izolacia SMTP serverov [WAS: "Dva NATy" za jednim strojem]

[Richard Willmann]

>> Z technickeho hlediska nema oddeleni zadne zvlastni opodstatneni. Takze
>> se patrne dostavame na pomerne zhave pole diskusi o "nejbezpecnejsi
>> konfiguraci siti".
>
> Mohl by i presto Richard napsat vyhody a Dan nevyhody rozdeleni mail a 
> relay
> serveru ?

s Danom sa zhodneme na tom, ze nerozpravame o vyhodach alebo nevyhodach. Ja 
si myslim (a tu sa uz asi nezhodneme :), ze existuje dobra a zla (menej 
dobra) konfiguracia.

Dovody, preco si myslim, ze izolacia je dobra, skusim vysletlit na dvoch 
prikladoch. Jeden bude o DNS a druhy o SMTP. Princip je ale v podstate 
rovnaky.

Musim ale vopred doplnit, ze izolacia nie je vzdy potrebna, v mojom 
prispevku som hovoril o ISP.

Predpokladajme, ze hovorime o firme poskytujucej internetove sluzby. ISP ma 
zakaznika, pre ktoreho prevadzkuje v ramci doplnkovych sluzieb sluzby 
elektronickej posty a s tym suvisiace sluzby prevadzky DNS pre domenu XYZ.

Zakaznik sa ale jedneho dna zle zobudi a povie si, seriem na peniaze, beriem 
domenu inam a objedna si rovnake sluzby u ineho poskytovatela napriek tomu, 
ze ISP mu ich poskytuje bud zadarmo alebo ich ma este predplatene na dalsich 
par mesiacov. Zakaznik zaroven z nejakeho dovodu neciti potrebu o svojom 
rozhodnuti informovat stareho ISP. (pochadzam ciastocne z prostredia ISP, 
tento scerar je pomerne bezny)


a) izolacia DNS

Ak ISP nema oddeleny autoritativny a caching only name server, bude svojim 
zakaznikom - a to napriek zmenenej delegacii "o poschodie vyssie" poskytovat 
informacie zo svojej zony napriek tomu, ze by uz nemal. Dosledkom moze byt 
napriklad nedorucenie emailov. Zakaznik pouzije smart relay ISP, ten sa 
opyta svojho caching only name servera a ten mu vrati (pravdepodobne) 
nespravne MX zaznamy. Maily sa sice dorucia, ale prijemca ich nikdy 
nedostane, lebo domenu si uz prestahoval k inemu poskytovatelovi a nema 
dovod kontrolovat postu na mail servri stareho poskytovatela.

Inak povedane, caching only name server ISP sa bude povazovat za autoritu 
pre danu domenu nezavisle od toho, kam je domena delegovana.


b) izolacia SMTP

Velmi podobna situacia moze nastat v pripade mailov. Opat predpokladajme, ze 
ISP ma jeden univerzalny mail server, ktory plni ulohu primary master a 
zaroven relay. Tento mail server je nakonfigurovany tak, ze maily pre domenu 
XYZ povazuje za "lokalne". Iny zakaznik ISP posle email prostrednictvom 
tohoto mail serveru a ten, namiesto toho, aby sa snazil emaily dorucit na 
vzdialeny mail server ich bud vrati alebo doruci do lokalnych mailboxov.

Rovnako moze nastat taka situacia, ze primary master sice nieje pouzivany 
ako relay ale vykonava forwarding mailov vo vlastnej rezii namiesto toho, 
aby email dorucoval cez relay. Opat existuje riziko nespravneho dorucenia 
resp. nedorucenia emailu.


V kazdom pripade postihnuty su obvykle zakaznici povodneho ISP a drzitel 
domeny.

Za poslednych par rokov som riesil velmi vela problemov suvisiacich najma s 
nedorucovanim emailov pre nasich novych zakaznikov. Castou pricinou bolo 
absencia izolacie u povodneho poskytovatela. Niekto moze namietat, ze ISP v 
tom moze mat poriadok a domeny zo zon a z mail serverov poctivo vyraduje - 
avsak ak sa to ISP nedozvie, nema dovod na konfiguracii svojich strojov nic 
upravovat.

Izolaciu je samozrejme mozne riesit na jednom stroji a kludne aj v ramci 
jedneho OS bez virtualizacie. Ja tak pomerne uspesne pouzivam viacero 
instalacii qmailu.


Tesim sa uprimne na Danov resp. akykolvek iny nazor.

pekny weekend

rwi