Phil Kulin (schors) wrote in ru_pelmen,
Phil Kulin
schors
ru_pelmen

Приём почты

Я обещал провокационные темы? Их есть у меня :)

Чего хочется не принимать:
1. Не принимать почту с адресов не имеющих реверсной записи в DNS. Ни под каким соусом. Никогда. Без каких либо исключений.
Вопрос, на что ссылаться клиенту?
2. Не принимать почту с MAIL FROM: <> и более чем одним RCPT TO:
Тут, я думаю, проблем не будет.
3. Не принимать почту с ненулевым MAIL FROM и присутствующим, но нулевым From: <> в заголовках.
4. Не принимать почту с адресов, занесённых в ordb.org - это просто, так же как и list.dnsbl.net
Случаи жалоб настолько редки, что можно не беспокоится.
5. Не принимать почту , если callback на MAIL FROM дал явно отрицательный результат.
Вот тут лично у меня возникала проблема - народ просто падал на землю и бился в истерике. Что им сказать? Лично я считаю, что нет никакого формального или просто разумного обоснования принимать почту оттуда, куда я её не смогу вернуть.
6. Не принимать почту с адресов, MX'ы доменов которых недоступны, что опознаётся по очереди fallback'а. Примерный алгоритм - проболтался более суток в очереди - получи красную карточку на двое суток. Вижу проблемы как и в (5)
7. Не принимать почту с адресов, MX"ы доменов которых держат мой RELAY в каком-нибудь чёрном списке типа SORBS/Blars/Spamhouse и т.п. Вижу арзиагрессивные проблемы типа (5) - основная проблема доказать неприемлимость односторонней связи.
8. Молча прибивать присьма вирусами. Всегда прибивать. При любых обстоятельствах. Всегда молча. При любых обстоятельствах. Проблема в том, что тут вступает спор о том, что должна быть доставлена квитанция или дан какой-то ответ при посылке. Не вижу ни в том, ни в другом случае смысла. Боту, посылающему вирус, наплевать на код завершения передачи - он всё равно будет слать его.
9. Жёстко проверять helo и ehlo - это FQDN и должен существовать. Проблема в офисных серваках за NAT'ами. При резком переходе народ сломает телефоны - будут истерить и бычить. Вся их корпоративная почта не ходит, ничего делать они не хотят, во всём виноваты все вокруг кроме них. Я плохо представляю, кто ещё может мне на MX выдать неверный HELO?
10. Есть неплохая идея установить ratelimit на lost connection (это когда QUIT не делают или связь рвётся) и сажать такие IP в карантин на 3-4 часа. Типа того - за последние 15 минут твоих соединений больше 10 и 100% "lost connection" - получи часа на четыре 5.x.x. Вопрос в эксперименте - неясно кого под эту гребёнку можно причесать невиновного.
11. Как и в 10 можно установить ratelimit на User Unknown, да и вообще на неспециальные ошибки 5.x.x - за 15 минут больше 10 соединений и 100% ошибок (не специальных типа вот этой) - получи на стуки 5.x.x
12. Тут poige предлагал на http://morning.ru хорошую идею - хочешь получать свой спам? Получай. Это всегда пожалуйста. Но не будет работать никакой фильтр. И вирусы, соответсвенно, свои получай тоже. Аргументировано было отлично - нехрен антивирус всяким спамом загружать. Отличный способ, скажу я, смирить человека с тем, что нельзя брать почту с "кривых" машин.
13. Надо бы минимизировать ответы 4.x.x. За очередями никто не следит, почтовики пытаются повторить попытку доставки. Дьявольщина, вобщем. 5.x.x отлично остужает горячие головы и ускоряет процесс правки ситуации. А главное - никто не звонит тебе с вопросм:"а вот я отправил и уже больше пяти минут идёт", ибо всё сразу ясно и понятно. Если и позвонят, то с чётким вопросм:"А что за 5.x.x мне вернулось от провайдера".
14. "Хорошая мысля приходит опосля". Не принимать почту с осмысленными заголовками FROM, REPLY-TO, X-Mailerxxxx, ещё каких наприпоминать... а - Content-type - и при этом с отсутсвующим To. "To" вообще должно быть обязательно, если я правильно RFC помню, но приму во внимания письма написанные прямо в порт телнетом. Интересно, что я тут не углядел?
15. Не принимать письма из вне с To: local_part, да и изнутри скорее всего тоже...

P.S. Неприятность. Например, в моём случае по пункту (6) вечным огнём будут гореть webplus и nwgsm - я у них по ratelimit соединений не прохожу постоянно. Почта на них копится неделями и 90% так никогда к ним и не попадает. Вопрос - смогу ли я их дожать, если упрусь рогом?
P.P.S. А что делать, скажите пожалуйста, с радикальными антиспамерами, использующими всяике SORBS и т.д.? Или вот, некоторые провайдеры крупные начали новомодную хрень пользовать - серый список называется. У меня треть очереди на fallback этой ерунды...
Subscribe
  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your IP address will be recorded 

  • 63 comments