Sendmail 8.13.0

> у нас, еще до меня и при количестве юзеров ~3000, такая попытка окончилась появлением кучи жалоб.

oops, а теперь задумайся, почему такая попытка вообще была предпринята ;)

>> 2. Человечий интерфейс к фильтрам _не_ после окончательного приема >сообщений. > >Стоп. А кто там упоминал RFC 3028? И что там говорится "_не_ после"? >This document describes a language for filtering e-mail messages at >time of ___final___ delivery.

Не надо тормозить. До ответа о принятии (message accepted for delivery). Так понятнее?

>Да потому, что нет в суньмэйле нормальных средств для работы с большим
>количеством юзверей ;)

Ну..ну... У меня popa3d+LDAP как тогда работает? Cyris IMAP мне даже
не понадобился, достаточно было почитать доку по sendmail, что бы понять,
что к нему можно прикрутить все, что угодно без вмешательства в
исходники...

фильтруй не фильтруй, а результат известен. Отрубить сообщение до приема можно только на уровне tcp. В суньмэйле этим занимается сам МТА (!) как в этом случае отрегулировать задержку ответа блокированному хосту или время блокировки ? Наверное тока через .cf файл ж)

> Ну..ну... У меня popa3d+LDAP как тогда работает?

Ну, да, попа... ну и что? Ты ваще покури пока в сторонке. Тут речь идёт
о настройках под десятки тысяч пользователей. Не надо пока про свою
песочницу, тем более, что слышали мы про неё уже много раз ;)

> Не надо тормозить. До ответа о принятии

Нет, позвольте, позвольте... Назвались груздём, лезте в кузов ;)
Сначала, значит, кидаемся RFC, а затем вдруг резко сворачиваем...
А RFC читать надо, прежде чем ссылаться на них ;)

А теперь про пресловутые "до ответа о принятии". Здесь тоже надо бы
уточнить для аудитории, так сказать, что мы будем проверять до ответа
о принятии? RFC822-заголовки или всё письмо? Если первое, то для qmail
оно реализуется разными путями, смотря что нужно. Начиная от встроенного
badmailform и rblsmtpd, кончая установкой mailfront:
http://untroubled.org/mailfront/
Если второе, то смысл "ответ до принятия" теряется, по крайней мере в
смысле затраченного трафика ;)

Запутался я в анонимусах. :-)

> Нет, позвольте, позвольте... Назвались груздём, лезте в кузов ;)
> Сначала, значит, кидаемся RFC, а затем вдруг резко сворачиваем...
> А RFC читать надо, прежде чем ссылаться на них ;)

RFC - это про мое упоминание sieve ? Если да, то оно к фильтрации на этапе smtp-сессии отношения не имеет. Это уже исключительно для сортировки по imap-фодерам. Ну да, там тоже отстрел может делаться, но это не основное, это уже ушедший поезд.

> А теперь про пресловутые "до ответа о принятии". Здесь тоже надо
> бы уточнить для аудитории, так сказать, что мы будем проверять до
> ответа о принятии?

Уточнить можно...

> RFC822-заголовки или всё письмо? <skip> Если второе, то смысл
> "ответ до принятия" теряется, по крайней мере в смысле
> затраченного трафика ;)

Хм. По барабану, на самом деле. Действительно, по барабану. RFC822 header и само письмо идут уже после DATA и принято должно быть все,
даже если тебе не понравился header.

Принять решение без приема основного трафика ты можешь до DATA. На этапе установления соединения, на этапе передачи helo, mail from, rcpt to. Но хидера сообщения тут не будет. Можно принять решение и
после DATA, это будет еще в пределах smtp-сессии, но это уже не
будет явной экономией трафика, хотя будет косвенная выгода. И, иногда,
совсем не маленькая. Например, отлуп по наличию вируса. В случае,
если ты вирусняк принял, ты отправителя и/или администратора сервера
отправителя не уведомишь без определенного гимора, а 5xx после DATA
по наличию вируса перекладывает все проблемы на передающий хост.
Все эти возможности дает у sendmail milter. Прикрутить туда можно
что угодно.

Просто для расширения личного кругозора вопрос: у какого-нибудь MTA
есть собственный или сторонний фильтр, обеспечивающий функционал
http://www.snert.com/Software/milter-sender/
?

>> у нас, еще до меня и при количестве юзеров ~3000, такая попытка
>> окончилась появлением кучи жалоб.

> oops, а теперь задумайся, почему такая попытка вообще была
> предпринята ;)

По неопытности. :-) Был нарушен без должной мотивации главный принцип: работает - не трогай. ;-)

> Да потому, что нет в суньмэйле нормальных средств для работы
> с большим количеством юзверей ;)

Нда... Вот где бардак... :-) Дело MTA - почту доставлять. Спросить
где-нибудь, есть ли такой локальный юзер - это максимум, что должен
уметь MTA.

> косвенная выгода. И, иногда,
совсем не маленькая. Например, отлуп по наличию вируса. В случае,
если ты вирусняк принял, ты отправителя и/или администратора сервера
отправителя не уведомишь без определенного гимора

О, ещё один... И где вы берёте такую траву? Где написано, что кто-то
кого-то должен уведомлять о вирусах??? Что за пионерский бред?

> Просто для расширения личного кругозора вопрос: у какого-нибудь MTA

Просто для расширения личного кругозора ответ: для обработки вирусной
почты есть специализированные антивирусные средства ;) Какую роль там
играет твой мильтер - тока одному богу известно.

> Дело MTA - почту доставлять.

Дай определение понятию "доставлять". И как он не соответствует понятию
"работа с большим количеством юзеров"...

> идут уже после DATA и принято должно быть все

Где написано, что "должно"? Зачитай этот момент из rfc. Опять перекурил?

> По неопытности. :-) Был нарушен без должной мотивации главный принцип: работает - не трогай. ;-)

Ай, врёшь. Не бывает такого, чтоб всё устраивало и вдруг начали менять,
да ещё на трёх тысячах юзверей. Никогда не поверю.

> О, ещё один... И где вы берёте такую траву? Где написано, что
> кто-то кого-то должен уведомлять о вирусах??? Что за пионерский
> бред?

А ты предлагаешь молча их в /dev/null принимать ? Ну-ну. Кушай
трафик дальше. Заметь только, я не предлагаю отсысать уведомление
по хрен знает какому адресу из mail from, я предлагаю дать отлуп
отправителю с причиной "найден вирус".

И если ты не в курсе, данная возможность уже присутствует в более-менее нормальных антивирусах. А, ты нормальными MTA, которые
этой возможностью воспользоваться могут, не пользуешься ? ;-)


>> Просто для расширения личного кругозора вопрос: у какого-нибудь
>> MTA

> Просто для расширения личного кругозора ответ: для обработки
> вирусной почты есть специализированные антивирусные средства ;)

М-м-м... Сходи по ссыке, а ? Найдешь там слово virus, получишь 5+ :-)

> Какую роль там играет твой мильтер - тока одному богу известно.

Но на это отвечу. Мильтер играет роль самую прямую. Антивирус - тот
же фильтр для почты. И он, так же, как и все остальное, может быть
подключен к sendmail через этот интерфейс.

> Ну-ну. Кушай трафик дальше.

Правда? Ты крут? Определяешь сигнатуру вируса по ``mail from'' или где?

> данная возможность уже присутствует в более-менее нормальных антивирусах. А, ты нормальными MTA, которые этой возможностью
воспользоваться могут, не пользуешься ? ;-)

Сначала покажи мне нормальный антивирус, определяющий вирусы по mail from без просмотра тела письма ;)

> М-м-м... Сходи по ссыке, а ? Найдешь там слово virus, получишь 5+ :-)

Нет, не получу. Обшибся s/virus/spam/
Остальное в силе.

> фильтр для почты. И он, так же, как и все остальное, может быть
подключен к sendmail через этот интерфейс.

А устройство qmail такого, что он изначально предусматривал работу с
фильтрами, причём на любой стадии обработки письма. И дальше что?
И интерфейс простейший - unix pipe ;)

>> идут уже после DATA и принято должно быть все

> Где написано, что "должно"? Зачитай этот момент из rfc. Опять
> перекурил?

О как. RFC 2821 иди читай. Про транзакции - пункт 3.3. Передающий сервер не будет ожидать от тебя ответа, пока не отдаст строку с точкой. Только тогда ты можешь что-нибудь ответить. Так что, если
ты на DATA сказал 354, до <CRLF>.<CRLF> ты попадаешь на трафик.
А разрывать TCP-соединение, как тут кто-то из анонимусов предложил,
так за это канделябром и в вечный блеклист.

>> Ну-ну. Кушай трафик дальше.

> Правда? Ты крут? Определяешь сигнатуру вируса по ``mail from''
> или где?

Или где. Надежда на то, что постмастер отправителя, все-таки, ловит дабл-боунс и принимает меры. Правда, это не работает в случае
вируcняков, идущих директом с зараженных диалапов, но тут другие
принципы борьбы есть.

> Нет, не получу. Обшибся s/virus/spam/
> Остальное в силе.

А вот предполагать с достаточной степенью вероятность, что сообщение
является спамом, вполне можно по IP, helo, mail from и rcpt to. Чем,
собственно, упомянутый milter-sender и занимается. Что примечательно,
побочным эффектом является и снижение вирусного трафика - к примеру,
частенько какой-то вирус в качестве helo ip или имя хоста сервера получателя отдает. Естественно, он срезается, как спам, еще до
проверки на вирус.

> А устройство qmail такого, что он изначально предусматривал работу
> с фильтрами, причём на любой стадии обработки письма. И дальше что?
> И интерфейс простейший - unix pipe ;)

Интерфейс хороший. Но как тот фильтр влияет на smtp-сессию ? Обратный
пайп к MTA открывает ? Не знаю уж, как qmail, но Postfix в таком
варианте вынужден письмо принять, а уж потом что-то с ним делать.

2AS: )) Вы это... от темы типа так незаметно отошли... В дебри рфц полезли... Таки Вы нам отвечайте, когда Вас спрашивают, SM стал стабилен, и излечился от своей дырявости? )))

PS. Sendmail only for ASs )

>Ну, да, попа... ну и что? Ты ваще покури пока в сторонке. Тут речь идёт
>о настройках под десятки тысяч пользователей. Не надо пока про свою
>песочницу, тем более, что слышали мы про неё уже много раз ;)

Каждый раз слышу от всяких 3.14здунов про десятки тысяч пользователей,
мальчик, у тебя все эти пользователи на одном сервере что ли? Не смеши
мои тапочки, съешь песочку и не вылазь:), а на досуге почитай про LDAP,
и про то, что почтовый сервер может быть не один, а очень много....

_единственный_ достоверный параметр письма - IP отправителя, отсюда вывод - лучший фильтр rblsmtp. А попытки что-то там анализировать в заголовках очень даже развлекают спамеров и веселят биллинг провайдеров.

> Вы это... от темы типа так незаметно отошли... В дебри рфц полезли...

Я полез ? Это меня вынудили прописные истины цитировать. :-)

> Таки Вы нам отвечайте, когда Вас спрашивают, SM стал стабилен,

Я в принципе не помню, чтобы SM вел себя нестабильно. Да, временами
там что-то где-то пишут. Но я ни разу не видел, чтобы он упал там,
где я это могу увидеть своими глазами. Даже когда пол-системы уже раком стоит по каким-либо причинам, он работает. Максимум - перестает
отвечать на запросы в соответствии с заданными в конфиге значениями
LA.

> и излечился от своей дырявости? )))

Я не вижу, чтобы на текущем этапе он был существенно более дыряв,
все остальные. При этом, функционально он пока богаче.

> _единственный_ достоверный параметр письма - IP отправителя, отсюда вывод - лучший фильтр rblsmtp

Самостоятельно вести ? Это для монстров. Готовым пользоваться ? А
каким ? Вот попадет туда какой-нибудь mtu, и будешь потом
пользователям доказывать, что верблюд не ты. Проходили уже.

spamcop, dsbl , sorbs. Есть два сервера - с полным обрезанием и без него. И есть устойчивая тенденция переползания юзеров на сервер с обрезанием.

> spamcop,

есть проблемы. Они сами не рекомендуют динамический блэк-лист к использованию.

> dsbl ,

Не пользовался.

> sorbs.

Могут идти лесом: у них две наших сетки как диалп значатся. Они
давно не диалап. Пытался как-то порядок навести, эти убрать,
кое-какие новые добавить - ни ответа, ни привета.

> Есть два сервера - с полным обрезанием и без него. И есть
> устойчивая тенденция переползания юзеров на сервер с обрезанием.

Это да, нормальный подход, когда юзер сам добровольно под фильтр
влезает и представляет, какие это может вызвать проблемы, если вдруг
где что.

> Самостоятельно вести ? Это для монстров.

Я вёл самостоятельно. Не умер. Есть вариант - использование geoip.
К примеру, юзер в интерфейсе помечает: разрещить приём только из
ru,ua,kz, а остальных под нож. Или: разрешить всех кроме ASIA.

> мальчик, у тебя все эти пользователи на одном сервере что ли?

Да, да, да-да-да, да-да-да-да, да-да, девочка, все 25 тысяч на одном
сервере. Правда, второй стоит на подхвате с зеркальной копией первого.
Так называемый High Availability, Failover protection. Вопросы, просьбы,
предложения, жалобы будут?

>Да, да, да-да-да, да-да-да-да, да-да, девочка, все 25 тысяч на одном
>сервере. Правда, второй стоит на подхвате с зеркальной копией первого.
>Так называемый High Availability, Failover protection. Вопросы, просьбы,
>предложения, жалобы будут?

Т.е., у тебя мальчик не распределенная система и когда все это грохнется,
ты станешь девочкой:)....

>>Так называемый High Availability, Failover protection.
>>Вопросы, просьбы, предложения, жалобы будут?

>Т.е., у тебя мальчик не распределенная система и когда все
>это грохнется, ты станешь девочкой:)....

Да нет, если у него там нормальное подобие HA-кластера сделано, завалить
это не сильно просто... А от дурных рук а-ля rm -f / никакое распределение не спасет - это разом везде можно сделать...