Peter Wiersig wrote:
On Mon, Jul 16, 2007 at 02:59:35PM +0200, Sandy Drobic wrote:
Peter Wiersig wrote:
On Mon, Jul 16, 2007 at 01:23:13PM +0200, Sandy Drobic wrote:
KEIN RFC verlangt, dass der sendende Server seinen eigenen Hostnamen für das HELO verwenden muss! Diesem Aberglauben hängen nur die Admins mit den zu knappen Hosen an. Du liest RFC2821 4.1.1.1 dann aber mit einer interessanten Auslegungsweise.
Ein Rechner, der tatsaechlich keine gueltige HELO/EHLO Argumente finden kann, sollte nich mit einem SMTP MTA, sondern seinem lokalen MSA sprechen. Moooment! "ungültig" und "nicht der eigene Hostname" ist nicht das gleiche, da hast du leider falsch gequotet. Der Satz davor hat genau dies erklärt, deshalb hier noch einmal:
- Jetzt kommt das HELO/EHLO-Kommando, das dein Server absetzt. Dieses ist der Hostname bla.self-ip.org oder was auch immer. Jetzt prüft der externe Server, ob dieser den RFCs genügt: FQDN, muss existieren. Alles klar, der Hostname existiert im DNS.
Nein, das genuegt mir nicht: Wenn ein von extern initiierter SMTP-Client behauptet aus meiner Domain zu stammen, wird der abgewiesen - obwohl der Hostname im DNS nachschlagbar ist.
Das kannst du auch ohne schlechtes Gewissen, ich mache dies auch und betrachte dies als einen sicheren Check. Dies ist jedoch nicht von den RFCs so vorgegeben, sondern Teil deiner eigenen Policy, die du manuell konfigurieren musstest. RFC-konform ist ein helo, welches einen Hostnamen angibt, der nicht auf sich selbst zurückweist. Das Spammer gerne testen, ob sie mit dem HELO deines Servers/Domain ohne weitere Checks durchkommen, ist klar. Aber hier ging es nicht um Spamabwehr, sondern um die RFC-Konformität.
Mir ist schon klar, das ich nicht 100% sicher sein kann, ob die uebermittelte Domain zur verbundenen IP passt, aber ein Argument wie 'localhost' kann ich ohne schlechtes Gewissen abweisen. Das RFC konforme Verhalten eines Clients waere ja schliesslich seine IP-Adresse als literal zu uebermitteln.
"localhost" wird schon durch reject_non_fqdn_helo_hostname abgewiesen, kein weiterer Check notwendig. Ich bin hier auch etwas weitergegangen und blocke auch "localhost.localdomain". Es stimmt, die RFCs sagen, dass ein Addressliteral (IP-Adresse in eckigen Klammern) zu akzeptieren sei. Wobei ich inzwischen skeptisch bin, ob dies noch Sinn macht. Ich habe nur sehr wenige Situationen gesehen, wo dies notwendig war. -- Sandy Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org