ПРОЕКТЫ 


  АРХИВ 


Apache-Talk @lexa.ru 

Inet-Admins @info.east.ru 

Filmscanners @halftone.co.uk 

Security-alerts @yandex-team.ru 

nginx-ru @sysoev.ru 


  СТАТЬИ 


  ПЕРСОНАЛЬНОЕ 


  ПРОГРАММЫ 



ПИШИТЕ
ПИСЬМА












     АРХИВ :: nginx-ru
Nginx-ru mailing list archive (nginx-ru@sysoev.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re[2]: Почтовый прокси



Hello Andrey,

You wrote on Friday, February 16, 2007, 10:54:01 AM:

AYO> Andrey N. Oktyabrski wrote:
>>> 1. сократить число тех коннекций которые доходят до MTA
>> Наличие фронтенда перед exim, postfix, и т. д. позволит: Точно
>> позволит? Тут, по-моему, pf полезней будет.

Для входящих mx - pf не может сказать клиенту ошибку 550 с текстом и
URL, и если на заблокированном IP вдруг окажется честный отправитель,
он не будет знать почему его почта не принимается и что ему нужно
сделать, чтобы она стала приниматься.

Для клиентского smtp pf совсем но подходит - тут принципе нет таких IP
которые нужно блокировать. На одном IP если это NAT может сидеть как N
машин с вирусами, так и честные пользователи. Вируса либо отваливаются
по таймауту ничего не сказав, либо пытаются говорить MAIL FROM не
сказав предварительно AUTH. pf тут не поможет отфильтровать тех
кто говорит auth, от тех кто не говорит этого.

В принципе часть нужной функциональности можно реализовать в виде
accept filter (если в нем можно не только читать данные, но и
передавать). Но в этом случае потребуется довольно много изменить
и в коде MTA, да и ошибки в ядерном модуле чреваты крахом все системы, а
не отдельного процесса в случае user-land приложения.

Да и не уверен, что написание такого фильтра + изменения в MTA будет
проще чем добавление нужной функциональности в nginx. К тому же
accept filter это специфичное для BSD решение, а nginx работает под
разными ОС.

-- 
 Anton Yuzhaninov.

Attachment: smime.p7s
Description: S/MIME Cryptographic Signature



 




Copyright © Lexa Software, 1996-2009.