Re: 1) А есть ли IP-based ACL? 2) Лицензии.

От: Alexander Alekseev <alex_at_mx_ru>
Дата: Tue 22 Aug 2000 - 23:55:42 MSD

                Hello!

On Tue, 22 Aug 2000, Boris Tyshkiewitch wrote:

> > > Итак, клиент на LL. Старая задача просто обеспечить релеинг почты только
> > > от клиентских SMTP серверов решается совсем просто через
> > > Settings->SMTP->Relay for Clients Only. Это даже неинтересно. Рассматриваем
> > > сложный вариант с заведением отдельного эккаунта или домена.

> > Нету у него серверов! У него вообще один комп стоит. Или 2. Или 5. Даже 10.
> > И он СОВСЕМ не понимает, как оно работает. К нему ходит наша служба
> > тех. поддержки и переставляет винды. Да был бы хоть у одного толковый
> > админ, скольких проблем у меня бы не было!!! А то ведь ничего о
> > технологиях знать не хотят, пароли теряют, etc... А потом "у меня
> > тут есть специалист, только он был последний раз месяц назад. Он
> > тут чего-то настраивал...". А в настройках-бардак.
> 
>   Знаем. Я про это и говорю. Нет у него почтового сервера. Он использует эккаунт
> на нашем. Со всеми вытекающими.
> 
> > 	Я просто раз и навсегда застраховаться хочу: Есть пара клиент-аккаунт.
> > Или клиент-домен. Клиент раз и навсегда привязан к подсети. Вот и пусть
> > не имеет ФИЗИЧЕСКОЙ возможности лезть куда не надо. Даже (как оно
> > обычно и бывает) без умысла, а исключительно по глупости.
> 
>   А куда он там может залезть? Что он может сделать такого страшного?
> Прочитать чужую почту не сможет. Пароли таки работают. Максимум - это
> прикинуться другим клиентом и заспамить всех. Так все равно службе abuse
> придется расследовать инциндент, и я думаю она не ошибется в наказываемом
> ибо информации более чем достаточно.

У кого работают, а у большинства все пароли всем известны. Принудительная раздача "сильных" паролей не помогает, они их все равно потеряют и нашему же support придется в очередной раз выезжать на вызов. А настройка клиенту электронной почты не авляется основным занятием нашего support. Он должен новых клиентов подключать, а тут со старыми проблем не оберешься...

> В чем смысл Ваших предложений? Чем они облегчат нелегкую работу > support/abuse?
Меньше возможности допустить "сложную" ошибку, когда требуется выезд тех.саппорта. (Настройка почты "с нуля" считается сложным.) Т.е. пользователь лазить в установки почты не умеет СОВСЕМ. Поэтому он должен получить отлуп при малейшей неточности с максимально датальным описанием. Вот что им Outlook показывает, то они и умеют находить, а меню "свойства" или, не дай бог, "учетные записи", это уже для админа, и наш support опять к ним едет, проклиная тот день, когда подключили этих очередных [censored].

> > 	И еще я хочу, чтобы клиент был ОБЯЗАН указывать только
> > свой реальный обратный адрес. 
> 
>   Т.е. если кто-то в своем Outlook поставит иной адрес, то его письмо будет
> отвергнуто на Вашем сервере? А не слишком ли жестко? Может у меня Replay-To
> стоит верный? 
	Не слишком! Это выстрадано всем NOC на пару с support.
Проблемы начинаются, когда от клиента уходит наш support, и появляется некто, кто оказывается знает больше, чем ему положено, и меньше, чтоб оно работало. Конкретный пример:

        1) Ген. директор клиента просит настроить 5 из 10 машин для доступа в интернет. Все машины воткнуты в один хаб. Там же и шнурок от нашего шлюза.

        2) Через неделю наблюдаются необъяснимые глюки, когда половина машин шлюза не видят физически. Через час выясняется, что кто-то очень умный неизвестно зачем выставляет адрес шлюза на своей машине. полная проверка офиса ничего не дает, поскольку как запахло жареным, злоумышленник все восстановил. При этом за всеми машинами сидят длинноногие секретарши с голубыми глазами, которые ничего не знают, а "Конкретный" ген. директор ничего и знать не желает.

Так что оно делается специально для таких контор. Когда начальник хочет быть увереным, что письмо от Лидочки послано Лидочкой, а не вредной Зинкой из соседнего отдела.

        А для 2-3 клиентов с нормальным тех. отделом (проверенным временем), я отдельный сервер поставлю. Да оно и так стоит и каши не просит.

> Если такие проблемы с контролем тупых клиетов, то проще заставить их > пользоваться только WebMail, и отрезать в Settings смену адреса.

        А вот этого не получится. Они еще почему-то хотят файлы пересылать, и вообще знают такую программу Outlook, а больше их на курсах ничему не учили. И вообще, у них этим занимается Вася, который уже 2 месяца не появляется, и которому самому надо ликбез и распрямление гнутых пальцев устраивать...

>   Тем не менее, если уж так сильно хочется, то напишите свою программу-
> фильтр, которая получает все письма, проходящие через очередь. Может делать
> с ними что угодно. Обычно это используется для поиска вирусов, но и в Вашем
> случае тоже подойдет.

А я смогу ее прикрутить к CGP? Sorry, если не аккуратно читал доки, но такого я там не видел. Только я боюсь, что написание своего мэйлера окажется проще, чем заниматься анализом и правкой всего приходящего и уходящего от CGP по всем поддерживаемым протоколам... Уж очень навороченый сниффер получается. Да еще он умеет SSL, и IP адреса подменять (чтобы в логах CGP все было здорово). Прямо какой-то монстр получается!
что-ж теперь, опять sendmail + imapd?  
>   CGP честно вставляет в заголовки каждого письма IP адрес отправителя.
> Ищите его, сравнивайте с доменными именами, ищите там вирусы и матерные
> слова, тексты содержащие гостайну и все что угодно. Но изврат. Но можно.
> В 3.4b1
	Угу. А вредные клиенты умеют пользоваться разрекламированными прогами,
которые подсовывают серверу письмо с заголовком о пройденных n-ти хопах. Что ж, мне теперь и это отслеживать? Согласитесь, Force header в правильном месте релея гораздо проще.

        А нужно-то всего лишь acl на все параметры каждого события. Ну большой acl получится, но надо же это когда-то делать. Не хватает гибкости.

        Или допустить возможность подключения пользовательских динамических библиотек с готовыми функциями ac и скрипт по их применению.

        Просто я занялся CGP именно в надежде увидеть нормальные acl, rewrite, etc. Чтобы a) работали, б) имели человеческий синтаксис, и в) все это само собой конфигурилось. А пока получается: sendmail=a, CGP=в. А кто все это скрестит?

        TODO ?                 Bye. Alex.

PS: прям хоть бери и пиши мейлер на PL/SQL ! Там хоть таблицы acl быстро обрабатываются...          

##################################################################
Вы получили это сообщение потому, что подписаны на список рассылки   <CGatePro@mx.ru>.
Чтобы отписаться, отправьте сообщение на адрес <CGatePro-off@mx.ru>
Чтобы переключиться в режим дайджеста - mailto:<CGatePro-digest@mx.ru>
Чтобы переключиться в индексный режим - mailto:<CGatePro-index@mx.ru>
Для административных запросов адрес <CGatePro-request@mx.ru> Получено Tue Aug 22 21:11:03 2000

Этот архив был сгенерирован hypermail 2.1.8 : Tue 21 Feb 2006 - 03:14:03 MSK