On 9/30/10 6:38 AM, Gelpi Andrea wrote: > smtpd_delay_reject è abilitato di default, di conseguenza i controlli > vengono effettuati dopo aver ricevuto il RCPT TO.
No. I controlli vengono effettuati nel corso della transazione SMTP a cui appartengono. Quindi quelli in smtpd_helo_restrictions avvengono subito dopo la ricezione dell'HELO, quelli in smtpd_client_restrictions appena è instaurata la connessione, ecc. E' solo il *reject* che avviene dopo l'RCPT TO. Al fine di consentirti di loggare cose come mittente e destinatario che hai appena rimandato a casa... Ma "il punto in cui fai il controllo" non ha alcuna relazione con quello che vai a controllare[1]: nulla vieta di effettuare in fase RCPT TO quel che avresti potuto verificare già in fase di connect... > Come hanno chiarito altri i controlli li posso accentrare in > smtpd_recipient_restriction e decidere in che ordine li eseguo, oppure > utilizzare i vari smtpd_*_restriction e accettare l'ordine impostato da > Postfix che è quello indicato nel mio messaggio originale. > > Mi sto semplicemente domandando perchè postfix abbia scelto quell'ordine > e non uno differente, non credo sia un ordine casuale. Semplici considerazioni di efficienza. Se tu all'atto della connect "sai già" che rigetterai perchè l'IP è dispari, eviti a Postfix di effettuare tutti i check successivi a smtpd_client_restrictions. Tanto la decisione è già presa. E questo è esattamente il motivo per cui i whitelisting sul mittente (che fai necessariamente in smtpd_sender_restrictions e successive) non li puoi applicare. Ecco perchè suggerisco -a meno di esigenze particolari- di applicare il ruleset in smtpd_recipient_restriction: lì hai a disposizione tutti i dati di envelope, e applichi i whitelisting come ti garba: su mittente, su destinatario, su IP sorgente, su HELO, ecc. Prima di quel momento hai solo informazioni parziali. [1] Salvo ovviamente che non puoi applicare regole che si basano su informazioni che in quella fase della transazione SMTP ancora non hai... -- Paranoia is a disease unto itself. And may I add: the person standing next to you may not be who they appear to be, so take precaution. ----------------------------------------------------------------------------- http://bofhskull.wordpress.com/
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
