Умный relaying в sendmail'е
Hi! Не подскажете, как в sendmail'е разрешить релеинг для доменов, у которых все более приоритетные mx'ы находятся в определенном наборе сетей? Т.е. я хочу сделать smart relay, для всех моих сетей, чтобы не прописывать каждый домен по отдельности. -- Заранее благодарен за ответ. Vladimir N. Garnick [nic-hdl: VG-RIPE, VG-UANIC] =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
Fri, Oct 03, 2003 at 21:05:01, vg (Vladimir N. Garnick) wrote about "[uanog] Умный relaying в sendmail'е": VNG> Не подскажете, как в sendmail'е разрешить релеинг для доменов, у VNG> которых все более приоритетные mx'ы находятся в определенном наборе сетей? VNG> Т.е. я хочу сделать smart relay, для всех моих сетей, чтобы не прописывать VNG> каждый домен по отдельности. 1. "smart relay" - традиционно более другое понятие. 2. Я знаю как минимум три типа реализации (и ещё больше реализаций). Я, mage@adamant и кто-то из elvisti (amb@?) делали простое копирование того кода, что отрабатывает relay_based_on_MX, с использованием bestmx map'а без -z. Затем, у меня есть реализация с program map'ом, который получает домен, лезет в DNS и отвечает да/нет в зависимости от вхождения bestMX'ов в заданный список сетей (цепляется в sequence для access_db). Наконец, Сева Волков делал реализацию, которая через DNS map получает IP bestMX'а и лезет в access_db и ищет его стандартным поиском (то есть по четырём октетам, потом по трём и так далее). Все, кроме program map'а, требуют хака .cf, не укладывающегося в стандартную сборку из mc-файла - но это мы могли себе позволить. Моими реализациями могу поделиться (да собственно на ftp://segfault.kiev.ua/pub/sendmail/ всё уже есть, только отковырять от прочих местных хаков надо. или не надо.) -netch- =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
Hi Vladimir! On Fri, Oct 03, 2003 at 09:05:01PM +0300, Vladimir N. Garnick wrote: VNG> Не подскажете, как в sendmail'е разрешить релеинг для доменов, у VNG> которых все более приоритетные mx'ы находятся в определенном наборе сетей? VNG> Т.е. я хочу сделать smart relay, для всех моих сетей, чтобы не прописывать VNG> каждый домен по отдельности. В аттаче патч для sendmail.cf 8.12.8. Его можно использовать и с другими sendmail'ами 8.12.X, но нужно отследить, чтобы дополнительные строки были вставлены там же, где добавляются строки при включении FEATURE(relay_based_on_MX). А сам relay_based_on_MX, естественно, лучше выключить. Сети, для которых нужно релеить, прописываются в access в одном из следующих форматов: RelayTo:1.2.3.4 RELAY RelayTo:1.2.3 RELAY RelayTo:1.2 RELAY RelayTo:1 RELAY VNG> -- VNG> Заранее благодарен за ответ. VNG> Vladimir N. Garnick [nic-hdl: VG-RIPE, VG-UANIC] -- Vsevolod Volkov (VVV-UANIC) System administrator mailto:vvv@lucky.net Lucky Net Ltd
On Fri, 3 Oct 2003, Valentin Nechayev wrote:
Fri, Oct 03, 2003 at 21:05:01, vg (Vladimir N. Garnick) wrote about "[uanog] Умный relaying в sendmail'е":
VNG> Не подскажете, как в sendmail'е разрешить релеинг для доменов, у VNG> которых все более приоритетные mx'ы находятся в определенном наборе сетей? VNG> Т.е. я хочу сделать smart relay, для всех моих сетей, чтобы не прописывать VNG> каждый домен по отдельности.
1. "smart relay" - традиционно более другое понятие.
Я в курсе :-( Просто день тяжелый, голова уже не варила :-(
Моими реализациями могу поделиться (да собственно на ftp://segfault.kiev.ua/pub/sendmail/ всё уже есть, только отковырять от прочих местных хаков надо. или не надо.)
10x, буду пробовать Заодно: а подобное для exim'а есть? Заранее благодарен за ответ. -- Vladimir N. Garnick [nic-hdl: VG-RIPE, VG-UANIC] =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Mon, Oct 06, 2003 at 05:51:33PM +0300, Vladimir N. Garnick wrote: VNG>On Fri, 3 Oct 2003, Valentin Nechayev wrote: VNG>> Fri, Oct 03, 2003 at 21:05:01, vg (Vladimir N. Garnick) wrote about "[uanog] Умный relaying в sendmail'е": VNG>> VNG>> VNG> Не подскажете, как в sendmail'е разрешить релеинг для доменов, у VNG>> VNG> которых все более приоритетные mx'ы находятся в определенном наборе сетей? VNG>> VNG> Т.е. я хочу сделать smart relay, для всех моих сетей, чтобы не прописывать VNG>> VNG> каждый домен по отдельности. VNG>> VNG>> 1. "smart relay" - традиционно более другое понятие. VNG> Я в курсе :-( Просто день тяжелый, голова уже не варила :-( VNG>> Моими реализациями могу поделиться (да собственно на VNG>> ftp://segfault.kiev.ua/pub/sendmail/ всё уже есть, только отковырять от VNG>> прочих местных хаков надо. или не надо.) VNG>10x, буду пробовать VNG>Заодно: а подобное для exim'а есть? опять же - 2 реализации моя и vladimir.sharun@ukr.net по-моему моя лучше но использует eperl VNG>Заранее благодарен за ответ. -- Best regard, Aleksander Trotsai aka MAGE-RIPE aka MAGE-UANIC My PGP key at ftp://blackhole.adamant.ua/pgp/trotsai.key[.asc] Big trouble - Standing room only on the bus. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Mon, Oct 06, 2003 at 05:51:33PM +0300, Vladimir N. Garnick wrote:
VNG> Не подскажете, как в sendmail'е разрешить релеинг для доменов, у VNG> которых все более приоритетные mx'ы находятся в определенном наборе сетей? VNG> Т.е. я хочу сделать smart relay, для всех моих сетей, чтобы не прописывать VNG> каждый домен по отдельности.
Заодно: а подобное для exim'а есть?
Есть. И выглядит вполне по-человечески :) =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
Здравствуйте ! Еще раз сорри - нужно СРОЧНО два комплекта антенн спутниковых производства Супрал (Россия) 1.8х2.0м. В Киеве или Волыни. -- Best regards, Alexander V Soroka http://www.unet.net.ua AS106-RIPE http://www.spacegate.kiev.ua mailto:alex@euro.net.ua =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
Hi! On Mon, Oct 06, 2003 at 06:30:22PM +0300, Victor Forsyuk writes:
VNG> Не подскажете, как в sendmail'е разрешить релеинг для доменов, у VNG> которых все более приоритетные mx'ы находятся в определенном наборе VNG> сетей? VNG> Т.е. я хочу сделать smart relay, для всех моих сетей, чтобы VNG> не прописывать каждый домен по отдельности.
Заодно: а подобное для exim'а есть?
Есть. И выглядит вполне по-человечески :)
Мне в exim-users ответили, что такого нету, после чего пришлось наваять следующий acl: ======== acl_check_bestmx: # Return accept if primary MX for domain in $acl_m3 is in relayed-bestmx # 1. Find primary MX preference and save it in $acl_m4 # Allways pass through this rule deny set acl_m3 = ${lookup dnsdb{mx=$acl_m3}} set acl_m4 = -1 set acl_m5 = 1 acl = acl_bestpref deny condition = ${if >{$acl_m5}{16}{yes}{no}} # 2. Check all MX's with best priority with dbm accept set acl_m5 = 1 acl = acl_mx_loop deny acl_bestpref: # End of recursion: # $acl_m6 = $acl_m3[$acl_m5] deny set acl_m6 = ${extract{$acl_m5}{\n}{$acl_m3}} condition = ${if eq{$acl_m6}{}{yes}{no}} deny condition = ${if >{$acl_m5}{16}{yes}{no}} deny # acl_m4 = min($acl_m4, $1) if $acl_m3 =~ /^\d+/ set acl_m6 = ${extract{1}{ }{$acl_m6}} set acl_m4 = ${if ={$acl_m4}{-1}{$acl_m6}{$acl_m4}} set acl_m4 = ${if <{$acl_m4}{$acl_m6}{$acl_m4}{$acl_m6}} set acl_m5 = ${eval:$acl_m5+1} acl = acl_bestpref deny acl_mx_loop: # End of recursion: # $acl_m6 = $acl_m3[$acl_m5] deny set acl_m6 = ${extract{$acl_m5}{\n}{$acl_m3}} condition = ${if eq{$acl_m6}{}{yes}{no}} # acl_m4 = min($acl_m4, $1) if $acl_m3 =~ /^\d+/ accept condition = ${if ={${extract{1}{ }{$acl_m6}}}{$acl_m4}{yes}{no}} condition = ${if eq{${lookup{${extract{2}{ }{$acl_m6}}}dbm{/etc/exim/relayed-bestmx.db}}}{}{no}{yes}} accept condition = ${if ={${extract{1}{ }{$acl_m6}}}{$acl_m4}{yes}{no}} set acl_m6 = ${lookup dnsdb{a=${extract{2}{ }{$acl_m6}}}} set acl_m7 = 1 acl = acl_check_mx_ip accept set acl_m5 = ${eval:$acl_m5+1} acl = acl_mx_loop deny acl_check_mx_ip: # IP list is in $acl_m6 # Counter is in $acl_m7 # check all of its by relayed-bestmx deny condition = ${if eq{${extract{$acl_m7}{\n}{$acl_m6}}}{}{yes}{no}} accept condition = ${if eq{${lookup{${extract{$acl_m7}{\n}{$acl_m6}}}dbm{/etc/exim/relayed-bestmx.db}}}{}{no}{yes}} deny condition = ${if >{${eval:$acl_m7+$acl_m5}}{15}{yes}{no}} accept set acl_m7 = ${eval:$acl_m7+1} acl = acl_check_mx_ip deny ======== -- Lucky carrier, Паша. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Mon, Oct 06, 2003 at 07:05:12PM +0300, Pavel Gulchouck wrote: PG> Hi! PG>On Mon, Oct 06, 2003 at 06:30:22PM +0300, Victor Forsyuk writes: PG>> > > VNG> Не подскажете, как в sendmail'е разрешить релеинг для доменов, у PG>> > > VNG> которых все более приоритетные mx'ы находятся в определенном наборе PG>> > > VNG> сетей? PG>> > > VNG> Т.е. я хочу сделать smart relay, для всех моих сетей, чтобы PG>> > > VNG> не прописывать каждый домен по отдельности. PG>> PG>> > Заодно: а подобное для exim'а есть? PG>> PG>> Есть. И выглядит вполне по-человечески :) PG>Мне в exim-users ответили, что такого нету, после чего пришлось PG>наваять следующий acl: жуть perl_startup = do '/etc/exim/funcs1.pl' domainlist relay_to_domains = @mx_secondary acl_check_rcpt: ... accept domains = +relay_to_domains endpass message = Unauthorized backup MX for @$domain not permitted. log_message = Unauthorized backup MX for @$domain condition = ${lookup{${perl{bestmx}{${lookup dnsdb{mx=$domain}}}}} dbm {/etc/exim/backup_mx.db} {yes}{no}} cat funcs1.pl #!/usr/bin/perl sub bestmx { if(not defined($_)) { return(undef); } else { my($mxs)=shift; my($res)='not found'; my($bmx)=9999999999; my($prec,$line); foreach $mx (split(/\n/m,$mxs)) { ($prec,$line)=split(/\s+/,$mx); if($prec < $bmx) { $res=$line; $bmx=$prec; } } return($res); } } perl понадобился ибо не придумал как выбрать функциями exim bext mx из записей вида N1 MX1 N2 MX2 ... -- Best regard, Aleksander Trotsai aka MAGE-RIPE aka MAGE-UANIC My PGP key at ftp://blackhole.adamant.ua/pgp/trotsai.key[.asc] Big trouble - I'm not sure. Try calling the Internet's head office -- it's in the book. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
Hi! On Tue, Oct 07, 2003 at 09:31:53AM +0300, Alexander Trotsai writes:
PG>On Mon, Oct 06, 2003 at 06:30:22PM +0300, Victor Forsyuk writes: PG>> > > VNG> Не подскажете, как в sendmail'е разрешить релеинг для доменов, у PG>> > > VNG> которых все более приоритетные mx'ы находятся в определенном наборе PG>> > > VNG> сетей? PG>> > > VNG> Т.е. я хочу сделать smart relay, для всех моих сетей, чтобы PG>> > > VNG> не прописывать каждый домен по отдельности. PG>> PG>> > Заодно: а подобное для exim'а есть? PG>> PG>> Есть. И выглядит вполне по-человечески :)
PG>Мне в exim-users ответили, что такого нету, после чего пришлось PG>наваять следующий acl:
жуть perl_startup = do '/etc/exim/funcs1.pl' [...] perl понадобился ибо не придумал как выбрать функциями exim bext mx из записей вида N1 MX1 N2 MX2 ...
Ну да, мой acl именно это и делает без перла. Все-таки, perl слишком тяжел. В single-thread apps вроде innd он удобен и эффективен, а когда на каждую сессию происходит fork(), он кушает уже слишком много ресурсов. -- Lucky carrier, Паша. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Tue, Oct 07, 2003 at 10:00:09AM +0300, Pavel Gulchouck wrote: PG> Hi! PG>On Tue, Oct 07, 2003 at 09:31:53AM +0300, Alexander Trotsai writes: PG>> PG>On Mon, Oct 06, 2003 at 06:30:22PM +0300, Victor Forsyuk writes: PG>> PG>> > > VNG> Не подскажете, как в sendmail'е разрешить релеинг для доменов, у PG>> PG>> > > VNG> которых все более приоритетные mx'ы находятся в определенном наборе PG>> PG>> > > VNG> сетей? PG>> PG>> > > VNG> Т.е. я хочу сделать smart relay, для всех моих сетей, чтобы PG>> PG>> > > VNG> не прописывать каждый домен по отдельности. PG>> PG>> PG>> PG>> > Заодно: а подобное для exim'а есть? PG>> PG>> PG>> PG>> Есть. И выглядит вполне по-человечески :) PG>> PG>> PG>Мне в exim-users ответили, что такого нету, после чего пришлось PG>> PG>наваять следующий acl: PG>> PG>> жуть PG>> perl_startup = do '/etc/exim/funcs1.pl' PG>[...] PG>> perl понадобился ибо не придумал как выбрать функциями exim PG>> bext mx из записей вида PG>> N1 MX1 PG>> N2 MX2 PG>> ... PG>Ну да, мой acl именно это и делает без перла. PG>Все-таки, perl слишком тяжел. PG>В single-thread apps вроде innd он удобен и эффективен, а PG>когда на каждую сессию происходит fork(), он кушает уже PG>слишком много ресурсов. ой нету там fork встроенный perl (я так понимаю -lperl :) -- Best regard, Aleksander Trotsai aka MAGE-RIPE aka MAGE-UANIC My PGP key at ftp://blackhole.adamant.ua/pgp/trotsai.key[.asc] Big trouble - Temporal anomaly =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
Hi! On Tue, Oct 07, 2003 at 12:14:05PM +0300, Alexander Trotsai writes:
PG>> PG>> > > VNG> Не подскажете, как в sendmail'е разрешить релеинг для доменов, у PG>> PG>> > > VNG> которых все более приоритетные mx'ы находятся в определенном наборе PG>> PG>> > > VNG> сетей? PG>> PG>> > > VNG> Т.е. я хочу сделать smart relay, для всех моих сетей, чтобы PG>> PG>> > > VNG> не прописывать каждый домен по отдельности. PG>> PG>> PG>> PG>> > Заодно: а подобное для exim'а есть? PG>> PG>> PG>> PG>> Есть. И выглядит вполне по-человечески :) PG>> PG>> PG>Мне в exim-users ответили, что такого нету, после чего пришлось PG>> PG>наваять следующий acl: PG>> PG>> жуть PG>> perl_startup = do '/etc/exim/funcs1.pl' PG>[...] PG>> perl понадобился ибо не придумал как выбрать функциями exim PG>> bext mx из записей вида PG>> N1 MX1 PG>> N2 MX2 PG>> ...
PG>Ну да, мой acl именно это и делает без перла. PG>Все-таки, perl слишком тяжел. PG>В single-thread apps вроде innd он удобен и эффективен, а PG>когда на каждую сессию происходит fork(), он кушает уже PG>слишком много ресурсов.
ой нету там fork встроенный perl (я так понимаю -lperl :)
Конечно, но сам exim форкается для приема соединения. И форкается вместе с уже загруженным интерпретатором перла. Получается, что если у меня 200 exim-ов, то с ними 200 перловых интерпретаторов. То, что у них код общий и copy-on-write - понятно, но все равно получается сильно тяжелее по сравнению с безперловой версией. Это совершенно не то же самое, что у innd, который может обрабатывать 200 входящих соединений одной ниткой, соответственно, одним интерпретатором перла - там оно много дополнительных ресурсов не требует. -- Lucky carrier, Паша. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Mon, Oct 06, 2003 at 07:05:12PM +0300, Pavel Gulchouck wrote:
On Mon, Oct 06, 2003 at 06:30:22PM +0300, Victor Forsyuk writes:
VNG> Не подскажете, как в sendmail'е разрешить релеинг для доменов, у VNG> которых все более приоритетные mx'ы находятся в определенном наборе VNG> сетей? VNG> Т.е. я хочу сделать smart relay, для всех моих сетей, чтобы VNG> не прописывать каждый домен по отдельности.
Заодно: а подобное для exim'а есть?
Есть. И выглядит вполне по-человечески :)
Мне в exim-users ответили, что такого нету, после чего пришлось наваять следующий acl:
[acl отрезан] ACL крут, но я бы врагу не пожелал ментейнить после тебя почтовую систему с такими ACL'ями ;-). Если серьезнее - зачитал я твою переписку в exim-users и насколько я вижу, ты задачу несколько по-другому формулировал (как я это воcпринял - "хочется релеить по факту @mx_secondary, но как-то защититься от того, что любой может поставить на меня MX". Поэтому тебе, в принципе, там адекватно ответили. Здесь же вопрос был следующим: "как разрешить релеинг для доменов, у которых все более приоритетные mx'ы находятся в определенном наборе сетей?". То есть, не колышет в каких доменах меня пропишут, главное релеить в сетки, жителям которых позволяется нас иметь бэкапом". Такое легко делается, но не на уровне ACL, а на уровне роутеров. Вот такой роутер ставим повыше (при непопадании в check_secondary_mx он за'decline'ит на следующий роутер): mx_for_our_nets: transport = remote_smtp driver = dnslookup check_secondary_mx ignore_target_hosts = ! /etc/exim/файл_с_допустимыми_сетками : * self = fail Disclaimer: сам не пробовал, у нас исторически другая система разрешения релеинга, но должно работать, если я не разучился читать spec.txt. ;) p.s. ignore_target_hosts - сильная вещь! ;) =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Tuesday 07 October 2003 16:14, Victor Forsyuk wrote:
On Mon, Oct 06, 2003 at 07:05:12PM +0300, Pavel Gulchouck wrote:
On Mon, Oct 06, 2003 at 06:30:22PM +0300, Victor Forsyuk writes:
VNG> Не подскажете, как в sendmail'е разрешить релеинг для доменов, у VNG> которых все более приоритетные mx'ы находятся в определенном наборе VNG> сетей? VNG> Т.е. я хочу сделать smart relay, для всех моих сетей, чтобы VNG> не прописывать каждый домен по отдельности.
Заодно: а подобное для exim'а есть?
Есть. И выглядит вполне по-человечески :)
Мне в exim-users ответили, что такого нету, после чего пришлось наваять следующий acl:
[acl отрезан]
ACL крут, но я бы врагу не пожелал ментейнить после тебя почтовую систему с такими ACL'ями ;-). Если серьезнее - зачитал я твою переписку в exim-users и насколько я вижу, ты задачу несколько по-другому формулировал (как я это воcпринял - "хочется релеить по факту @mx_secondary, но как-то защититься от того, что любой может поставить на меня MX". Поэтому тебе, в принципе, там адекватно ответили.
Здесь же вопрос был следующим: "как разрешить релеинг для доменов, у которых все более приоритетные mx'ы находятся в определенном наборе сетей?". То есть, не колышет в каких доменах меня пропишут, главное релеить в сетки, жителям которых позволяется нас иметь бэкапом".
Такое легко делается, но не на уровне ACL, а на уровне роутеров. Вот такой роутер ставим повыше (при непопадании в check_secondary_mx он за'decline'ит на следующий роутер):
mx_for_our_nets: transport = remote_smtp driver = dnslookup check_secondary_mx ignore_target_hosts = ! /etc/exim/файл_с_допустимыми_сетками : * self = fail
пару добавлений из собственного опыта: 1. правило полезно использовать только для проверки и проверки именно получателя. а значит стоит добавить verify_only, verify_sender = false 2. такая проверка проводится для _не_клиентов, потому как для клиентов нужно релеить все. поэтому стоит вписать condition по вкусу (если конечно хочется проверять получателя и для исходящих писем клиентов) -- Dimitry =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
Hi! On Tue, Oct 07, 2003 at 04:14:52PM +0300, Victor Forsyuk writes:
VNG> Не подскажете, как в sendmail'е разрешить релеинг для доменов, у VNG> которых все более приоритетные mx'ы находятся в определенном наборе VNG> сетей? VNG> Т.е. я хочу сделать smart relay, для всех моих сетей, чтобы VNG> не прописывать каждый домен по отдельности.
Заодно: а подобное для exim'а есть?
Есть. И выглядит вполне по-человечески :)
Мне в exim-users ответили, что такого нету, после чего пришлось наваять следующий acl:
[acl отрезан]
ACL крут, но я бы врагу не пожелал ментейнить после тебя почтовую систему с такими ACL'ями ;-).
Да это, действительно, скорее по приколу было сделано, в целях изучения acl-ей. Проще патч поддерживать, чем такой acl. ;-) Хотя - вполне рабочий.
Если серьезнее - зачитал я твою переписку в exim-users и насколько я вижу, ты задачу несколько по-другому формулировал (как я это воcпринял - "хочется релеить по факту @mx_secondary, но как-то защититься от того, что любой может поставить на меня MX". Поэтому тебе, в принципе, там адекватно ответили.
Наверное, я плохо сформулировал. Я имел ввиду именно то, о чем спрашивали здесь (только я говорил лишь про primary MX, а тут говорилось про все более приоритетные MX-ы, но это уже мелочи).
Здесь же вопрос был следующим: "как разрешить релеинг для доменов, у которых все более приоритетные mx'ы находятся в определенном наборе сетей?". То есть, не колышет в каких доменах меня пропишут, главное релеить в сетки, жителям которых позволяется нас иметь бэкапом".
Такое легко делается, но не на уровне ACL, а на уровне роутеров. Вот такой роутер ставим повыше (при непопадании в check_secondary_mx он за'decline'ит на следующий роутер):
mx_for_our_nets: transport = remote_smtp driver = dnslookup check_secondary_mx ignore_target_hosts = ! /etc/exim/файл_с_допустимыми_сетками : * self = fail
Disclaimer: сам не пробовал, у нас исторически другая система разрешения релеинга, но должно работать, если я не разучился читать spec.txt. ;)
p.s. ignore_target_hosts - сильная вещь! ;)
Ты прав, мне просто не пришло в голову это делать через роутеры (я начинающий пользователь exim). Так получается не в точности то, о чем говорили (если есть хоть один более приоритетный MX из разрешенных сеток - почта будет отрелеена), но для решения глобальной задачи вполне подходит, и гораздо проще. :) Спасибо. -- Lucky carrier, Паша. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Tue, Oct 07, 2003 at 04:14:52PM +0300, Victor Forsyuk wrote:
Такое легко делается, но не на уровне ACL, а на уровне роутеров. Вот такой роутер ставим повыше (при непопадании в check_secondary_mx он за'decline'ит на следующий роутер):
mx_for_our_nets: transport = remote_smtp driver = dnslookup check_secondary_mx ignore_target_hosts = ! /etc/exim/файл_с_допустимыми_сетками : * self = fail
сейчас начнутся обсуждения, как сделать динамическое построение допустимых сетей из bgp :) (хотя по идее должно работать через sql или даже какой dbm - они вроде кешируется только на одну запись... или нет?)
Disclaimer: сам не пробовал, у нас исторически другая система разрешения релеинга, но должно работать, если я не разучился читать spec.txt. ;)
p.s. ignore_target_hosts - сильная вещь! ;)
ага, особенно от Verisign-а помогает ;) =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
participants (9)
-
Alexander Trotsai -
Alexander V Soroka -
Dmitry Alyabyev -
Dmitry Kohmanyuk Дмитрий Кохманюк -
Pavel Gulchouck -
Valentin Nechayev -
Victor Forsyuk -
Vladimir N. Garnick -
Vsevolod Volkov