Re: [Exim-users] smart host и авторизация в качестве клиента

2016-06-16 Пенетрантность Dmitry Bogun 
 Проблема в том, что mail.p.nyaka.org - это CNAME(этого я изменить не могу)
>>> RFC уже не в моде =(
>> Который именно? Это ж "ручной" роутинг, кто нам тут что запрещает?
> 
> Тут я "промазал": почему-то решил, что речь про MX'ы. Пардон.
> 
>> Единственный "запрет" на CNAME в отношении почты, который я помню - для MX 
>> записей. И то там не запрет, а "особое" поведение в случае CNAME.
> 
> Про запрет знаю, а вот про "особое поведение" - не слышал. Ткнёте
> пальцем в соответствующее RFC?

Да, я таки подзабыл чуток правила - это "специальное" поведение касалось не mx 
записи, а самого домена, когда он "разрешается" через cname - то этот домен 
обрабатывается как domain alias. (http://tools.ietf.org/html/rfc2821#section-5 
)

про cname в mx'а компрады уже понаписывали.

> 
>>> Как подручная затычка: с периодичностью меньше самого минимального ttl
>>> из всех используемых smart-host'ов прогонять цикл, который будет
>>> резолвить cname (например, с помощью `dig +norecurse +short smart-host')
>>> и записывать в CONFDIR/auth-virtual-client
>>> Судя по всему, в итоге получится не однострочник, а целый скриптик с
>>> проверками, но, если цель оправдывает средства, то почему бы и нет =)
> 
>> Тоже вариант. Но мне он не нравится. Не люблю я poll скрипты.
> 
> [...]
> 
>> Еще можно зайти по крупному и "взять" в руки perl.
> 
> Чем это лучше shell-скрипта? =)

Как минимум тем, что работает только в правильные моменты времени(во время 
обработки сообщения) и обладает всеми нужными данными.

Имелось ввиду использование встроенного в exim perl'а, а не сторонний скрипт на 
perl'е вместо shell'а.___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] smart host и авторизация в качестве клиента

2016-06-16 Пенетрантность Max Kostikov 

Ok.
А вот из RFC2821.

2.3.5 Domain

   A domain (or domain name) consists of one or more dot-separated
   components.  These components ("labels" in DNS terminology [22]) are
   restricted for SMTP purposes to consist of a sequence of letters,
   digits, and hyphens drawn from the ASCII character set [1].  Domain
   names are used as names of hosts and of other entities in the domain
   name hierarchy.  For example, a domain may refer to an alias (label
   of a CNAME RR) or the label of Mail eXchanger records to be used to
   deliver mail instead of representing a host name.  See [22] and
   section 5 of this specification.
...
3.6 Domains

   Only resolvable, fully-qualified, domain names (FQDNs) are permitted
   when domain names are used in SMTP.  In other words, names that can
   be resolved to MX RRs or A RRs (as discussed in section 5) are
   permitted, as are CNAME RRs whose targets can be resolved, in turn,
   to MX or A RRs.  Local nicknames or unqualified names MUST NOT be
   used.  There are two exceptions to the rule requiring FQDNs:

   -  The domain name given in the EHLO command MUST BE either a primary
  host name (a domain name that resolves to an A RR) or, if the host
  has no name, an address literal as described in section 4.1.1.1.
...
5. Address Resolution and Mail Handling

   Once an SMTP client lexically identifies a domain to which mail will
   be delivered for processing (as described in sections 3.6 and 3.7), a
   DNS lookup MUST be performed to resolve the domain name [22].  The
   names are expected to be fully-qualified domain names (FQDNs):
   mechanisms for inferring FQDNs from partial names or local aliases
   are outside of this specification and, due to a history of problems,
   are generally discouraged.  The lookup first attempts to locate an MX
   record associated with the name.  If a CNAME record is found instead,
   the resulting name is processed as if it were the initial name.

Написано что домен может быть псевдонимом, а требование ресолвинга в A 
относится

только к HELO.

Однако есть RFC2181, где написано более чётко.

10.3. MX and NS records

   The domain name used as the value of a NS resource record, or part of
   the value of a MX resource record must not be an alias.  Not only is
   the specification clear on this point, but using an alias in either
   of these positions neither works as well as might be hoped, nor well
   fulfills the ambition that may have led to this approach.  This
   domain name must have as its value one or more address records.
   Currently those will be A records, however in the future other record
   types giving addressing information may be acceptable.  It can also
   have other RRs, but never a CNAME RR.

То есть прямой запрет на CNAME в MX.

Резюмируя, для записи MX вы можете использовать CNAME для домена в (поле 
name),

но не для mail exchanger (поле data).


Denis Korost писал 2016-06-16 10:49:

В Thu, 16 Jun 2016 10:38:06 +0200
Max Kostikov  пишет:


Добрый день!

Я что-то тоже не припоминаю никаких номинальных ограничений.
Да и на практике CNAME в MX работают без видимых проблем.


https://www.ietf.org/rfc/rfc1912.txt

[Page 6]
RFC 1912   Common DNS Errors   February 
1996


   Don't use CNAMEs in combination with RRs which point to other names
   like MX, CNAME, PTR and NS.  (PTR is an exception if you want to
   implement classless in-addr delegation.)  For example, this is
   strongly discouraged:

   podunk.xx.  IN  MX  mailhost
   mailhostIN  CNAME   mary
   maryIN  A   1.2.3.4


   [RFC 1034] in section 3.6.2 says this should not be done, and [RFC
   974] explicitly states that MX records shall not point to an alias
   defined by a CNAME.



George L. Yermulnik писал 2016-06-16 09:19:
>> Единственный "запрет" на CNAME в отношении почты, который я помню -
>> для MX записей. И то там не запрет, а "особое" поведение в случае
>> CNAME.
>
> Про запрет знаю, а вот про "особое поведение" - не слышал. Ткнёте
> пальцем в соответствующее RFC?


--
Best regards,
Max Kostikov

BBM: 24CA5DF8 | https://kostikov.co

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] smart host и авторизация в качестве клиента

2016-06-16 Пенетрантность dawnshade 

RFC821 - явно запрещает CNAME "A canonicalized name either
identifies a host directly or is an MX name; it cannot be a
CNAME." 2821 - уже нет (как и 5321 пока драфт), только накладывая ограничение, 
что резолвиться должны в один хоп

"Only resolvable, fully-qualified, domain names (FQDNs) are permitted
when domain names are used in SMTP. In other words, names that can
be resolved to MX RRs or A RRs (as discussed in section 5) are
permitted, as are CNAME RRs whose targets can be resolved, in turn,
to MX or A RRs."
в любом случае есть ненулевая вероятность, кто-то забудет этот пункт при 
перенастройке или вообще не будет знать что cname должен развертываться сразу, 
проще не использовать.
ну и абсолютно не нулевое кол-во мылеров есть, которые считают 821 истиной в 
последней инстанции.

>Четверг, 16 июня 2016, 11:38 +03:00 от Max Kostikov :
>
>Добрый день!
>
>Я что-то тоже не припоминаю никаких номинальных ограничений.
>Да и на практике CNAME в MX работают без видимых проблем.
>
>George L. Yermulnik писал 2016-06-16 09:19:
>>> Единственный "запрет" на CNAME в отношении почты, который я помню - 
>>> для MX записей. И то там не запрет, а "особое" поведение в случае 
>>> CNAME.
>> 
>> Про запрет знаю, а вот про "особое поведение" - не слышал. Ткнёте
>> пальцем в соответствующее RFC?
>
>
>-- 
>Best regards,
>Max Kostikov
>
>BBM: 24CA5DF8 |  https://kostikov.co
>
>___
>Exim-users mailing list
>Exim-users@mailground.net
>http://mailground.net/mailman/listinfo/exim-users
>

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] smart host и авторизация в качестве клиента

2016-06-16 Пенетрантность Denis Korost 
В Thu, 16 Jun 2016 10:38:06 +0200
Max Kostikov  пишет:

> Добрый день!
> 
> Я что-то тоже не припоминаю никаких номинальных ограничений.
> Да и на практике CNAME в MX работают без видимых проблем.

https://www.ietf.org/rfc/rfc1912.txt

[Page 6]
RFC 1912   Common DNS Errors   February 1996

   Don't use CNAMEs in combination with RRs which point to other names
   like MX, CNAME, PTR and NS.  (PTR is an exception if you want to
   implement classless in-addr delegation.)  For example, this is
   strongly discouraged:

   podunk.xx.  IN  MX  mailhost
   mailhostIN  CNAME   mary
   maryIN  A   1.2.3.4


   [RFC 1034] in section 3.6.2 says this should not be done, and [RFC
   974] explicitly states that MX records shall not point to an alias
   defined by a CNAME. 


> George L. Yermulnik писал 2016-06-16 09:19:
> >> Единственный "запрет" на CNAME в отношении почты, который я помню - 
> >> для MX записей. И то там не запрет, а "особое" поведение в случае 
> >> CNAME.  
> > 
> > Про запрет знаю, а вот про "особое поведение" - не слышал. Ткнёте
> > пальцем в соответствующее RFC?  



-- 
With best regards,
Denis Korost [DK2121-RIPE]

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users