Re: Re: TheBat, SASL - прошу помощи клуба

От: Vladimir A. Butenko <CGatePro_at_mx_ru>
Дата: Thu 14 Jul 2005 - 16:59:01 MSD

On Thu, 14 Jul 2005 18:22:53 +0700
  "Victor Sudakov" <CGatePro@mx.ru> wrote:
> Vladimir A. Butenko wrote:

>> >Да, теперь вижу. Раз задокументировано - значит и правда фича :)
>> >
>> >Note: this option checks for the "fixed" Client IP Addresses only - it
>> >does not pay attention to the "temp-client" addresses added with the
>> >Process as a Client Address feature.
>> >
>> >А в чем принципиальное значение этой фичи?
>> 
>> Force AUTH делается не для релеинга, а для того, чтобы кто ни попадя не 
>>мог 
>> от моего имени отправить письмо - хотя бы внутри того же сервера. И тогда 
>> Client IP Addresses используются как исключения или этого правила (если 
>> обсуждаемая опция стоит для "clients"). И поэтому будет совсем нехорошо, 

>
> У меня она стояла для non-clients (пока не пришлось сегодня поставить
> nobody). Именно для того, чтобы всякие левые люди не писали от имени
> пользователей наших доменов. Но вопрос в том, что прошедшие "POP
> before SMTP" никак не могут считаться левыми! Почему забрать почту
> аккаунта user@domain.com мы ему доверили, а отправить с таким
> envelope from низзя?

Забрать он может только от себя (то есть аутентицировавшись). А отправить - может от кого угодно. Вот мы и не хотим, чтобы Вася только из-за того, что он нам был известен - мог отправить почту от имени Пети.

Для этого и ставится Force AUTH, а те 3-4 клиента, у которых AUTH всё еще - через 10 лет - так и не работает в SMTP - прописываются руками в CLIENT IP Addresses (все остальные адреса из CLIENT можно после этого убрать).   

>> если кто-то из совсем левой сети, но имеющий пароль (студент из дому - это 
>> опция для университетов актуальна) сможет залогиниться под своим именем, а 
>> потом под это дело - обходить Force AUTH как ему вздумается.

>
> Всё равно неясно, почему обычному клиенту можно сделать исключение, а
> временному нельзя.

"Обычный клиент" - это 75-летний профессор в определённой комнате, с 25-летней давности pine-на столе (и с фиксированным адресом). Мы верим, что он не будет рассылать письма от имени декана с нескромным предложением секретарше декана (хотя, конечно, не факт, что не будет).

А вот 20-летний студент Вася, с интеллектом 10-летнего дебила - вполне может этим из дому заняться, один разок войдя под своим именем и став "временным клиентом".

Почта, прошедшая наружу через другие сервера - нас в данном случае не интересует: та секретарша ее не получит.

Sincerely,
Vladimir Получено Thu Jul 14 12:58:09 2005