Re: Проблема с проверкой домена отправителя, IPv6.

На Wed, 28 Jan 2009 11:41:28 +0300
"Dmitry Akindinov" <CGatePro@mx.ru> записано:

> Здравствуйте,
>
> Sergey Chumakov wrote:
> > На Tue, 27 Jan 2009 18:08:52 +0600
> > "Golota S.V." <CGatePro@mx.ru> записано:
> >
> >>
> >> Dmitry Akindinov пишет:
> >
> >>>>>> Такая ситуация получается, когда в кэше сервера имен А-записи
> >>>>>> mx1.freebsd.org уже нет (TTL закончился), а АААА-запись еще есть,
> >>>>>> соответственно он и выдает только ее в дополнительной секции.
> >>>>> Сщмнительно, что такое поведение DNS сервера можносчитать
> >>>>> нормальным. Если уж выдавать записи, то все?
> >>>> Это дефолтное поведение серверов имен. Рекурсивным в данном случае
> >>>> является только запрос MX-записи, сервер ее честно выдает. Все, что
> >>>> отдается в additional section запроса - отдается из кэша, если оно там
> >>>> есть. Если его там нет - не отдается, и CGP не считает это странным, не
> >>>> так ли?
> >>> А смысл выдавать не все записи? Тогда их лучше не выдавать вообще -
> >>> раз надежным способом использовать их не удается. Тогда бы сервер
> >>> пошел за записями A сам.
> >
> > Т.е. логика резолвера ISC BIND порочна? Что порекомендуете
> > использовать вместо?
> >
> > named в additional section выдает то, что у него есть в кэше. Я не
> > нашел, как можно изменить это поведение.
>
> В следующей версии CGPro будет опция, с включением которой сервер будет
> игнорировать записи в дополнительной секции ответа DNS сервера и будет
> явно запрашивать A записи.

Включение такой галочки приведет к существенному увеличению количества DNS-запросов. Но по крайней мере у администратора будет выбор.
> >>>>>> Ключик --IPv6 NO проблему не решает, а должен бы, по логике.
> >>>>> Там попытки соединения по IPv6 в этом случае не происходит. Но
> >>>>> проблемы это не решает: от DNS была получена одна MX запись, да и та
> >>>>> - нерабочая.
> >>>>>
> >>>> MX-запись была получена рабочая. Если бы CGP запрашивал А-запись этого
> >>>> MX-а, он получил бы ее. Но он _не запрашивает_ А-запись.
> >>> Да, я неправильно сформулировал. DNS сервер оказал "услугу" и заранее
> >>> разрезолвил MX запись, которую ку него попросили. Но выдал не все
> >>> записи. Вопрос - какой в этом смысл?
> >>>
> >>>> Отсюда FR: если указан ключ --IPv6 NO - игнорировать АААА-записи DNS.
> >>>> Это будет логичным.
> >>> Ну было бы там две IPv4 записи. Одна из них - на 127.0.0.1, как это
> >>> сейчас модно "для борьбы со спамом". И вот из двух вернулась только
> >>> одна, эта, нерабочая.
> >
> > А почему она "нерабочая"? Единственно потому, что указана в "Dummy IP
> > Addresses" в настройках DNS Resolver, и CGP должен ее игнорировать, раз она "dummy". Т.е. фактически это означает, что записи нет, и если вдруг named в _additional section_ выдал только такую запись, это равнозначно тому, что он совсем ничего не выдал, с точки зрения CGP.
>
> Хорошо, не 127.0.0.1, а что-нибудь из "серой" сети. Что-то, что не
> указано в Dummy IPs, но использовано для соединения быть не может.

В таком случае CGP поступит честно, т.к. ему нигде не указано игнорировать этот адрес, в данном случае претензий не будет.

-- 
С уважением, 

Сергей Чумаков,
системный администратор.
Группа телекоммуникационных компаний Vega.