обмена пересылает Delivery Status Notification отправителю письма, что дает возможность <<завалить>> любого отправителя bouncе-ами с помощью твоего сервера. Простейший метод этого избежать - это ввести проверку адреса получателя. ================
Если быстро ответить - уже в этой версии экзим умел делать проверки sender verify, recipient verify, что отображено в документации http://exim.org/exim- html-3.30/doc/html/spec.html , раздел 45.2 Sender verification и дальше :)
Если подробно, могу примерно нарисовать схему.
-- Marina S. Uzhentseva UM551-RIPE
-- /doka