作者 主題: postfix 反查ip能力很弱 ? client=unknown / reject_unknown_client 還能用嗎  (閱讀 8719 次)

0 會員 與 1 訪客 正在閱讀本文。

lmp

  • 懷疑的國中生
  • **
  • 文章數: 50
    • 檢視個人資料
看了log 很多postfix 在 log都顯示unknown 在acceess有設定的 怎麼設都擋不掉這種

例子在三樓

請問學長要如何增加postfix的反查能力或是那裡設定有誤呢? (好像沒有地方可設定?)
還是學長們也是這樣覺得?..@@
« 上次編輯: 2008-09-26 13:06 由 lmp »

pippeng

  • 活潑的大學生
  • ***
  • 文章數: 329
  • 性別: 男
    • 檢視個人資料
    • IT Ranger
回覆: postfix 反查ip能力很弱 ? client=unknown
« 回覆 #1 於: 2008-09-26 12:16 »
你覺得217.172.144.61.broad.sz.gd.dynamic.163data.com.cn.是正確的嗎??

那你沒事去檢查對方的FQDN做什麼

依照你的想法,你根本不需要檢查FQDN

因為所有的IP對你而言都是合法的
用心用心再用心

lmp

  • 懷疑的國中生
  • **
  • 文章數: 50
    • 檢視個人資料
回覆: postfix 反查ip能力很弱 ? client=unknown
« 回覆 #2 於: 2008-09-26 12:38 »
sorry 或許舉得例子不對(用法也不對)
..
但是依實際操作 reject_unknown_client 的確會擋掉不少 正常且有反解的信



OK 剛又抓到一筆

Sep 26 12:56:25  postfix/smtpd[51664]: connect from unknown[211.232.88.147]
Sep 26 12:56:27  postfix/smtpd[51664]: 97EFE9BA0A: client=unknown[211.232.88.147]


Sep 26 13:07:06 ms3 postfix/smtpd[53207]: connect from unknown[117.86.84.56]
Sep 26 13:07:08 ms3 postfix/smtpd[53207]: 21F999B422: client=unknown[117.86.84.56]


這個確定是有反解的

147.88.232.211.in-addr.arpa     name = 211-232-88-147.nexg.net
56.84.86.117.in-addr.arpa       name = 56.84.86.117.broad.nt.js.dynamic.163data.
com.cn

如果今天postfix 於第一時間解不出反解,或是檢查不確實 (或是還有其他的pulgin ?)
我們要怎麼把access 設定裡相關的處理可以在進來的第一時間內處理呢?
在這個前提下,還能相信使用reject_unknown_client 這個參數嗎?

學弟想問的只是這樣
« 上次編輯: 2008-09-26 13:11 由 lmp »

pippeng

  • 活潑的大學生
  • ***
  • 文章數: 329
  • 性別: 男
    • 檢視個人資料
    • IT Ranger
還是一樣
你列出來的log上的IP都是浮動IP
這些本來就是unknownhost阿
他們都沒有合法的FQDN

你要清楚知道reject_unknown_client是在做什麼
確認這是你需要的嗎??

reject_unknown_client就是不允許smtp client的IP沒有合法的FQDN
設定這個之後,應該除了在你公司內部網路的人能寄信外(mynetworks or FQDN),其他地方應該都很難寄
例如你在你家用ADSL就無法寄信了
用心用心再用心

lmp

  • 懷疑的國中生
  • **
  • 文章數: 50
    • 檢視個人資料
???
試問甚麼是合法的FQDN ? 沒有定義吧 ,這個也不是重點
重點是明明有 fqdn 的ip  , postfix 解不出來顯示unknown
然後有使用 reject_unknown_client 就會予以踢出

當然以上例子或許是認知中的浮動IP

試問 有正確固定IP 的mail server確也會發生postfix 認為是unknown的情況 (連以上例子都抓不出了,難到postfix會自動把全世界的浮動ip都解成unknown ?)
以上只是隨機舉例

postfix 反查ip能力有問題導致 reject_unknown_client 會發生誤擋情事 (這也是網路上常教人擋spam的基本設定)

只是討論這個問題
« 上次編輯: 2008-09-26 13:45 由 lmp »

pippeng

  • 活潑的大學生
  • ***
  • 文章數: 329
  • 性別: 男
    • 檢視個人資料
    • IT Ranger
???
試問甚麼是合法的FQDN ? 沒有定義吧 ,這個也不是重點
重點是明明有 fqdn 的ip  , postfix 解不出來顯示unknown
然後有使用 reject_unknown_client 就會予以踢出

當然以上例子或許是認知中的浮動IP

試問 有正確固定IP 的mail server確也會發生postfix 認為是unknown的情況 (連以上例子都抓不出了,難到postfix會自動把全世界的浮動ip都解成unknown ?)
以上只是隨機舉例

postfix 反查ip能力有問題導致 reject_unknown_client 會發生誤擋情事 (這也是網路上常教人擋spam的基本設定)

只是討論這個問題

人阿
不會沒關係
但不要自己亂定義再希望別人用你的定義來回答你

這就像我說1+1=2
你卻說1+1=2是沒有定義的
你自己的1+1=3才是真正的定義

先搞清楚什麼是
1.合法的FQDN
2.reject_unknown_client

再來談吧
用心用心再用心

蜜蜂

  • 活潑的大學生
  • ***
  • 文章數: 277
  • 性別: 男
    • 檢視個人資料
就樓主的需求, 就是要想辦法改善 DNS query 的問題.
DNS query 有 default 的 timeout 值, 請先釐清問題.
1. 是遠端 DNS 回應慢 ?
2. 近端 DNS 回應慢 ?

如果 DNS 回應就是慢, 要怎麼調高 DNS query timeout 值, 但又不造成 SMTP 的 timeout.

lmp

  • 懷疑的國中生
  • **
  • 文章數: 50
    • 檢視個人資料
感謝樓上學長

因為現在拿一台機器測試負荷不大,三四個帳號專收垃圾信測試 , 應不至於有query time out的情形
其實一直很好奇為甚麼postfix log裡常常是unknown client ,正反解都是正常的

reject_unknown_client
Reject when the client hostname is unknown. The unknown_client_reject_code parameter specifies the response code to rejected requests (default: 450).
« 上次編輯: 2008-09-26 14:12 由 lmp »

SaPow

  • 榮譽博士
  • 鑽研的研究生
  • *****
  • 文章數: 509
    • 檢視個人資料

我用猜測的..有錯請小鞭

樓主可能是認為 reject_unknown_client 設定了, 只要是IP能被反解就不應該算是 unknown client

但是事實上我認為 reject_unknown_client 是先將IP反解後初步得到兩個結果:
 A. 反解查詢不到 ->unknown client ( reject_unknown_client 生效 )
 B. 反解查詢到後將傳回值再正解一次驗證是否為合法 FQDN:
   b1. 合法 FQDN ( PASS )
   b2. 查詢不到 ( reject_unknown_client 生效 )

你可以把你抓到的那幾筆套進來驗證看看..


lmp

  • 懷疑的國中生
  • **
  • 文章數: 50
    • 檢視個人資料
感謝學長 下次若有誤判的情況下 我會再特別注意 有 "合法FQDN" 的例子...

SaPow

  • 榮譽博士
  • 鑽研的研究生
  • *****
  • 文章數: 509
    • 檢視個人資料

若你看得懂 c 你可以下載原始碼看他運作原理
postfix-2.0.20\src\smtpd\smtpd_chat.c

若看不懂 c ,英文還OK的話就看他註解...


都不行的話就只能跟我一樣用猜的了瞜 ;D


pippeng

  • 活潑的大學生
  • ***
  • 文章數: 329
  • 性別: 男
    • 檢視個人資料
    • IT Ranger

http://www.postfix.org/uce.html

Restrictions:

reject_unknown_client
    Reject the request when the client IP address has no PTR (address to name) record in the DNS, or when the PTR record does not have a matching A (name to address) record. The unknown_client_reject_code parameter specifies the response code to rejected requests (default: 450).
用心用心再用心

lmp

  • 懷疑的國中生
  • **
  • 文章數: 50
    • 檢視個人資料
謝學長指引..

所以 unknown_client 有可能因為正反解不一樣而reject嗎?
client IP address has no PTR (address to name) record in the DNS, or when the PTR record does not have a matching A (name to address) record

沒有反解 或是 反解跟正解不符... @@

請教對多網域代管主機業者來說有可能會予以拒絕是嗎?

pippeng

  • 活潑的大學生
  • ***
  • 文章數: 329
  • 性別: 男
    • 檢視個人資料
    • IT Ranger

請教對多網域代管主機業者來說有可能會予以拒絕是嗎?
這條規則是for Client的不是for Server
不管你主機放哪裡
還是要看Client的PTR

我個人認為增加這條規則是缺點多於優點
有這條就可以了
reject_unknown_sender_domain
用心用心再用心

lmp

  • 懷疑的國中生
  • **
  • 文章數: 50
    • 檢視個人資料
個人以為 如果在 postfix 這部份能做到比較彈性的 client 檢測 ,不應限死在一條rule

client 正常就應是發信端的smtp server 能做到基本 需有一樣的正反解及合法fqdn
應該可以拒絕一些"異常連線"來源

(先前有誤解正反解要跟email 的domain一樣才會pass)

當然check sender domain是必要的,可是垃圾信現在都是假借已存在的email address,倒楣的只是被借用的user
« 上次編輯: 2008-09-26 17:34 由 lmp »

harrier

  • 榮譽博士
  • 俺是博士!
  • *****
  • 文章數: 1856
  • 性別: 男
    • 檢視個人資料
    • 國屬武裝兵
???
試問甚麼是合法的FQDN ? 沒有定義吧 ,這個也不是重點

......
頗無言的...

http://en.wikipedia.org/wiki/FQDN
有定義...

這是重點之一...

垃圾郵件是越來越複雜...
postfix 的角色是 MTA,不是 AntiSPAM...

你的目的若是減少/杜絕 SPAM,請尋找 AntiSPAM 的解決方案。
...90Net(90:1200/1203),GameNET(99:700/707),ALLNet(92:9200/3111),InfoNet(30:100/103)..MaximusCBCS(浮懷),AirNet,TenderNet,StormNet,FidoNet...
<<- www.nas.vg ->>