2006年4月14日

[postfix-jp: 1954] Re: reject_unknown_client

In message <20060414152553.A148.SATOH0@xxxxx>
on Fri, 14 Apr 2006 15:39:34 +0900,
SATOH Kiyoshi wrote:
> と、いうことなので、単にRCPT TO処理後にrejectするということをしたいので
> あれば、これでも良いのではないかと思います。
>  実際、どのタイミングで拒否させるかが意味を持つこともありますので。
なるほど。

> Postfix設定パラメータ
> http://www.kobitosan.net/postfix/trans-2.2/jhtml/postconf.5.html
>
> reject_unknown_client
> クライアントのIPアドレスがDNSにPTR (アドレスから名前への) レコードを持た
> ない場合や、その PTR レコードがマッチする A (名前からアドレスへ) レコー
> ドを持たない場合に、要求を拒否します。
>
>  とあるので、CNAME返す場合だと unknown_client として処理されるのかと思っ
> たのですが、CNAME返す場合でもそうならない場合があるのでしょうか。
この辺りはresolver的な実装に依存すると思いますが、CNAMEが返されたなら、
その指し示す*本名*まで調べるべきでしょう。

実際、Postfixの実装がどうなっているかまでは、見ていませんが。

また、確かに最近の新しめのPostfixで、逆引きと言わずMXを調べるような段
階で問い合わせに失敗しているケースがあるのも少し気になります。

(いい意味で、不用意にrecursiveなネームサーバが減っていることによる副作
用とかいうこともなさそうですし。)

> > 「DNSが引けない状態」に対して一時的なエラーより厳しい処理、永続的な
> > エラーとしてはいけません。
> > いずれにしろ、SMTPクライアントの逆引きができないだけで、拒否することは
> > お勧めできません。
>
>  reject_unknown_client はあまり使わないほうが良い、というところには同意
> です。
>  でもじゃあなんであるの?という疑問が出そうな気が。
そういった問題点を「すべて承知の上」と納得しても使いたい人がいるからで
しょう。:-)

実は私も一時、承知の上と構えたときもありますが、承知できないと思い直し
ました。対外的よりも、対内的にDNSに登録されていないホストからは使わせ
たくない、といった用途向きな気もします。

--
神戸 隆博 / Takahiro Kambe
_______________________________________________
Postfix-jp-list mailing list
Postfix-jp-list@xxxxx
http://lists.sourceforge.jp/mailman/listinfo/postfix-jp-list

投稿者 xml-rpc : 2006年4月14日 21:00
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/34878
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。