abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
eParkomat, startup z ČR, postoupil mezi finalisty evropského akcelerátoru ChallengeUp!
Robot na pivo mu otevřel dveře k opravdovému byznysu
Internet věcí: Propojený svět? Už se to blíží...
dnes 17:02 | Pozvánky

Přijďte si popovídat o open source obecně a openSUSE konkrétně s dalšími uživateli a vývojáři. Oslava nového vydání openSUSE Leap se uskuteční 16. prosince od 17:00 v nových prostorách firmy SUSE v Praze. K dispozici bude nějaké občerstvení a DVD pro ty, kdo je sbírají nebo ještě mají mechaniku. Po párty v kanceláři se bude pokračovat v některé z hospod v okolí.

Miška | Komentářů: 1
dnes 14:55 | Zajímavý software

Byla vydána verze Alpha 1.0 otevřeného operačního systému pro chytré hodinky AsteroidOS. Podporovány jsou hodinky LG G Watch, LG G Watch Urbane, Asus ZenWatch 2 a Sony Smartwatch 3. Ukázka ovládání hodinek na YouTube. Jaroslav Řezník přednášel o AsteroidOS na chytrých hodinkách (videozáznam) na letošní konferenci OpenAlt.

Ladislav Hagara | Komentářů: 0
dnes 13:30 | Zajímavý software

Byly uvolněny zdrojové kódy známé rogue-like hry DoomRL. Počátky hry jsou v roce 2002. Je napsána ve FreePascalu a zdrojový kód je nyní k dispozici na GitHubu pod licencí GNU GPL 2.0. Autor pracuje na nové hře Jupiter Hell, která je moderním nástupcem DoomRL a na jejíž vývoj shání peníze prostřednictvím Kickstarteru.

Blaazen | Komentářů: 0
dnes 13:15 | Pozvánky

Přijďte s námi oslavit vydání Fedory 25. Na programu budou přednášky o novinkách, diskuse, neřízený networking atd. Release Party se bude konat 16. prosince v prostorách společnosti Etnetera. Na party budou volně k dispozici také propagační materiály, nová DVD s Fedorou 25 a samozřejmě občerstvení. Přednášky budou probíhat v češtině. Pro více informací se můžete podívat na web MojeFedora.cz. Jen připomínám, že tentokrát jsme zavedli

… více »
frantisekz | Komentářů: 0
včera 16:38 | Komunita

Byly zveřejněny videozáznamy přednášek a workshopů z letošní konference OpenAlt konané 5. a 6. listopadu v Brně. K videozáznamům lze přistupovat ze stránky na SuperLectures nebo přes program konference, detaily o vybrané přednášce nebo workshopu a dále kliknutím na ikonku filmového pásu. Celkově bylo zpracováno 65 hodin z 89 přednášek a workshopů.

Ladislav Hagara | Komentářů: 0
včera 11:30 | Komunita

Bylo oznámeno, že bude proveden bezpečnostní audit zdrojových kódů open source softwaru pro implementaci virtuálních privátních sítí OpenVPN. Audit provede Matthew D. Green (blog), uznávaný kryptolog a profesor na Univerzitě Johnse Hopkinse. Auditována bude verze 2.4 (aktuálně RC 1, stabilní verze je 2.3.14). Audit bude financován společností Private Internet Access [reddit].

Ladislav Hagara | Komentářů: 4
včera 06:00 | Komunita

Na YouTube byl publikován Blender Institute Reel 2016, ani ne dvouminutový sestřih z filmů, které vznikly za posledních 10 let díky Blender Institutu. V institutu aktuálně pracují na novém filmu Agent 327. Dění kolem filmu lze sledovat na Blender Cloudu. Videoukázka Agenta 327 z června letošního roku na YouTube.

Ladislav Hagara | Komentářů: 0
včera 01:02 | Zajímavý článek

Minulý týden byly vydány verze 1.2.3 a 1.1.7 webového poštovního klienta Roundcube. V oznámení o vydání bylo zmíněno řešení bezpečnostního problému nalezeného společností RIPS a souvisejícího s voláním funkce mail() v PHP. Tento týden byly zveřejněny podrobnosti. Útočník mohl pomocí speciálně připraveného emailu spustit na serveru libovolný příkaz. Stejně, jak je popsáno v článku Exploit PHP’s mail() to get remote code execution z roku 2014.

Ladislav Hagara | Komentářů: 1
8.12. 16:00 | Nová verze

Byla vydána verze 0.98 svobodného nelineárního video editoru Pitivi. Z novinek lze zmínit například přizpůsobitelné klávesové zkratky. Videoukázka práce s nejnovější verzí Pitivi na YouTube.

Ladislav Hagara | Komentářů: 1
8.12. 15:00 | Zajímavý software

Stop motion je technika animace, při níž je reálný objekt mezi jednotlivými snímky ručně upravován a posouván o malé úseky, tak aby po spojení vyvolala animace dojem spojitosti. Jaký software lze pro stop motion použít na Linuxu? Článek na OMG! Ubuntu! představuje Heron Animation. Ten bohužel podporuje pouze webové kamery. Podpora digitálních zrcadlovek je začleněna například v programu qStopMotion.

Ladislav Hagara | Komentářů: 5
Kolik máte dat ve svém domovském adresáři na svém primárním osobním počítači?
 (32%)
 (24%)
 (29%)
 (7%)
 (5%)
 (3%)
Celkem 808 hlasů
 Komentářů: 50, poslední 29.11. 15:50
Rozcestník
Reklama

Dotaz: email problem

4.10.2013 15:09 Roman
email problem
Přečteno: 1346×
Mam dotaz ohledne nastaveni mail serveru. Vsiml jsem si ze emaily posilane ze serveru maji jako odesilatele oznaceno "unknown."

Presne to v hlavicce emailu vypada takto:

Received: from server.name.cz (unknown [xx.xx.xx.xx])

V tomto prikladu server.name.cz je spravny nazev mail serveru a xx.xx.xx.xx je spravna IP adresa smtp serveru. IP adresa xx.xx.xx.xx ma spravne nastaveny reverzni dns zaznam ukazujici na server.name.cz. Proc se tedy mail server identifikuje jako "unknown" ?

Mail server je exim. Je tam snad nejaka variable ktera je treba nastavit v exim.conf ?

Jet tam zaremovana variable primary_hostname, nastavil jsem ji ale beze zmeny.,. stale se mail server hlasi jako unknown. Vedel by nekdo ?

Odpovědi

Jendа avatar 4.10.2013 18:00 Jendа | skóre: 73 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: email problem
Posílá to na začátku komunikace HELO blabla?
5.10.2013 12:55 Kriegel
Rozbalit Rozbalit vše Re: email problem
Received header tam placne server, ktery ten mail prijmul.

podle toho, co jsi sem pastnul, se tvuj server identifikuje jako server.name.cz v HELO/EHLO.

Na remote server se connectuje z xx.xx.xx.xx, ktery neni ten remote server schopny resolvovat.

Zavada neni na tvoji strane (jako klienta) ale na strane serveru.
5.10.2013 13:11 Filip Jirsák
Rozbalit Rozbalit vše Re: email problem
Mail server se správně identifikuje jako server.name.cz. Cílový server se ale pokouší IP adresu vašeho serveru přeložit zpět na jméno (přes reverzní DNS záznam). Překlad se mu nepodaří, proto místo reverzního záznamu vypíše unknown. Teoreticky by to ničemu nemělo vadit, dnes si ale spousta "správců" mail serverů myslí, že reverzní záznam nemají jen spameři, takže e-maily od takových buď rovnou odmítají, nebo je označují za spam. Doporučuji tedy reverzní záznam k IP adrese nastavit -- udělá to vlastník/správce příslušné IP adresy, tedy váš ISP.
6.10.2013 01:33 "Spravce"
Rozbalit Rozbalit vše Re: email problem
A dobre delaji. Posilat postu z adresy bez reverzniho zaznamu nebo dokonce s nesedicim reverznim zaznamem je stejne jako zkouset nekoho poblit. Taky to neni zakazano zakonem, ze
Jendа avatar 6.10.2013 04:18 Jendа | skóre: 73 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: email problem
Proč?
MMMMMMMMM avatar 6.10.2013 07:01 MMMMMMMMM | skóre: 41 | blog: unstable | Valašsko :-)
Rozbalit Rozbalit vše Re: email problem
RFC 1912?

Make sure your PTR and A records match. For every IP address, there should be a matching PTR record in the in-addr.arpa domain. If a host is multi-homed, (more than one IP address) make sure that all IP addresses have a corresponding PTR record (not just the first one). Failure to have matching PTR and A records can cause loss of Internet services similar to not being registered in the DNS at all. Also, PTR records must point back to a valid A record, not a alias defined by a CNAME. It is highly recommended that you use some software which automates this checking, or generate your DNS data from a database which automatically creates consistent data.
6.10.2013 09:03 Filip Jirsák
Rozbalit Rozbalit vše Re: email problem
To RFC pochází z doby, kdy při žádosti o IP adresu jste dostali nejméně celou C síť, a nikdo se na nic neptal. Samozřejmě to byly v dnešní terminologii veřejné IP adresy, privátní nebyl důvod používat. Virtualhost v HTTP ještě nebyl ve standardu a bůhví, zda už o něm někdo aspoň přemýšlel. No a takovýhle stav Internetu to RFC předpokládá a s takovým dává smysl. Jenomže dnes Internet vypadá dost jinak - a jaký má smysl třeba mít stovky PTR záznamů na jeden webserver?
6.10.2013 09:07 potato
Rozbalit Rozbalit vše Re: email problem
Inicioval jsi tedy změnu standardu?

‚Nebudeme se řídit RFC, protože se nám nelíbí/nehodí‘ je přesně přístup, který potřebujeme...
6.10.2013 09:21 Filip Jirsák
Rozbalit Rozbalit vše Re: email problem
Já ten standard neporušuju. Není v něm must ale should.
6.10.2013 13:44 lertimir | skóre: 58 | blog: Par_slov
Rozbalit Rozbalit vše Re: email problem
Nicméně přesně o tomto je Postelovo pravidlo:
Be conservative in what you do, be liberal in what you accept from others.
Konzervativní princip je přesně mít PRT záznamy v pořádku. A také není žádný důvod totiž je v pořádku nemít. Pak to funguje jen proto, že někdo, kdo data přijímá, je méně liberální než by měl či mohl.

A je sice pravda, že v roce 96 nebyla zdaleka taková tlačenice o IP adresy, ale právě tedy se začaly projevovat praktické snahy na krátkodobé řešení adresního prostoru (CIDR, NAT jsou 1519, 1597 zroku 94).
  • RFC - 1917. An Appeal to the Internet Community to Return Unused IP Networks (Prefixes) to the IANA
  • RFC - 1918. Address Allocation for Private Internets
  • RFC - 1930 Guidelines for creation, selection, and registration of an Autonomous System (AS).
A mimochodem i možnost virtuálních hostů byla normotvorně zakotvena o 3 měsíce později v RFC - 1945 Hypertext Transfer Protocol -- HTTP/1.0. i když zatím ne povinně.

A proč PTR odkazy na stovky virtuálních hostů. Ty jsou v DNS jako CNAME a PTR je jen na A záznam.
7.10.2013 08:27 Filip Jirsák
Rozbalit Rozbalit vše Re: email problem
Odhadem alespoň polovina virtuálních hostů nemůže být v DNS uvedena jako CNAME – při typické kombinaci www.example.com + example.com můžete CNAME použít jen pro www.example.com, a i to může být dost často špatně. Takovéhle chyby jsou podle mne mnohem podstatnější, než neexistující reverzní záznam, který je prakticky stejně k ničemu.
7.10.2013 21:43 kdo je bazar
Rozbalit Rozbalit vše Re: email problem
Web me vubec nezajima, to je dnes uz jen reklamni kanal horsi nez televize, ale ten priklad s chybejicim reverzem u mail serveru sedi, to si musim zapamatovat. Jeste bych to mozna drze zkusil vylepsit: neprijetim posty z takove adresy prijdu presne o tolik, o kolik prijde restaurace, kdyz tam nevpusti smradlave pochcane bezdomovce.
9.10.2013 10:06 j
Rozbalit Rozbalit vše Re: email problem
+1
pavlix avatar 8.10.2013 11:05 pavlix | skóre: 53 | blog: pavlix
Rozbalit Rozbalit vše Re: email problem
Že jsou v návrhu DNS chyby, to je úplně jiná věc.
GentooFedoraSCRAM – Jsem open source vývojář, nikoli markeťák ⇒ názory zde uvedené jsou jen mé vlastní.
8.10.2013 11:51 Filip Jirsák
Rozbalit Rozbalit vše Re: email problem
Nikoli, jiná věc je to, kdo považuje kterou část za chybu. Někdo považuje za chybu CNAME záznam, někdo PTR záznam, někdo všechno kromě SRV…
8.10.2013 13:10 lertimir | skóre: 58 | blog: Par_slov
Rozbalit Rozbalit vše Re: email problem
Pak to jsou lidé, kteří kašlou na ducha a myšlenku DNS a jen si pokouší zflikovat, co potřebují. DNS myšlenka je samozřejmě v tom, že DNS struktura adres je čistý strom, jehož jednotlivé listy se mapují 1:1 na IP adresy. To co je nedostatek, je že v době tvorby nikdo neuvažoval o tom, že může být i požadavek mít na IP adresu namapovaný i uzel toho stromu nejen list. A nad touto primární strukturou je synonymiální struktura přes CNAME.
pavlix avatar 8.10.2013 14:56 pavlix | skóre: 53 | blog: pavlix
Rozbalit Rozbalit vše Re: email problem
DNS myšlenka je samozřejmě v tom, že DNS struktura adres je čistý strom, jehož jednotlivé listy se mapují 1:1 na IP adresy
Nepřijde mi to vůbec samozřejmé. Popravdě řečeno nevidím důvod, proč by ostatní měli tvou myšlenku přijmout za myšlenku DNS a už vůbec mi nepřijde technologicky rozumné DNS na něco takového degradovat.
GentooFedoraSCRAM – Jsem open source vývojář, nikoli markeťák ⇒ názory zde uvedené jsou jen mé vlastní.
8.10.2013 15:11 lertimir | skóre: 58 | blog: Par_slov
Rozbalit Rozbalit vše Re: email problem
No mýlit se jistě mohu, ale jaká je podle tebe hlavní idea DNS? Nebo co té myšlence 1:1 mapování listů odporuje?
pavlix avatar 8.10.2013 18:00 pavlix | skóre: 53 | blog: pavlix
Rozbalit Rozbalit vše Re: email problem
Já chápu DNS jako distribuovanou databázi, která umožňuje přiřadit datové objekty uzlům distribuovaného stromu, přičemž se uzly řídí nějakou organizační strukturou a listy typicky odpovídaly strojům, jichž se data v databázi měla především týkat. Adresu stroje vnímám jako klíčový údaj, který umožňuje se s daným strojem spojit, nicméně ne jediný údaj.

Dnes začíná převažovat podle mě nepříliš vhodné použití DNS, kdy se adresy přiřazují i uzlům, které vůbec fyzickým strojům neodpovídají a spíše odpovídají té organizační struktuře (například „pavlix.net“ není stroj, ale organizační doména, která sdružuje sadu osobních služeb či strojů).

To je bohužel vynuceno standardy jako je HTTP, které ztotožňují doménu služby se serverem, který službu poskytuje. Tohle skutečně řeší záznamy služeb (SRV, MX, ...), které by se jediné (pokud nepočítám SOA a NS) měly vyskytovat u domén jednotlivců a firem, kteří nechtějí provozvat žádné servery. Ze stejných důvodů se zneužívá i CNAME záznam, který je jediný v resolverech podporovaný.

Pak by bylo vcelku logické, že by se A/AAAA záznamy používal pouze pro uzly, které odpovídají nějaké entitě (stroji), která na daných adresách skutečně odpovídá. K nim by nebyl velký problém zavést smysluplné PTR záznamy třeba i automaticky (v případě využívání stejných nameserverů pro obojí).
GentooFedoraSCRAM – Jsem open source vývojář, nikoli markeťák ⇒ názory zde uvedené jsou jen mé vlastní.
8.10.2013 19:58 lertimir | skóre: 58 | blog: Par_slov
Rozbalit Rozbalit vše Re: email problem
Ok, napsal jsem to příliš zjednodušeně na to, aby to bylo srozumitelné.
9.10.2013 07:04 Filip Jirsák
Rozbalit Rozbalit vše Re: email problem
Byly by takovéhle A/AAAA záznamy natolik užitečné, aby se vyplatilo dělat pro ně podporu a udržovat je? Podle mne by to bylo jen jméno užitečné pro lidi zabývající se infrastrukturou, přičemž ale pouze jméno moc informací neřekne. Takže bych místo PTR používal rovnou třeba whois, bez áček bych se obešel úplně.
pavlix avatar 9.10.2013 08:55 pavlix | skóre: 53 | blog: pavlix
Rozbalit Rozbalit vše Re: email problem
Byly by takovéhle A/AAAA záznamy natolik užitečné, aby se vyplatilo dělat pro ně podporu a udržovat je?
A/AAAA záznamy pro stroje se používaly vždy a používají se dosud. Tudíž je otázka buď hloupá nebo naopak příliš chytrá, abych docenil její význam.
GentooFedoraSCRAM – Jsem open source vývojář, nikoli markeťák ⇒ názory zde uvedené jsou jen mé vlastní.
9.10.2013 11:03 Filip Jirsák
Rozbalit Rozbalit vše Re: email problem
Otázka je, zda dnes opravdu potřebujeme v DNS pojmenovávat stroje, jestli spíš nechceme pojmenovávat jen služby. Samozřejmě pokud odhlédneme od toho, že drtivá většina standardů dnes počítá s dotazy na jméno stroje a ne na jméno služby.
9.10.2013 10:05 j
Rozbalit Rozbalit vše Re: email problem
Jirsak, ty ses vazne dement, naco stovky reverzu? Staci jeden.
Jendа avatar 9.10.2013 10:18 Jendа | skóre: 73 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: email problem
Make sure your PTR and A records match.
9.10.2013 20:38 sigma
Rozbalit Rozbalit vše Re: email problem
A to se týká každého A záznamu, který směřuje na nějakou IP? Vždycky jsem si myslel, že to platí pro "Also, PTR records must point back to a valid A record" -- tedy že "hodnota" PTR musí mít A záznam směřující zpět na tu samou IP. Tohle kontroluje řada nástrojů, se kterými jsem se setkal. A taky jsem se už setkal s řadou sítí, kde mají sice vygenerované PTR na celý subnet (ve stylu host-32-45.network.net) ale na příslušné A se zapomnělo, časem zmizely, nebo ukazují na jiné IP.
Jendа avatar 9.10.2013 20:42 Jendа | skóre: 73 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: email problem
A to se týká každého A záznamu, který směřuje na nějakou IP?
Nejspíš jo, to match bych viděl obousměrné.
MMMMMMMMM avatar 9.10.2013 20:58 MMMMMMMMM | skóre: 41 | blog: unstable | Valašsko :-)
Rozbalit Rozbalit vše Re: email problem
Osobně si myslím, že to není myšleno obousměrně, že jde jen o shodu PTR a příslušného A záznamu. Ale s jistotou to tvrdit nemohu.
10.10.2013 07:13 Filip Jirsák
Rozbalit Rozbalit vše Re: email problem
Podle mne to nebylo myšleno ani tak ani tak. Prostě se při psaní nepočítalo s tím, že DNS jmen bude výrazně víc, než IP adres.

Nicméně pokud někdo RFC vykládá striktně tak, že každé používané IP adrese musí být přidělen PTR záznam, měl by stejně striktně vykládat i zbytek. Tedy Make sure your PTR and A records match nebo PTR's should use official names and not aliases a Adding a host ... Add the reverse IN-ADDR entry for each host address in the appropriate zone files for each network the host in on z RFC 1033. Tam se nikde nepředpokládá, že zařízení má nějaký hlavní název, na který má odkazovat PTR -- všechny A záznamy jsou stejně důležité, všechny jsou oficiálním jménem daného stroje.

Taky se tam mimochodem všude předpokládá, že máte doménu a také minimálně C síť, pro kterou ty reverzní záznamy spravujete. Tady se ale bavíme o případu, kdy máte jednu IP adresu půjčenou od ISP, který také spravuje reverzní záznamy. I když připustíme, že některé A záznamy jsou privilegované a označují "skutečné" jméno stroje, které jméno je to pravé -- jak jsem si stroj pojmenoval já nebo jak si IP adresu pojmenoval ISP?
10.10.2013 10:18 alkoholik | skóre: 35 | blog: Alkoholik
Rozbalit Rozbalit vše Re: email problem
DNS jmen je tuhle chvili jen zlomek poctu adres - tech IPv6.
;)
A vzhledem k existenci privacy extension - rozumej generovani nahodnych adres - je dnes takovy striktni vyklad absolutni nesmysl.
Howg.
15.10.2013 08:34 j
Rozbalit Rozbalit vše Re: email problem
Pokud si prectes prislusna RFC, tak u IPcek generovanych pomoci privacy ext se reverz nepozaduje - ony se totiz ty adresy (prakvapko) nedaji pouzit pro pristup zvenku (nebo jen docasne), takze jaksi pro ne nema smysl ani AAAA zaznam. Bavime se ovsem o serveru, ktery ma stabilni A/AAAA zaznam a ta IP na kterou to ukazuje by mela mit reverz, pricemz ten reverz by samozrejme mel byt prelozitelny zpet na tu IP.

Pr: mail.domena.cz => 1.2.3.4

1.2.3.4 => hokus.pokus.cz

hokus.pokus.cz => 1.2.3.4

Tahle nejak by to melo vypadat. Uz sem ale videl nejen to, ze reverz zpetne prelozitelny nebyl, ale klidne ze vracel uplne jinou IP ...
pavlix avatar 15.10.2013 09:17 pavlix | skóre: 53 | blog: pavlix
Rozbalit Rozbalit vše Re: email problem
Však on i ten stroj s privacy extensions by měl mít i adresu vytvořenou pomocí MAC adresy. Otázka je kolik takových adres má odpovídající PTR a AAAA záznamy.
GentooFedoraSCRAM – Jsem open source vývojář, nikoli markeťák ⇒ názory zde uvedené jsou jen mé vlastní.
15.10.2013 17:59 j
Rozbalit Rozbalit vše Re: email problem
On ji trebas i ma, jen ji zvenku jaksi (pokud veci funguji spravne) nevidno. Tusim ze kuprikladu filezilla klient pouzivala (spatne) tu fixni, jestli to uz opravili, vi buh.

BTW: Nemusi to byt MAC adresa ... bohuzel existuje i druha varianta ... a tudiz stejny stroj ve stejny siti bude mit pod widlema jinou IP nez pod tuxem (pokud neni dhcp).

pavlix avatar 15.10.2013 18:06 pavlix | skóre: 53 | blog: pavlix
Rozbalit Rozbalit vše Re: email problem
On ji trebas i ma, jen ji zvenku jaksi (pokud veci funguji spravne) nevidno.
Pokud vše funguje správně, tak ji z venku nevidno asi jako každou jinou IP adresu. Pokud tomu nebrání firewall, stroj na adrese normálně přijímá spojení, jen není výchozí adresou pro spojení strojem zakládaná.

Filezilla by hlavně neměla zdrojovou adresu vybírat vůbec. Je to klientský software. Od výběru zdrojové adresy je tu za normálních okolností operační systém.
BTW: Nemusi to byt MAC adresa ... bohuzel existuje i druha varianta ...
Variant existuje samozřejmě mnoho, ale neviděl bych to až tak jako bohužel. Navíc jsem měl za to, že Windows tu základní adresu nevytvářejí a používají jen dočasné adresy, což není kdovíjak skvělý nápad. A pokud si dobře pamatuju, tak blbnou i s linkovými adresami a to je nápad vyloženě jalový.
GentooFedoraSCRAM – Jsem open source vývojář, nikoli markeťák ⇒ názory zde uvedené jsou jen mé vlastní.
15.10.2013 10:11 alkoholik | skóre: 35 | blog: Alkoholik
Rozbalit Rozbalit vše Re: email problem
Dost ohybas vyraz "každé používané IP adrese".
Pouzil jsem nahodne vygenerovanou adresu pro odchozi pripojeni? Pouzil.
10.10.2013 10:18 GNU datel
Rozbalit Rozbalit vše Re: email problem
Spravovat mail server a neumet donutit ISP nastavit spravne reverz je prave priznakem totalniho idiota, ktery by mel z oboru vyficet a jit prodavat ponozky. Kvuli takovym lidem tady mame spam, protoze stejne pristupuji ke vsemu.

PS Byl bych dokonce rad, kbyby vsichni ISP implicitne blokovali tcp25 a teprve na zadost klienta by to odblokovavali, protoze to stejne normalni uzivatel potrebuje pouze kdyz pouziva mail server nejakeho podobneho chytrolina.
10.10.2013 11:56 lertimir | skóre: 58 | blog: Par_slov
Rozbalit Rozbalit vše Re: email problem
Je velmi zajímavé, že k probíhají diskusi se vlastně vyjádřila IETF v RFC 7001 vydaném minulý měsíc. Podstatná je z A/PTR rekordů část 3 reverse IP address name validation "iprev". A vzhledem k tomu že dokument není Category jen "Informational", ale "Standards Track" pokládám ho za autoritativní současný názor.
10.10.2013 18:07 petr_p | skóre: 59 | blog: pb
Rozbalit Rozbalit vše Re: email problem
A část 3 pokračuje takto:

There is some contention regarding the wisdom and reliability of this test. For example, in some regions, it can be difficult for this test ever to pass because the practice of arranging to match the forward and reverse DNS is infrequently observed. Therefore, the precise implementation details of how a verifier performs an "iprev" test are not specified here. The verifier MAY report a successful or failed "iprev" test at its discretion having done some kind of check of the validity of the connection's identity using DNS. It is incumbent upon an agent making use of the reported "iprev" result to understand what exactly that particular verifier is attempting to report.

Extensive discussion of reverse DNS mapping and its implications can be found in "Considerations for the use of DNS Reverse Mapping" ([DNSOP-REVERSE]). In particular, it recommends that applications avoid using this test as a means of authentication or security. Its presence in this document is not an endorsement but is merely acknowledgement that the method remains common and provides the means to relay the results of that test.

9.10.2013 21:02 sigma
Rozbalit Rozbalit vše Re: email problem
Obousměrně jo, ale i když si to přečtu v kontextu, tak mi to není úplně jasné a spíš si myslím, že to platí "obousměrně mezi IP>PTR a PTR>A>IP" - tedy že se to nijak nevztahuje na A záznam, který byl prvotně resolvovaný na IP.
MMMMMMMMM avatar 9.10.2013 21:31 MMMMMMMMM | skóre: 41 | blog: unstable | Valašsko :-)
Rozbalit Rozbalit vše Re: email problem
9.10.2013 21:37 petr_p | skóre: 59 | blog: pb
Rozbalit Rozbalit vše Re: email problem

Zcela určitě. Jinak by DNS multihoming byl nemožný. Nebo v případě násobných PTR záznamů by celé pravidlo „match“ bylo takové gumové.

Navíc z praktického hlediska proces spoléhající se na stub resolver není schopen rozlišit A od CNAME. A pro CNAME diskutované pravidlo pochopitelně platit nemůže.

8.10.2013 19:32 petr_p | skóre: 59 | blog: pb
Rozbalit Rozbalit vše Re: email problem

Zamyslel jste se k někdy, proč se tam tohle vůbec píše?

Odstavec nad tím je totiž pokus o vysvětlení:

Every Internet-reachable host should have a name. The consequences of this are becoming more and more obvious. Many services available on the Internet will not talk to you if you aren't correctly registered in the DNS.

To jen přináší jinou otázku: Proč se s klientem bez DNS záznamu nikdo nechce bavit?

Představme si ideální situaci, že každá adresa každého stroje je správně zavedená v DNS. K čemu to pak bude dobré? Pak totiž onen pokus o vysvětlení a především pravidla, na kterých staví své filtry provozovatelé odmítajících služeb, budou zcela idempotentní.

A přenesme z roku 1996 do současnosti: Máme IPv6 s automaticky nebo dokonce náhodně přiřazovanými adresami. Budeme skutečně registrovat každou adresu? Máme adresy, i v IPv4, které nejsou globální. Budeme vytvářet DNS stromy s neglobální platností?

Lpění na pravidle ze 17 let starého informačního RFC, které vzniklo jen kvůli tomu, že programátoři protokolovacích mechanismů byli líní zpracovávat vedle doménového jména i IP adresu, mi přijde pošetilé.

Ostatně nedávno jsem viděl e-mail s doménou in-addr.arpa. To je ale šalamounské řešení.

9.10.2013 10:16 j
Rozbalit Rozbalit vše Re: email problem
Proc te na dalnici nepusti v tanku? Je to dopravni prostredek? Je. Ale presto te tam napusti. Jednoduse proto, ze nesplnujes nejaka dalsi pravidla. Ze stejnyho duvodu te kazdy rozumny MTA vyfuckuje, pokud nemas funkcni reverz - proste nesplnujes zakladni pravidlo proto, aby se stebou vubec bavil.

A navic to fuguje - zijeme v realite, nikoli v idealnim svete. A realita je takova, ze 3/4 pokusu o doruceni mailu konci prave na reverzu. A ze z toho je mozna 1% nespamu? No a? At se dotycny maily nauci posilat, nebo at vyuzije nejakej freemail, kterej to ma nastaveny spravne.

Nehlede na to, ze zcela zejevne nechapes, jak vubec internet funguje. Internet je nejaky soubor nejakych siti a uzlu, jejiz provozovatele/majitele si urcuji zcela ve vlastni rezii veskera pravidla jejich uzivani. Na nekterych tech pravidlech pak panuje rekneme "vseobecna" shoda - a takova jsou uvedena v RFC. Ovsem i v takovem pripade je treba si uvedomit, co ta zkratka RFC znamena. Ve vsech pripadech jde pouze o doporuceni.

A tudiz, kdo vyfuckuje maily bez reverzu, tak se jednoduse ridi doporucenim, ze protistrana by mela mit reverz. Pokud se to protistrane nelibi, je to jeji problem.
Jendа avatar 9.10.2013 10:20 Jendа | skóre: 73 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: email problem
A navic to fuguje - zijeme v realite, nikoli v idealnim svete. A realita je takova, ze 3/4 pokusu o doruceni mailu konci prave na reverzu. A ze z toho je mozna 1% nespamu?
Toto tvrzení by si zasloužilo podložit - alespoň metodikou.
A tudiz, kdo vyfuckuje maily bez reverzu, tak se jednoduse ridi doporucenim, ze protistrana by mela mit reverz.
Překvapuje mě, že se některými doporučeními řídíš a některými ne. Máš pro posuzování toho, kterými se řídit, nějaká pravidla?
9.10.2013 10:27 j
Rozbalit Rozbalit vše Re: email problem
Co chces dokladat medodykou? Pred zavedenim kontroly na reverz (a nekolika dalsich opatreni - kontroluje se jeste smysluplne predstaveni serveru ... ) 5 000 spamu/den, po zavedeni radove 100/den (pocitam ty, ktery jsou prijaty, ale skoncej na filtrech)

Pripadne vypis z logu - 3/4 konexi konci na reject kvuli reverzu. Cast z toho zbytku konci samo jeste na dalsich pravidlech.

Jednou za 1/4 roku nekdo resi, ze mu neprisel nejaky mail.
9.10.2013 20:43 sigma
Rozbalit Rozbalit vše Re: email problem
Musím potvrdit obdobnou zkušenost, i když v našem případě to 75% asi nebylo, ale bylo to hodně. Samozřejmě tenhle argument lze validně zpochybnit tím, že nevím kolik z těch odmítnutých mailů nejsou spamy. Sice mám též podobnou zkušenost ze 2 nasazení - firma se 100 mailboxy, problém tak jednou za 3 měsíce; mailserver pro asi 50 domén, asi 500 schránek - problém tak jednou za 2 měsíce, ale někteří měli potíže častěji, tak jsme to pak předělali na jiné řešení. Řekl bych, že hodně záleží na prostředí, jestli si tohle člověk může dovolit nebo ne.
15.10.2013 08:44 j
Rozbalit Rozbalit vše Re: email problem
Dovolit si to clovek muze kdekoli, za nejakych 5 let mam ve vyjimkach asi 30 radku dmntu, kteri si neumi nstavit DNS, je mezi nimi i nejvetsi ceske IT vydavatelstvi ... ovsem i nejvetsi ceske banky, si to nastavit umi, stacila lehka komunikace na tema "nejste sami komu nase maily nechodi" ... a za tyden to meli nastaveno.

Vem si, ze mam zaroven na spravovanych domenach nastaveny spf ... a nektery lidi si stezujou, ze jim "nechodi maily" ... ony jim ty maily chodi, na firemni schranku, ale oni maj (blbe) nastaveny presmerovani ... trebas na seznam, kterej je stim vyfuckuje, protoze jejich srv samo v spf neni.
pavlix avatar 15.10.2013 09:29 pavlix | skóre: 53 | blog: pavlix
Rozbalit Rozbalit vše Re: email problem
Já měl za to, že SPF tímto prostě trpí a že je to hlavní důvod, proč ho nepoužít.
GentooFedoraSCRAM – Jsem open source vývojář, nikoli markeťák ⇒ názory zde uvedené jsou jen mé vlastní.
15.10.2013 15:47 j
Rozbalit Rozbalit vše Re: email problem
Ja mel za to, ze pokud si mail presmeruju, tak uz neni from:zdroj.cz, ale from:cil.cz to:novy.cil.cz .... a kazdej normalni mail to presne takto udela => v mailu vidim, ze mi prisel od franty, reply-to je nastaveny na frantu, ale from, je muj.presmerovany.mail@cosi.

A ucelem je kupodivu prave to, aby jen tak nekdo nemoh poslat mail typu from:premier@vlada.cz ...

Nehlede na to, ze jako vsechno, SPF je informace kterou zverejnuje drzitel/admin domeny, a je ciste na okoli, jak s tou informaci nalozi. Seznam s ni naklada tak, ze maily proste neprijme. Z myho pohledu naprosto koser, protoze ja jako admin domeny sem prohlasil, ze existuji pouze dva stroje, ktere jsou autorizovany k odesilani mailu z teto domeny. Cimz zaroven rikam, ze pokud prijde mail z jineho serveru, tak proste o nem nic nevim a tudiz necht si snim kazdy nalozi jak uzna.

BTW: Sem kamosce onehda predvadel, jak ji poslu mail z jejiho mailu ;D, samo, v hlavickach byl videt muj srv, ale dost ji to tenkrat vyplasilo, a hlavicky BFU samo nekontroluje ...
pavlix avatar 15.10.2013 17:19 pavlix | skóre: 53 | blog: pavlix
Rozbalit Rozbalit vše Re: email problem
No ne, pokud porovnáš SPF a DKIM, tak z toho u mě SPF vychází jako hodně chudý bratranec. Jak s tím kdo má naložit je víceméně definováno standardem. Odchýlit se od standardu či ho neimplementovat je sice možné, ale alespoň to první málokdy něco přinese.
GentooFedoraSCRAM – Jsem open source vývojář, nikoli markeťák ⇒ názory zde uvedené jsou jen mé vlastní.
15.10.2013 19:20 Kriegel
Rozbalit Rozbalit vše Re: email problem
Ne tak docela -- "presmerovani" na urovni aliasu (at uz lokalniho, nebo virtualniho) normalne nemeni 'mail from' -- pokud to@cil.cz je alias pro to@novy.cil.cz tak je na "problem" zadelano, protoze connect pujde z @cil.cz s originalnim 'mail from'... Na free/normal mailu bych takove reseni necekal (tam se cela zprava re-submit-ne s novym 'mail from' a pripadne prepsanou 'From:' hlavickou), ale jinak se to vyskytuje v praxi bezne; panove jsou si toho vedomi a proto take vznikl SRS (to zase zavadi nekolik dalsich ale a pridava na komplexnosti)...

Tim nijak nechci polemizovat nad tim, jestli je to tak dobre nebo ne, ale prave moznost (pro nektera prostredi krajne hypoteticka) toho, ze "se to da rozbit", lidi, jak pise pavlix, od nasazeni spf zrazuje...
9.10.2013 19:09 petr_p | skóre: 59 | blog: pb
Rozbalit Rozbalit vše Re: email problem
Ze stejnyho duvodu te kazdy rozumny MTA vyfuckuje, pokud nemas funkcni reverz - proste nesplnujes zakladni pravidlo proto, aby se stebou vubec bavil.

Já žádné základní pravidlo, že TCP klient, který se chce bavit s MTA serverem, musí mít reverzní záznam, neznám. To, co je citováno nahoře, nemá s MTA nic společného (máte stejně nastavený HTTP server?) a není to základní pravidlo (je to should v něčem, co není ani standard).

A nakonec jsem se ještě nikde nedozvěděl, k čemu MTA funkční reverz klienta potřebuje. Maže si ho na chleba?

Jendа avatar 9.10.2013 20:31 Jendа | skóre: 73 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: email problem
To, co je citováno nahoře, nemá s MTA nic společného (máte stejně nastavený HTTP server?)
Co, HTTP server. Ale taky klient!
14.10.2013 21:25 petr_p | skóre: 59 | blog: pb
Rozbalit Rozbalit vše Re: email problem
15.10.2013 08:46 j
Rozbalit Rozbalit vše Re: email problem
On ti http server posila desitky tisis spamu denne? Bez toho abys na nej sam lez? Hm ... samozrejme ze reverz ocekavam od kazdyho serveru, a jakykoli problem stim serverem = jdu se na prave toto (mimo jine) podivat. Pokud nema, je to prvni indikace dementa na druhy strane.
9.10.2013 10:21 j
Rozbalit Rozbalit vše Re: email problem
Apropos, ber to trebas jako test inteligence. Predstav si to tak, ze mas vratka, pred nima je krabice plna cervenych cepic a na vratech napis, ze vstup povolen jen v cervene cepici. Pokud nekdo prijde bez cepice, tak ho proste vykopnes. Presne stejne funguje kontola reverzu. Pokud nekdo seriozne provozuje libovolny server, tak nemuze mit zadny problem si tu cepici nasadit. Kazdy normalni ISP mi nastavi reverz dle prani.
9.10.2013 19:15 petr_p | skóre: 59 | blog: pb
Rozbalit Rozbalit vše Re: email problem
Ale tak to máš napsat rovnou, že to je tvoje metodika rozpoznávání spamu, a ne nám tvrdit, že tě k tomu nutí IETF.
menphis avatar 8.10.2013 00:18 menphis | skóre: 22 | blog: menphis_blog
Rozbalit Rozbalit vše Re: email problem
+1
9.10.2013 10:04 j
Rozbalit Rozbalit vše Re: email problem
A spousta jirsaku si neumi ani precist RFC, kde je reverz povinou soucasti.

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.