Re: Postgix - принмать почту только с gmail
On Thu, Aug 20, 2015 at 08:24:39PM +0300, Bogdan wrote: > Возникла странная необходимость принимать только почту, которая прошла > через сервера гугла (в т.ч. пересылка почты от другого домена через список > раасылки) > Предположу, что надо проверять для каждого письма SPF-записи, но не для > домена вот from, а ориентируясь строго на гугл. Проще всего MTA сказать принимать письма только с IP-адресов домена google.com. Это достаточно надёжно. MTA выполняет ресолвинг IP-адреса сервер отправителя в доменное имя, а потом снова ресолвит уже имя назад в адрес. И только при совпадении считает доменное имя верным. Такая схема не позволит жулику пролезть прописав для своего IP-адреса имя в домене google.com. https://en.wikipedia.org/wiki/Forward-confirmed_reverse_DNS SPF тут врятли поможет: подпись будет от оригинального письма и при пересылке будет испорчена.
Postgix - принмать почту только с gmail
Привет. Возникла странная необходимость принимать только почту, которая прошла через сервера гугла (в т.ч. пересылка почты от другого домена через список раасылки) Предположу, что надо проверять для каждого письма SPF-записи, но не для домена вот from, а ориентируясь строго на гугл. Подскажите пожалуйста, в какую сторону смотреть? Спасибо. -- WBR, Bogdan B. Rudas
Re: Postgix - принмать почту только с gmail
On Thu, Aug 20, 2015 at 08:24:39PM +0300, Bogdan wrote: Возникла странная необходимость принимать только почту, которая прошла через сервера гугла (в т.ч. пересылка почты от другого домена через список раасылки) Формулировка задачи более чем странная. Чем письма, прошедшие через гугл, лучше остальных? :) Может быть, нужны лишь форварды с гугловских ящиков? Предположу, что надо проверять для каждого письма SPF-записи, но не для домена вот from, а ориентируясь строго на гугл. Подскажите пожалуйста, в какую сторону смотреть? Очевидно, надёжно опознать гугловский рилей можно лишь по spf. Но для форвардов проще завести уникальный почтовый адрес получателя, который можно менять раз в год для профилактики. Это решение одинаково хорошо работает для любого MTA. -- Eugene Berdnikov
Re: Postgix - принмать почту только с gmail
On Thu, Aug 20, 2015 at 10:55:57PM +0300, Bogdan wrote: Всё достаточно просто: есть публичный общедоступный адрес в гмлей с которого письма перенаправляются на технологический почтовый сервер, этот сервер на основе факта письма что-то делает (предположим, распечатывает картинку с котёнком). Для уменьшениня энтропии хочется огородить этот технологический почтовый сервер от сторонней почты. Риск просачивания нежелательно почты через форвард гмейла принимается. 1. Значит, нужен лишь форвард, о чём я и говорил. Непонятно, зачем ещё что-то городить: как левая почта попадёт на технологический сервер, если адрес форварда публично неизвестен? 2. Pls, не нужно топ-квотить и ставить мой адрес в копию. 2015-08-20 20:49 GMT+03:00 Eugene Berdnikov b...@protva.ru: On Thu, Aug 20, 2015 at 08:24:39PM +0300, Bogdan wrote: Возникла странная необходимость принимать только почту, которая прошла через сервера гугла (в т.ч. пересылка почты от другого домена через список раасылки) Формулировка задачи более чем странная. Чем письма, прошедшие через гугл, лучше остальных? :) Может быть, нужны лишь форварды с гугловских ящиков? Предположу, что надо проверять для каждого письма SPF-записи, но не для домена вот from, а ориентируясь строго на гугл. Подскажите пожалуйста, в какую сторону смотреть? Очевидно, надёжно опознать гугловский рилей можно лишь по spf. Но для форвардов проще завести уникальный почтовый адрес получателя, который можно менять раз в год для профилактики. Это решение одинаково хорошо работает для любого MTA. -- -- Eugene Berdnikov
Re: Postgix - принмать почту только с gmail
On Thu, 20 Aug 2015 22:55:57 +0300 Bogdan bog...@gmail.com wrote: Всё достаточно просто: есть публичный общедоступный адрес в гмлей с которого письма перенаправляются на технологический почтовый сервер, этот сервер на основе факта письма что-то делает (предположим, распечатывает картинку с котёнком). Для уменьшениня энтропии хочется огородить этот технологический почтовый сервер от сторонней почты. Риск просачивания нежелательно почты через форвард гмейла принимается. Так собирать почту с гугловского аккаунта fetchmail-ом, а доступ извне к postfix закрыть. И всё. -- Alexander Galanin
Re: Postgix - принмать почту только с gmail
Всё достаточно просто: есть публичный общедоступный адрес в гмлей с которого письма перенаправляются на технологический почтовый сервер, этот сервер на основе факта письма что-то делает (предположим, распечатывает картинку с котёнком). Для уменьшениня энтропии хочется огородить этот технологический почтовый сервер от сторонней почты. Риск просачивания нежелательно почты через форвард гмейла принимается. 2015-08-20 20:49 GMT+03:00 Eugene Berdnikov b...@protva.ru: On Thu, Aug 20, 2015 at 08:24:39PM +0300, Bogdan wrote: Возникла странная необходимость принимать только почту, которая прошла через сервера гугла (в т.ч. пересылка почты от другого домена через список раасылки) Формулировка задачи более чем странная. Чем письма, прошедшие через гугл, лучше остальных? :) Может быть, нужны лишь форварды с гугловских ящиков? Предположу, что надо проверять для каждого письма SPF-записи, но не для домена вот from, а ориентируясь строго на гугл. Подскажите пожалуйста, в какую сторону смотреть? Очевидно, надёжно опознать гугловский рилей можно лишь по spf. Но для форвардов проще завести уникальный почтовый адрес получателя, который можно менять раз в год для профилактики. Это решение одинаково хорошо работает для любого MTA. -- Eugene Berdnikov -- WBR, Bogdan B. Rudas
