Поддержка DSN в Postfix

> Я про личное время на прикручивание.

Полчаса в первый раз. А что?

> > В общем, тоже не плохо, наверное. Одно но.

> Никаких "но". Это грейлистинг.

Понятно.

> Опасный механизм: а) DDoS для третьего сервера -- легко,

Его по-любому легко, это раз, и не этим способом, это два: на каждое письмо проверять не надо, можно и закэшировать (точнее нужно).

> б) DDoS для тебя -- еще проще,

Аналогично предыдущему.

> в) как _твоя_ реализация проверки реагирует на 450?

Не моя, а или Валентина Нечаева или Anthony Howe. А, вообще, вопрос к месту. У Нечаева среагирует тем же самым 450, судя по набору кодов. Сейчас погляжу, где. По логике - надо после mail, но, тогда, надо 421... С другой стороны, для разбора полетов значение rcpt тоже не плохо сохранять в логах...

> Так и запишем: "не смотрел, но осуждает" ;)

Скажем "анализировал по косвенным признакам" ;-)

> Читай http://www.mvmf.org/

Тут почти уговорил. Почти - это потому, что еще надо какой-то механизм предоставлять, чтобы эти скрипты на сервер положить. У Cyrus-IMAP это уже готово. Хотя, в случае Cyrus-IMAP + Sendmail тут тоже не все гладко: если юзер сделает правило reject, отлуп имеет шанс уйти на деревню дедушке. Передачу по lmtp sendmail начинает после помещения сообщения в очередь и завершения smtp-сессии.

> > в) как _твоя_ реализация проверки реагирует на 450?

> У Нечаева среагирует тем же самым 450, судя по
> набору кодов. Сейчас погляжу, где.

Ну, в общем, не зря смотрел. И правда 450 отдается на mail. Но если задать verify_delay, то, теоретически, отдаваться должно начать на rcpt. Практически - надо багу исправить.

Что касается spf. Это далеко не лучшая штука. Она провоцирует убивание нормального почтового роутинга. Ну вот скажи, нахрена слать почту через тридевять земель через черти-где стоящий разрешенный релей, если под боком сервер провайдера ? Особый цимус - это если еще и получатель на этом же самом сервере провайдера. Просто корки. :-)

На мой взгляд http://www.ietf.org/internet-drafts/draft-stumpf-dns-mtamark-04.txt
гораздо лучше. Осталось только дождаться, когда примут. Самое интересное, я о такой штуке года три назад еще думал, только вот нужным уровнем английского не обладал (и не обладаю), чтобы такие сочинения писать, да потом еще общаться по этому поводу...

> > Я про личное время на прикручивание.

> Полчаса в первый раз. А что?

Исходя из достаточно большого количества криво настроенных серверов с qmail, я думал, что подольше... :-)

Не совсем понял мысль. Как время настройки связано с её кривизной?

> Как время настройки связано с её кривизной?

настроено криво -> настраивается долго/настраивается непонятно/не настраивается -> на настройку забили.

Как-то так.

Я почему-то считал наоборот, что быстрая настройка чаще всего
кривая. Так как обычно делается второпях, упуская второстепенные детали,
не производя необходимые тесты и т.д.

> проверять не надо, можно и закэшировать

DDoS: берем кучку серверов с верификацией, и начинаем кормить их все случайными mail from из твоего домена. Ты умрешь.

> У Нечаева среагирует тем же самым 450, судя по набору кодов.

Весело. То есть твой сервер даже не может сам себе (идентично настроенному) почту доставить. Это что, новое слово в борьбе со спамом? ;)

> У Cyrus-IMAP это уже готово.

А в чем проблема его с "быстромылом" скрестить?

> > проверять не надо, можно и закэшировать

> DDoS: берем кучку серверов с верификацией, и начинаем кормить их все случайными mail from из твоего домена. Ты умрешь.


Зачем так сложно ? :-) Можно взять кучу серверов, аналогичных t-online.de, накормить их случайными rcpt to c mail from c моим abuse, postmaster или любым другим известным E-Mail. Они меня безо всякой верификации боунсами завалят. Еще и диск засрут. А, вообще, еще есть лимиты на количество коннектов в единицу времени с отдельно взятого IP.

> > У Нечаева среагирует тем же самым 450, судя по набору кодов.

> Весело. То есть твой сервер даже не может сам себе (идентично
> настроенному) почту доставить. Это что, новое слово в борьбе со спамом? ;)

Нука, распиши алгоритм, как ты себе представляешь. :-)

> > У Cyrus-IMAP это уже готово.

> А в чем проблема его с "быстромылом" скрестить?

Для того, чтобы скрестить, qmail должен уметь LMTP... Опять же, он должен уметь поверить наличие пользователя и квоту либо непосредственно в базе цируса, либо спросив цирус.

> Нука, распиши алгоритм, как ты себе представляешь. :-)

Если primary всегда отвечает 4xx... А будет ли твой сервер верифицировать отправителя по backup MX?

> > Нука, распиши алгоритм, как ты себе представляешь. :-)

> Если primary всегда отвечает 4xx...

А зачем он всегда отвечает 4xx ? Даже если это грейлистинг, на следующую попытку-то будет уже 2. Так ? А если нет, то, значит нет.

> А будет ли твой сервер верифицировать отправителя по backup MX?

Это - место для обсуждения. :-) Я считаю, что должен. Нечаев, судя по дефолту у параметра, думает, что это не надо. Но параметр для выбора есть.

> > Если primary всегда отвечает 4xx...

> А зачем он всегда отвечает 4xx ? Даже если это грейлистинг, на
> следующую попытку-то будет уже 2. Так ? А если нет, то, значит нет.

Блин, вот так через слово писать/читать. :-)

К "А зачем он всегда отвечает 4xx ?" при чтении следует дополнять "если у него бакапа нет".

В общем, логика при отработке провеки должна быть аналогичная логике доставки. То есть, проверить надо все MX, если нет ответа 5xx.