dotaz ohledne postfix a DNS

Jan Stary hans at stare.cz
Mon Apr 21 15:16:58 CEST 2008


> >> V DNS je okmail.oksystem.cz na adrese 193.222.130.65. Reverzni dotaz
> >> dig-em jim sice "nejak" funfuje pro obe adresy, tedy 193.222.130.1
> >> i  193.222.130.65 na jeden nazev "okmail.oksystem.cz", ale spravne by
> >> se jejich odesilaci server mel hlasit v HELO jako "ns.oksystem.cz".
> >
> > Proc?
> >   
> Protoze to je jeho skutecny nazev.
> ns.oksystem.cz.         3600    IN      A       193.222.130.1

Wass heisst "skutecny nazev"? S uplne stejnym argumentem je
jiny jeho jeho "skutecny nazev" napriklad tento:
www.oksystem.cz.	3355	IN	A	193.222.130.1

Neboli oba tyto "skutecne nazvy" (whatever that means)
jsou rovnocene. (Ktery z nich je tedy skutecny?)

$ host 193.222.130.1
1.130.222.193.in-addr.arpa domain name pointer ns.oksystem.cz.
1.130.222.193.in-addr.arpa domain name pointer www.oksystem.cz.
$ host ns.oksystem.cz.
ns.oksystem.cz has address 193.222.130.1
$ host www.oksystem.cz.
www.oksystem.cz has address 193.222.130.1


> >> Pokud je tezke to s nimi resit, jednoducha pomoc (u jednoho nebo
> >> nekolika takovych pripadu) je, ze se jejich odesilaci adresa vepise do
> >> /etc/hosts (a priradite si pro ni nazev) a v /etc/host.conf
> >> se uvede poradi - napred hosts, pak dns.
> >
> > To jako ze si do vlastniho /etc/hosts zavedu z prstu vycucana jmena pro
> > cizi severy, u nichz jejich spravce nenastavil spravne DNS?
> >   
> V mem pripade se zpocatku hlavne jednalo o zakazniky nasi firmy.
> Jejich ISP jim ale u sebe nezaregistroval jejich reverzni zaznamy,
> takze jejich server se hlasil jako "mail.example.cz", ale reverzni
> dotaz odkazoval na "neco.isp.cz". Do sveho hosts souboru jsem si tedy
> tu adresu dal jako "example.cz", abych vedel, s kym mame skutecne tu
> cest. Postfix maily zacal prijimat a v logu bylo jasno.

To je presne to, co rikam: do /etc/hosts sis vymyslel jmena
cizich serveru.

> >> Pred casem jsem si liboval, kolik spamu se povolenim kontroly DNS
> >> vyradilo, ale vzhledem ke mnozstvi problemu s takto
> >> "nedokonfigurovanymi" mailservery a telefonaty prijemcu jsem to
> >> vzdal a je klid.
> >
> > Srabe :-)
> >   
> S kazdou dalsi firmou, ktera zacne vyuzivat nase sluzby, se to opakuje
> dokola. Jejich zakaznici se rozciluji, ze jim nejde dorucit
> 'veledulezity' mail, zlobi se ten, komu mail neprisel (zrovna nejaky
> vedouci pracovnik) a treba zrovna jsem v jine firme a nemohu ihned
> reagovat. Vsadil jsem radeji na serii jinych kriterii, ktera postfix
> kontroluje, diky nimz spam projde velmi vzacne. Pritom tyhle
> telefonicke diskuse zcela odpadly a muzu se lip soustredit na to, zac
> me plati.

Pokud takove nastaveni to splnuje _Tvoje_ pozadavky, nic proti tomu.
Nicmene to, ze prijimas mail i ze serveru s rozbitym DNS, ma pro
spammery jistou atraktivitu, napriklad.

> >> Po techto zkusenostech doporucuji kontrolu reverznich zaznamu
> >> vypnout. Vase stroje se pak trochu vic "nadrou", ale od toho tady
> >> koneckoncu jsou :-)
> >
> > Tim, ze server nejakou kontrolu _neprovadi_, se vic nadre?
> >   
> Musi tim padem vice mailu, ktere prijme (a drive odmitnul) testovat
> nakladnejsim zpusobem, napr. testovat jejich obsah po prijeti, event.
> poslat zpravu o nedoruceni atd.

Jo takhle, to jo; mene sitove prace, vice lokalni prace.

> Mnohem jednodussi a mene nakladne je
> otestovat, co se otestovat da, jeste PRED prijmutim mailu.

Dalsi duvod, proc tu kontrolu provadet. (IMHO, YMMV, etc.)


> unknown[193.222.130.1]: 450 Client host rejected: cannot find your 
> hostname, [193.222.130.1]; from=<nejakejpan at oksystem.cz> 
> to=<kemenaserver at keytec.cz> proto=ESMTP helo=<okmail.oksystem.cz>
> 
> Pochopil jsem to cele tak, ze "ns.oksystem.cz" je v DNS radne 
> registrovan dopredne, ale ne zpetne.
> ns.oksystem.cz.         3600    IN      A       193.222.130.1
> 
> # dig -x 193.222.130.1
> 1.130.222.193.in-addr.arpa. 3600 IN     PTR     okmail.oksystem.cz.
> 
> Kdyz tedy zpetny dotaz vrati to "spravne" jmeno, kterym se server
> hlasi, a prece se to postfixu nelibi, nenapadlo me nic jineho, nez
> zkusit pouzit jeho skutecne jmeno.

To je divne:

	Client host rejected: cannot find your hostname, [193.222.130.1]

znamena, ze postfixu se _nepodarilo_ zpetne vyresolvovat to, co Tobe/digu ano.

> > 	To je cele. Pravdepodobna chyba je to prvni - ve skutecnnosti dotycny 
> > spravce nechce, aby se 193.222.130.1 jmenovala okmail.oksystem.cz, 
> > protoze to je jiny stroj poskytujici jine sluzby (a neni tedy se strojem 
> > na adrese 193.222.130.65 zamenny).
> >   
> Pak by bylo lepsi, aby oksystem pouzival svuj prijimaci server i k 
> odesilani.

Vsak pouziva (pokud jsem to dobre pochopil) - ma dve adresy, z jedne
odesila, a na druhe prijima. Pokud maji obe tyto adresy validni DNS
zaznam tam a zpatky (a MX miri na tu spravnou), pak je to zcela
v poradku.

(Cimz netvrdim, ze je to tak lepsi, to je jejich vec).

> >> vzhledem ke mnozstvi problemu s takto "nedokonfigurovanymi"
> >> mailservery a telefonaty prijemcu jsem to vzdal a je klid. Po
> >> techto zkusenostech doporucuji kontrolu reverznich zaznamu vypnout.
> >
> > 	No, tak ja zase ne. Chybne nakonfigurovanych nameserveru je pomerne 
> > malo a kdyz uz se takovy najde, vetsinou staci jeden mail jeho spravci, 
> > ktery chybu opravi. Nema ji tam totiz zamerne a nakonec je rad, ze ho 
> > nekdo upozornil. Jde o jeden az dva pripady mesicne.
> >   
> V nekterych pripadech se zadne zmeny nedovolate. Adresa uvedena v SOA
> zaznamu proste neexistuje. Take jsem se u jedne velke ceske firmy
> nedomluvil, protoze jejich spravce DNS nereflektoval na specificke
> potreby jedne z firem, kterym spravuji postovni server.

(To uz je problem trochu odjinud: jedna velka ceska firma nedokaze
dokopat sveho admina, aby jim spravne nastavil DNS ...)

	H.




More information about the Users-l mailing list