Linux-Bulgaria.ORG
навигация

 

начало

пощенски списък

архив на групата

семинари ...

документи

как да ...

 

 

Предишно писмо Следващо писмо Предишно по тема Следващо по тема По Дата По тема (thread)

Re: lug-bg: Sendmail+advanced + Again!


  • Subject: Re: lug-bg: Sendmail+advanced + Again!
  • From: vlk@xxxxxxxxxxxxxxxxx (Vesselin Kolev)
  • Date: Thu, 8 Nov 2001 18:42:54 +0200



Malko za bastionite... i sendmaila...

Bastiona se pravi po mnogo prichini no neka da obiasnia nai-
sashtestvenata ot tiah. Opasnostta ot neotoriziran relay i SPAM
ne e za propuskane, tia mozhe da vavleche organizaciata,
sobstvenik na mail-servera v mnogo nepriatno scandali. 

=================================================
Predi da stana administrator na nashtata organizacia, tuk
imashe edin WinNT snabden s IMS SMTP Ver. 0.81. Kakto
povecheto znaiat IMS e free razrabotka na Windows OS
za mail-server i POP3-server, razbira se, mozhe da se 
puska i samo kato SMTP Receiver za relay. European 
Microsoft Windows NT Academic Center (EMWAC) sa
napravili inache barz i svoboden za polzvane mail-server,
no za beda povecheto mu versii, osobeno po-starite 
relayvat po default. Sega neshtata malko sa poopraveni
(vizh: http://www1.sica.com/ims/) no ne savsem....
(V mrezhata na SU ima mnogo serveri na fakulteti ili na
malki zvena, koito rabotiat imenno s IMS, starti versii,
s pozvolen relay ot vseki za vseki).
Sluchi se taka, che edin poluidiot prez mrezhata na
CableBG prekara prez nashia IMS edin SPAM za reklami
za satelitni dekoderi. Sled tova imashe scandali i dosta
razpravii. Togava dostavchik na UniSofia biaha DigSys i
niama da kazvam kak vsichkia tozi bokluk izleze napravo
prez UpLinka im do FMI i zalia niakolko ruski domaina...
Za posledvashtite razpri sigurno mnogo ot vas se doseshtat...

Togava se reshi da se napravi bastion i slava bogu toi se napravi 
i sega deistva dobre. Tuk vaprosa ne opirashe do doverie, 
neshtata opiraha i do tehnicheska gramotnost na administratorite
na otdelnite mrezhi. V povecheto zvena niamashe gramotni
administratori... ne mozhesh da ochakvash ot edin filolog da
pusne FreeBSD ili LINUX. I sega ne se ochakva. Niama i shtatni
mesta za sysadministratori. Taka, che eto za tova e bastiona...
napraven e po principa "ne pitai uchilo, a pitai patilo".
=================================================

Parvia vid bastion e bastiona za publichni IP-ta. Az go opisah veche
podrobno v prednia si posting. Tova e udachno reshenie. Oriazvat
se samo niakoi portove. Udachnostta na reshenieto mu e, che vat-
reshniste hostove za bastiona ne stradat ot niakoi neudobstva, koito
sazdava VPN naprimer...

Vtoria vid bastion si e VPN. Tam se postaviat serveri s publichni
IP-ta. Po princip za da e edin bastion istinski v chastta si za mail,
ne nego ne se puska POP3, toi samo relayva ot van navatre i
ot vatre navan. Vav VPN-a mozhesh da pusnesh kolkoto si iskash
virtualni domaini i da preprashtash kam tehnite mail-serveri poshtata
za tiah. Nachina e udoben i prilozhim. Eto primer....

Az imam registriran domain edi-koi.si. Az imam VPN i moia server
e guard na bastiona. V bastiona ima dva domaina domain1.edi-koi.si
i domain2.edi-koi.si. Dvata domaina sa opisani vav vatreshen DNS,
koito e ili na host vav VPN-a ili e na bastionnia mail-server, no tai
kato sa virtualni te ne sa pozvoleni za iztegliane ot vanshni hostove
s publichni IP-ta. user1@xxxxxxxxxx e ot zvenoto izpolzvashto
virtualnia domain1, a user2 e ot domain2. Ako baba1@xxxxxxxxxxx
se opita da izprati mail do user1@xxxxxxxxxx, a baba2@xxxxxxxxxxx 
se opita da izprati mail do user2@xxxxxxxxxx se pita kak shte se 
razpredliat tezi dva maila taka, che da stignat do serverite na
poluchatelite v ramkite na VPN-a. Otvora e s virtualen hosting...

V /etc/mail/virtusertable pravia slednite zapisi:
....
user1@xxxxxxxxxx       user1@xxxxxxxxxxxxxxxxxx
user2@xxxxxxxxxx       user2@xxxxxxxxxxxxxxxxxx
.....

Sledva edin banalen:

#makemap hash  viertusertable.db < virtusertable

Sled tova v /etc/mail/mailertable pravia edno vedro 
opiasanie :

mail.domain1.edi-koi.si   esmtp: mail.domain1.edi-koi.si
mail.domain2.edi-koi.si   esmtp: mail.domain2.edi-koi.si

S tova sam gotov i veche moga da razpredeliam maila
po domaini vatre v samia VPN.

Opisanoto reshenie e evtino, ne se nalaga zvenoto, koeto
e v ramkite na VPN-a da ima perfecten kato obsluhvane
mail-server s vsevazmozhni nastroiki i services... Edin 
sendmail edin imap za POP3 i vsichko e nared...

   Pozdravi
     Vesselin

On Thursday 08 November 2001 11:49, you wrote:
> Purvo, izvinqvam se ako sum zasegnal nqkoj ....
>
> On Wed, 7 Nov 2001, Vesselin Kolev wrote:
> > Parvo, ia si nadnikni v zonata na tvoia domain!
> >
> > Samo lispva bastiona:
> >
> > dobrich.net     mail exchanger = 20 mx1.telecoms.bg.
> > dobrich.net     mail exchanger = 21 mx2.telecoms.bg.
> > dobrich.net     mail exchanger = 22 mx3.telecoms.bg.
> > dobrich.net     mail exchanger = 10 eos.dobrich.net.
> >
> > Vtoro mai niakoi hora ne sa stanali ot masata sled dobria zapoi s
> > bira... ili ne sa cheli ili ne sa iskali da prochetat tochno kakvo e
> > napisano i kakav e vlozhenia smisal vav vsichko tova. Shto se
> > kasae do preosmisliane na mrezhovata politica za translirane i
> > marshrutizacia na maila, az ne sam tolkova navatre v neshtata,
> > che da ia preosmisliam sam bez da sam nauchil vsichko po
> > vaprosa.
>
> Imah vpredvid, che ideqta im s bastion-a i neshtata kakto sa napraveni,
> pone spored mene imat po-dobur nachin , vupreki che tova veche opira do
> doverie i do horata, koito nastrojvat vutreshnite mrezhi i tehnite maiil
> relays... Kolkoto za po-gorniq setup, ideqta e takava - 10 mi e glavniq
> mail exchanger, na kojto sa mi i mailbox-ovete, a ostanalite sa v sluchaj
> che padne nqkoq liniq - q moqta do dostavchika, q nqkoq ot negovite, te i
> 3te sa prez 3 razlichni linii za poluchavaneto na poshta.
>
> > Sorry, che stavam otegchitelen za niakoi hora, no kakvo pyk,
> > malko informacia v poveche niama da navredi nikomu... stiga da
> > iska da ia chete.
> >
> > Parvo malko introdukcia. Povecheto MX-zapisi sa za predotvratiavane
> > na katastrofi i za uskoriavane na maila. Ako niakoi ne e zapoznat s
> > fizicheskia princip, che ne vinagi nai-kysia pyt e nai-kratak si e negov
> > problem. iskam da kazha, che mail-traffica na Sofiiskia universitet na
> > den e smushtavashto goliam. V nastoiashtia moment SU ima nai-goliamata
> > centralizirana clientska samoupravialiavashta se mrezha v BG. Ako niakoi
> > tuk vidi logovete na mail-traffica shte se izpoti. Chast ot traffica e i
> > para- ziten, napr. prosto otvoreni sessi na 25/tcp ot strana na razlichni
> > po vid pishman flooderi i hackeri, razpadnali se connekcii sas
> > mail-server v zapadno tambuktu, koito po shtastlivo stechenie na
> > obstoiatelstvata e na vryzka pri koiato se gubiat paketi a poniakoga i
> > samata vryzka izchezva za minuti. Sashtestvuvat oshte kup tormozeshti
> > maila factori, kato naprimer pisma s greshen podatel, koito niama na koi
> > da se vyrnat, s po-goliama dylzhina ot pozvolenata, timeouti ot vatreshni
> > serveri, chiito administratori za propusnali da gi vkliuchat... Na
> > posledno miasto da napomnia, che e-maila e osnovno sredstvo za
> > komunikacia v academichnite sredi. Edno kopie na statia izprateno ot edin
> > chovek na drug i sadarzhashto figuri i kartniki, mozhe da e nad 2 MB.
> >
> > Govoril sam s administratori na golemi komersialni dostavchici... Te ne
> > izpitvat tozi koshmar v takava stepen, zashtoto povecheto im clienti ili
> > imat server za mail, koito raboti na direct connection, ili pyk dialup
> > clientite izpolzvat webmail (hotmail, yahoo i t.n.). A i academichnite
> > sistemi vinagi sa bili cel na hora, zhaleshti da se uchat varhu
> > mrezhovata struktura... zatova se nalaga tam da se pravi bastion i maila
> > da se relayva. Vseki s leka raka kazva che edna ideia e divno bezmislena,
> > no pravi tova edisntveno ot svoia pozicia, bez da se zamislia, kakvi sa
> > tochno faktite i usloviata doveli do edno ili drugo reshenie...
>
> Za tova sum naistina suglasen ... podnasqm izvineniq, s tochno tezi
> momenti ne bqh zapoznat :)
> (p.s. vse pak mozhesh li ( t.e. imash li pravo i vuzmozhnost ) da
> suobshtish v cifri kolko e toq mail traffic, prosto mi e interesno :) )
>
> > Sega se premestvame leko vav prostranstvoto za da vidim kak e v CERN:
> >
> > cern.ch mail exchanger = 30 dxmint.cern.ch.
> > cern.ch mail exchanger = 10 smtp.cern.ch.
> > cern.ch mail exchanger = 15 mail7.cern.ch.
> > cern.ch mail exchanger = 20 mint.cern.ch.
> >
> > Tova koeto vizhdate malko lyzhe. Mail-serverite sa dosta poveche, no po-
> > goliamata chast sa zad bastion. Relayvaneto po serverite na otdeli e po
> > UUCP, ima kup VPN-i i dr. extri. Tazi organizacia ima ogromni i moshtni
> > serveri... dalech nad pentium na 166 i pak se e prezastrahovala ot
> > buri...
> >
> > Drug podhod ima Los Alamoskata nacionalna laboratoria, kadeto niakak ne
> > si vzimat administratori glupci, zashtoto sa grybnaka na nauchnata
> > deinost v otbranitelnia sector na USA:
> >
> > lanl.gov        mail exchanger = 0 mailrelay2.lanl.gov.
> > lanl.gov        mail exchanger = 0 mailrelay3.lanl.gov.
> > lanl.gov        mail exchanger = 0 mailrelay1.lanl.gov.
> >
> > Tova tuk e mnogo hitar podhod. Naistina shapka svaliam na adninistratora
> > im. Vseki server poema sredno po 1/3 ot zaiavkite. Ochevidno, che tozi
> > server polzva sled tova za preprashtane na maila po zvena vytreshno
> > marshrutizirane, UUCP ili drug nachin za prehvyrliane na e-maila.
> > Mail-hostovete v GOV domaina ot pyrvo nivo obiknoiveno imat i drug skrit
> > mehanizam za uskoriavane na poshtata, a imenno stealth DNS serveri, koito
> > se izpolzvat samo i edinstveno ot serverite za internet uslugi. Te ne sa
> > dos- tapni za clienti i chesto paziat svezhi zonalni failove za byrz
> > dostap. Obs- sluzhvat DNS zaiavkite na mail-serverite mnogo byrzo i
> > poshtata ne se zastoiava v opashkata... Tova pesti vreme i resursi!
>
> mmmm ... interesno mi e kolko tochno trafik trqbva da pravqt
> mailserverite, che da se useti trafika v/u dns servera... Ne otrivcham ,
> che i tova e variant, no mi se vizhda malko presileno...
>
> > No mozhe bi nai-umnoto izpolzvane na poveche ot 1 MX recorda za
> > zonata e marsrutizaciata na maila po razlichni pytishta (dostavchici).
> >
> > Ta taka, mislia da spra dotuk i da otida da pia po edna bira... tymna!
>
> Dobra ideq :)
> (shte vzema da te cherpq edna takava :) )
>
> ===========================================================================
> A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers)
> http://www.linux-bulgaria.org/ Hosted by Internet Group Ltd. - Stara Zagora
===========================================================================
A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers)
http://www.linux-bulgaria.org/ Hosted by Internet Group Ltd. - Stara Zagora



 

наши приятели

 

линукс за българи
http://linux-bg.org

FSA-BG
http://fsa-bg.org

OpenFest
http://openfest.org

FreeBSD BG
http://bg-freebsd.org

KDE-BG
http://kde.fsa-bg.org/

Gnome-BG
http://gnome.cult.bg/

проект OpenFMI
http://openfmi.net

NetField Forum
http://netField.ludost.net/forum/

 

 

Linux-Bulgaria.ORG

Mailing list messages are © Copyright their authors.