On 9/25/10 4:31 PM, Gelpi Andrea wrote: > Salve, > in postfix è possibile eseguire controlli sulle mail in arrivo > utilizzando vari sistemi e facendo controlli su vari campi della mail in > arrivo. > > In ordine di esecuzione i controlli possono essere: > > smtpd_client_restrictions > smtpd_helo_restrictions > smtpd_sender_restrictions > smtpd_recipient_restrictions > smtpd_data_restrictions > smtpd_end_of_data_restrictions > smtpd_etrn_restrictions > > Il primo è quello deputato ad eseguire i controlli sulle liste RBL > > Ora è noto a tutti che alcuni grossi provider italiani hanno alcuni dei > loro IP in blacklist da anni e non sembrano interessati a cercare una > soluzione al problema (ma forse sbaglio).
Sbagli... :-P 1) Se per "i loro IP" intendi gli IP dei loro mailserver, stai evidentemente usando delle DNSBL non adatte allo scopo per cui le usi 2) Se intendi "gli IP dei propri clienti", l'ISP non ha alcuna "responsabilità" su di essi, se non per l'opportunità di allertare il proprio cliente del fatto che la sua rete è compromessa e/o che ne sta facendo un uso inadatto; ma l'IP resta quello del cliente e di norma le ragioni per cui sta un una DNSBL sono riconducibili a lui, non all'ISP.. Nota che la 2 assume che -di nuovo- vi sia una ragione per la presenza nella DNSBL *e* che la DNSBL stessa sia affidabile nei dati... Ovvero che si stia usando una DNSBL "appropriata allo scopo": dire "blacklist" non significa nulla: chiunque può creare una DNSBL che blacklisti 0.0.0.0/0; è chi la usa che deve ponderare se il suo uso ha senso nel suo contesto o meno. Che poi vi sian prassi a disposizione dell'ISP -quali il blocco della 25 outbound- in grado di eliminare le emissioni da residenziali, è certamente vero, ma ha scarsa attinenza con il caso di cui tratti (in quel caso la mail manco parte, quindi nessuna possibilità di falsi positivi e/o necessità di whitelisting lato ricevente)... > Il risultato è che se ho un mittente valido che passa attraverso uno > degli IP in blacklist per metterlo in whitelist devo farlo sull'IP di > provenienza. Ciò significa che tutto ciò che parte da quell'IP verrà > considerato valido e passerà oltre. > > A me sarebbe piaciuto invece usare un meccanismo diverso, mettendo in > whitelist solo la casella di posta o al massimo il dominio del mittente. Applica tutte le restrictions in smtpd_recipient_restrictions e vivi più felice... ;-) -- Paranoia is a disease unto itself. And may I add: the person standing next to you may not be who they appear to be, so take precaution. ----------------------------------------------------------------------------- http://bofhskull.wordpress.com/
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
