|
peterkim
|
 |
« 於: 2004-04-19 12:08 » |
|
最近幾家 ISP 陸續將浮動 IP 的反解改成 dynamic.domain.name 的格式,
而現今許多廣告信的發送點,
都是從這些動態撥接的 IP 而來,因此可以檔掉。
Postfix:
in /etc/postfix/main.cf
增加:
smtpd_client_restrictions = check_client_access hash:/etc/postfix/access
然後在 /etc/postfix/ 下寫 access 檔:
dynamic.apol.com.tw REJECT We can't allow dynamic IP to relay!
dynamic.giga.net.tw REJECT We can't allow dynamic IP to relay!
dynamic.hinet.net REJECT We can't allow dynamic IP to relay!
dynamic.seed.net.tw REJECT We can't allow dynamic IP to relay!
dynamic.tfn.net.tw REJECT We can't allow dynamic IP to relay!
dynamic.ttn.net REJECT We can't allow dynamic IP to relay!
dynamic.lsc.net.tw REJECT We can't allow dynamic IP to relay!
|
|
|
|
|
已記錄
|
|
|
|
|
jarrycho
|
|
« 回覆文章 #1 於: 2004-04-19 13:18 » |
|
水喔!果然是好東東!請教這不等於是全擋了那些用ADSL 撥接制的人
|
|
|
|
|
已記錄
|
|
|
|
|
peterkim
|
|
« 回覆文章 #2 於: 2004-04-19 14:09 » |
|
你可以用 SASL 機制來讓這些位處於動態 IP 網段發信的人來發信,
或者使用 WebMail.
另外若採用 gateway solution 在作解毒的人,
只要在 MX Record 的前一台上面作就可以.
|
|
|
|
|
已記錄
|
|
|
|
|
HaWay
|
|
« 回覆文章 #3 於: 2004-04-19 15:20 » |
|
唉!~動態 IP 不能架站(mail)了 :-(
|
|
|
|
|
已記錄
|
|
|
|
|
jarrycho
|
|
« 回覆文章 #4 於: 2004-04-19 15:27 » |
|
 呵~呵~只怪廣告信件太猖獗了!不擋不行喔!~不擋可能將mail server 灌爆~ |
|
|
|
|
已記錄
|
|
|
|
|
netman
|
|
« 回覆文章 #5 於: 2004-04-19 15:35 » |
|
動態 IP 還是可以架 mail server ,
若 ISP 有提供 smtp 服務的話,將之設為 smart host 即可。
至要是合理的使用,應該都沒問題。
岔題一下:
不過,我上次申請的 hinet 固一 ADSL ,竟不提供 smtp 而改用 web mail ...
我沒去深究如何解決,不知其他朋友也有類似情形嗎?
|
|
|
|
|
已記錄
|
|
|
|
|
peterkim
|
|
« 回覆文章 #6 於: 2004-04-19 15:42 » |
|
理論上 hinet 網段下的機器, 全部 relay 到 ISP 的 mail server,
他們都是會吃的.
這個方案主要還是把 Spam 問題丟回去該 ISP control, 請他們自己負責.
|
|
|
|
|
已記錄
|
|
|
|
|
twu2
|
|
« 回覆文章 #7 於: 2004-04-19 15:45 » |
|
不過,我上次申請的 hinet 固一 ADSL ,竟不提供 smtp 而改用 web mail ...
我沒去深究如何解決,不知其他朋友也有類似情形嗎? 應該不會. 只要是 hinet 的 ip 送過去, 應該 smtp 都接受. 是出現 relay deny 的訊息嗎? 以 ms1.hinet.net 為例, 我的經驗是: ms1.hinet.net 的 ip 為 168.95.4.10, 如果你直接設定為使用這個 ip 來做 relay, 就可以正常送出. 如果你是寫成 ms1.hinet.net, 那麼, 有些程式會先查詢 MX 的設定, 所以會得到 ms1a.hinet.net 這個名字, 再查 ip 就是 168.95.5.1, 這時就會被 relay deny. 所以, 我在 postfix 下頭就使用 [ms1.hinet.net] 來設定, 這樣子 postfix 就不會去查 MX 的 ip, 而直接使用 ms1.hinet.net 的 ip 來送信. 至於要用那一個主機來 relay. 基本上 msX.hinet.net 都可以. hinet 有做 load balance, 所以不管你使用那一個, 每次連上的都不一樣. |
|
|
|
|
已記錄
|
|
|
|
|
netman
|
|
« 回覆文章 #8 於: 2004-04-19 15:54 » |
|
sorry,沒說清楚...
我只是在連上 web site 開帳號時看到的 policy ,而沒實質的去 try 過。
看來都是我太懶了... 我該檢討一下了。(壞榜樣大家別學哦~~)
|
|
|
|
|
已記錄
|
|
|
|
|
chao
|
|
« 回覆文章 #9 於: 2004-04-20 00:30 » |
|
最近幾家 ISP 陸續將浮動 IP 的反解改成 dynamic.domain.name 的格式,
而現今許多廣告信的發送點,
都是從這些動態撥接的 IP 而來,因此可以檔掉。
Postfix:
in /etc/postfix/main.cf
增加:
smtpd_client_restrictions = check_client_access hash:/etc/postfix/access
然後在 /etc/postfix/ 下寫 access 檔:
dynamic.apol.com.tw REJECT We can't allow dynamic IP to relay!
dynamic.giga.net.tw REJECT We can't allow dynamic IP to relay!
dynamic.hinet.net REJECT We can't allow dynamic IP to relay!
dynamic.seed.net.tw REJECT We can't allow dynamic IP to relay!
dynamic.tfn.net.tw REJECT We can't allow dynamic IP to relay!
dynamic.ttn.net REJECT We can't allow dynamic IP to relay!
dynamic.lsc.net.tw REJECT We can't allow dynamic IP to relay! 請教若是sendmail的話是不是加在 /etc/mail/access 就可以了? |
|
|
|
|
已記錄
|
|
|
|
|
James Wu
|
|
« 回覆文章 #10 於: 2004-04-20 02:54 » |
|
是
|
|
|
|
|
已記錄
|
|
|
|
|
chao
|
|
« 回覆文章 #11 於: 2004-04-20 08:46 » |
|
如果用戶端在家裡用動態ip上網, 用isp的smtp寄信出來, 某段表頭如下:
Received: from home01 (218-174-171-52.dynamic.hinet.net [218.174.171.52])
by msr80.hinet.net (8.9.3/8.9.3) with SMTP id WAA02932;
Mon, 19 Apr 2004 22:27:32 +0800 (CST)
不就全擋下來??
|
|
|
|
|
已記錄
|
|
|
|
|
jarrycho
|
|
« 回覆文章 #12 於: 2004-04-20 08:52 » |
|
是的!因為在access 裡都已經陳述了該「domain」的全擋了!
|
|
|
|
|
已記錄
|
|
|
|
|
日京三子
|
|
« 回覆文章 #13 於: 2004-04-20 09:12 » |
|
我會先想到別的問題......
例如說, 我今天從動態IP上發信, 在表頭的地方就會紀錄說我是000-000.123-456.dynamic.hinet.net 結果就會被意外封殺, 這樣子的方式應該不太好才對........
不曉得有沒有朋友先嘗試過, 這樣的條件式底下, 回報一下OK或者不OK?
|
|
|
|
|
已記錄
|
|
|
|
|
twu2
|
|
« 回覆文章 #14 於: 2004-04-20 09:21 » |
|
如果用戶端在家裡用動態ip上網, 用isp的smtp寄信出來, 某段表頭如下:
Received: from home01 (218-174-171-52.dynamic.hinet.net [218.174.171.52])
by msr80.hinet.net (8.9.3/8.9.3) with SMTP id WAA02932;
Mon, 19 Apr 2004 22:27:32 +0800 (CST)
不就全擋下來?? 不會. 那個檢查是對連線的 ip 做反解後來檢查, 並不是檢查信件內容. 實際上, 你的信件只要被收下來時, 才會加上一段 Received:. 如果你透過 ISP 的 smtp 來發送, 這時, ISP 會認為你的 IP 屬於他們認可接受 relay 的那段, 並不會檢查那個反查的 domain name, 然後才加上那段 Received:. 然後 ISP 的 smtp 轉送時, 到對方的 smtp, 所查到的就應該是 ISP 的 ip, 而不是你的 ip. PS. 所以, 這個動作不能放在 procmail 之類後續的處理軟體中來檢查, 這樣就會造成誤判. |
|
|
|
|
已記錄
|
|
|
|
|
HaWay
|
|
« 回覆文章 #15 於: 2004-04-20 10:39 » |
|
喔!~ twu2 解釋的太清楚了~又學了一招!~感謝!
|
|
|
|
|
已記錄
|
|
|
|
|
jarrycho
|
|
« 回覆文章 #16 於: 2004-04-20 14:23 » |
|
那~請問大大的意思是不是指說,如果該使用者是用ISP 所提供的線路上 網,在MAIL 要RELAY 的時候是不會出現dynamic.XXX.net 這樣了嘍! 這樣的話我們在access 所擋的是屬於「被抓中繼」且解析出來的名稱是 dynamic.xxx.net 之類的囉!?  |
|
|
|
|
已記錄
|
|
|
|
|
netman
|
|
« 回覆文章 #17 於: 2004-04-20 15:28 » |
|
這樣說好了:
你的機器是 a ,isp 的 smtp 是 b ,收信方是 c ...
若 a -> c 的話,對方就查 a ...
若 a -> b -> c 的話:b 查 a ,c 查 b ...
|
|
|
|
|
已記錄
|
|
|
|
|
HaWay
|
|
« 回覆文章 #18 於: 2004-04-20 20:12 » |
|
這樣說好了:
你的機器是 a ,isp 的 smtp 是 b ,收信方是 c ...
若 a -> c 的話,對方就查 a ...
若 a -> b -> c 的話:b 查 a ,c 查 b ... 我在請問一個問題,看我的觀念對不對, a : dynamic ip , b = isp , c = 目的 a -> b -> c 1. c 的寄件者還是 xxx.dynamic.xxx.net ? 2. 若動態IP過濾規則在 b 的 main.cf 中會阻擋 a -> b 這段 若濾信規則在 c 的 procmail 中則不論 a -> c or b -> c 都會被檔下來? 是這樣嗎?謝謝! -- 想到阻擋動態 IP 就賭爛,治標不治本。 唉!~誰叫我是動態 IP 呢~ |
|
|
|
|
已記錄
|
|
|
|
|
twu2
|
|
« 回覆文章 #19 於: 2004-04-20 21:52 » |
|
1. c 收到的信件會有一段 Received: 是有關 xxx.dyanmic.xxx 的. 至於寄件者, 原本是什麼就會是什麼.
2. 沒錯. 但是對於 ISP 來說, 應該不會擋自己管轄的 xxx.dynamic.xxx.
|
|
|
|
|
已記錄
|
|
|
|
|
netman
|
|
« 回覆文章 #20 於: 2004-04-20 23:51 » |
|
2. 若動態IP過濾規則在 b 的 main.cf 中會阻擋 a -> b 這段
若濾信規則在 c 的 procmail 中則不論 a -> c or b
-> c
都會被檔下來? 是這樣嗎?謝謝!
不會,因為若 是 b->c , c 只查 b ,不查 a ... |
|
|
|
|
已記錄
|
|
|
|
|
HaWay
|
|
« 回覆文章 #21 於: 2004-04-21 00:14 » |
|
2. 沒錯. 但是對於 ISP 來說, 應該不會擋自己管轄的 xxx.dynamic.xxx.
不會,因為若 是 b->c , c 只查 b ,不查 a ...
sorry 關於第二點,我有點被搞糊塗了!~ twu2 學長的意思因該是說: 阻擋 dynamic ip 的規則若是放在 b 的 main.cf 中會阻擋 a -> b 因為是判斷連線型態,及所謂的 dynamic ip. 阻擋 dynamic ip 的規則若是放在 c 的 procmail 中, 不論 a -> b -> c 或是 a -> b 或 b -> c 會因為是判斷信件表頭, 所以全部都檔掉。 netman 學長的意思是說: 不會被檔掉,因為 c 只查 b 提供的資料(連線型態) :roll:? 還是我搞混了? |
|
|
|
|
已記錄
|
|
|
|
|
netman
|
|
« 回覆文章 #22 於: 2004-04-21 00:22 » |
|
嗯?twu2 大大不是早已指出: 那個檢查是對連線的 ip 做反解後來檢查, 並不是檢查信件內容. header 是"內容",與 smtp connection 無關。 |
|
|
|
|
已記錄
|
|
|
|
|
chao
|
|
« 回覆文章 #23 於: 2004-04-22 01:30 » |
|
2. 若動態IP過濾規則在 b 的 main.cf 中會阻擋 a -> b 這段
若濾信規則在 c 的 procmail 中則不論 a -> c or b
-> c
都會被檔下來? 是這樣嗎?謝謝!
不會,因為若 是 b->c , c 只查 b ,不查 a ... 這種狀況若公司有裝防郵件病毒的gateway主機, 他的角色就變成b, 那c永遠查不到b之前的dynamic ip, 這種設法等於無效? 不知道有沒有方法可以判斷進來的dynamic ip是mail server而不是user上網 連線的ip ? |
|
|
|
|
已記錄
|
|
|
|
|
netman
|
|
« 回覆文章 #24 於: 2004-04-22 01:37 » |
|
那要看 b 是不是 dynamic 囉...
若不是,那麼為何你的 b 要開放給 dyanmic 的 a 來送信呢?
|
|
|
|
|
已記錄
|
|
|
|
|
chao
|
|
« 回覆文章 #25 於: 2004-04-22 01:55 » |
|
symantec有一套gateway的防毒軟體, 但只能跑win, 所以沒有擋dynamic ip機制, 才會有這個問題..
|
|
|
|
|
已記錄
|
|
|
|
|
twu2
|
|
« 回覆文章 #26 於: 2004-04-22 08:51 » |
|
1. 不要用該軟體. (可以取代的軟體那麼多, 何必一定要用那套)
2. 改用三明治的做法.
如果你一定要用該軟體, 或許可以參考一下 amavisd-new 的安裝方式, 基本上就是一種三明治的安裝方式.
client => MTA -> Mail Scaner -> MTA -> mailbox
差別只在於你的 Mail Scaner 是在別台主機上頭.
|
|
|
|
|
已記錄
|
|
|
|
jonce
可愛的小學生
文章: 6
|
|
« 回覆文章 #27 於: 2004-04-23 16:47 » |
|
請教一下:
小弟並非電腦玩家,架設sendmail只是為了可以收大型信件(無容量限制)。寄信還是使用isp的smtp server, 最近也是被xxxx@xxxx.mailserv.idv.tw 的廣告信弄的很困擾。
小弟看log發現msgid,都是XXXXX@我的mail server, 因此判斷,這些廣告信是直接連到小弟的主機來寄信的。
是否有方法可以將1. from ip不是locahost(apache/php會用到) 2. 且msgid=自己(是不是可稱為未透過其他MTA轉送)者與予DISCARD?
說半天,可能光名詞就很多誤用,希望大大們知道我在說什麼。
|
|
|
|
|
已記錄
|
|
|
|
|
James Wu
|
|
« 回覆文章 #28 於: 2004-04-23 17:30 » |
|
#vi /etc/mail/access
mailserv.idv.tw DISCARD
|
|
|
|
|
已記錄
|
|
|
|
jonce
可愛的小學生
文章: 6
|
|
« 回覆文章 #29 於: 2004-04-23 23:46 » |
|
從log看起來
這招也有效耶
謝謝啦!!James Wu 大大
|
|
|
|
|
已記錄
|
|
|
|
|
