Re: Re: TheBat, SASL - прошу помощи клуба

От: Vladimir A. Butenko <CGatePro_at_mx_ru>
Дата: Fri 15 Jul 2005 - 02:33:41 MSD

On Thu, 14 Jul 2005 23:18:53 +0700
  "Victor Sudakov" <CGatePro@mx.ru> wrote:
> Vladimir A. Butenko wrote:

>> >>>Да, теперь вижу. Раз задокументировано - значит и правда фича :)
>> >>>
>> >>>Note: this option checks for the "fixed" Client IP Addresses only - it
>> >>>does not pay attention to the "temp-client" addresses added with the
>> >>>Process as a Client Address feature.
>> >>>
>> >>>А в чем принципиальное значение этой фичи?
>> >>
>> >>Force AUTH делается не для релеинга, а для того, чтобы кто ни попадя не 
>> >>мог 
>> >>от моего имени отправить письмо - хотя бы внутри того же сервера. И 
>>тогда 
>> >>Client IP Addresses используются как исключения или этого правила (если 
>> >>обсуждаемая опция стоит для "clients"). И поэтому будет совсем нехорошо, 
>> >
>> >У меня она стояла для non-clients (пока не пришлось сегодня поставить
>> >nobody). Именно для того, чтобы всякие левые люди не писали от имени
>> >пользователей наших доменов. Но вопрос в том, что прошедшие "POP
>> >before SMTP" никак не могут считаться левыми! Почему забрать почту
>> >аккаунта user@domain.com мы ему доверили, а отправить с таким
>> >envelope from низзя?
>> 
>> Забрать он может только от себя (то есть аутентицировавшись). А отправить 
>>- 
>> может от кого угодно. Вот мы и не хотим, чтобы Вася только из-за того, что 
>> он нам был известен - мог отправить почту от имени Пети.

>
> При этом от имени president@whitehouse.gov вы отправить всё равно
> даёте, а от имени Пети ни-ни.

Нормального человека вряд ли заинтересует что-либо, приходящее с этого адреса. Оно и с телевизера приходит - ухохочешься. Более того, этот самый президент легко оправдается - скажет, смотри, мол - это ж не с моего сервера в подвале Белого дома пришло, так что я тут не при чём. А вот если такое придёт именно с его сервера, но от очередной Моники, да еще и какому дипломату в какой стране, да с указанием либо встречу в верхах готовить, либо мосты взрывать - то будет накладочка-с.

>> Для этого и ставится Force AUTH, а те 3-4 клиента, у которых AUTH всё еще 
>>- 
>> через 10 лет - так и не работает в SMTP - прописываются руками в CLIENT IP 

>
> Насчет "не работает" можно и поспорить. Где-нибудь написано, что
> почтовый клиент, получив 535 после попытки сделать "AUTH CRAM-MD5",
> обязан перебирать прочие методы?

Не обязан. Речь не об этом. Речь о том, что при наличии поддержки SMTP AUTH использовать CLient IPs для всех подряд - не нужно.   

>> Addresses (все остальные адреса из CLIENT можно после этого убрать).

>
> Да вот, есть желающие отправлять почту через наш релей, но с пула
> адресов другого провайдера.

Не имея аккаунтов на Вашем сервере, через которые они могли бы сделать SMTP AUTH?
>
> --
> Victor Sudakov, VAS4-RIPE, VAS47-RIPN

Sincerely,
Vladimir Получено Thu Jul 14 22:32:40 2005