Z technickeho hlediska nema oddeleni zadne zvlastni opodstatneni. Takze
se patrne dostavame na pomerne zhave pole diskusi o "nejbezpecnejsi
konfiguraci siti".
Mohl by i presto Richard napsat vyhody a Dan nevyhody rozdeleni mail a
relay
serveru ?
s Danom sa zhodneme na tom, ze nerozpravame o vyhodach alebo nevyhodach. Ja
si myslim (a tu sa uz asi nezhodneme :), ze existuje dobra a zla (menej
dobra) konfiguracia.
Dovody, preco si myslim, ze izolacia je dobra, skusim vysletlit na dvoch
prikladoch. Jeden bude o DNS a druhy o SMTP. Princip je ale v podstate
rovnaky.
Musim ale vopred doplnit, ze izolacia nie je vzdy potrebna, v mojom
prispevku som hovoril o ISP.
Predpokladajme, ze hovorime o firme poskytujucej internetove sluzby. ISP ma
zakaznika, pre ktoreho prevadzkuje v ramci doplnkovych sluzieb sluzby
elektronickej posty a s tym suvisiace sluzby prevadzky DNS pre domenu XYZ.
Zakaznik sa ale jedneho dna zle zobudi a povie si, seriem na peniaze, beriem
domenu inam a objedna si rovnake sluzby u ineho poskytovatela napriek tomu,
ze ISP mu ich poskytuje bud zadarmo alebo ich ma este predplatene na dalsich
par mesiacov. Zakaznik zaroven z nejakeho dovodu neciti potrebu o svojom
rozhodnuti informovat stareho ISP. (pochadzam ciastocne z prostredia ISP,
tento scerar je pomerne bezny)
a) izolacia DNS
Ak ISP nema oddeleny autoritativny a caching only name server, bude svojim
zakaznikom - a to napriek zmenenej delegacii "o poschodie vyssie" poskytovat
informacie zo svojej zony napriek tomu, ze by uz nemal. Dosledkom moze byt
napriklad nedorucenie emailov. Zakaznik pouzije smart relay ISP, ten sa
opyta svojho caching only name servera a ten mu vrati (pravdepodobne)
nespravne MX zaznamy. Maily sa sice dorucia, ale prijemca ich nikdy
nedostane, lebo domenu si uz prestahoval k inemu poskytovatelovi a nema
dovod kontrolovat postu na mail servri stareho poskytovatela.
Inak povedane, caching only name server ISP sa bude povazovat za autoritu
pre danu domenu nezavisle od toho, kam je domena delegovana.
b) izolacia SMTP
Velmi podobna situacia moze nastat v pripade mailov. Opat predpokladajme, ze
ISP ma jeden univerzalny mail server, ktory plni ulohu primary master a
zaroven relay. Tento mail server je nakonfigurovany tak, ze maily pre domenu
XYZ povazuje za "lokalne". Iny zakaznik ISP posle email prostrednictvom
tohoto mail serveru a ten, namiesto toho, aby sa snazil emaily dorucit na
vzdialeny mail server ich bud vrati alebo doruci do lokalnych mailboxov.
Rovnako moze nastat taka situacia, ze primary master sice nieje pouzivany
ako relay ale vykonava forwarding mailov vo vlastnej rezii namiesto toho,
aby email dorucoval cez relay. Opat existuje riziko nespravneho dorucenia
resp. nedorucenia emailu.
V kazdom pripade postihnuty su obvykle zakaznici povodneho ISP a drzitel
domeny.
Za poslednych par rokov som riesil velmi vela problemov suvisiacich najma s
nedorucovanim emailov pre nasich novych zakaznikov. Castou pricinou bolo
absencia izolacie u povodneho poskytovatela. Niekto moze namietat, ze ISP v
tom moze mat poriadok a domeny zo zon a z mail serverov poctivo vyraduje -
avsak ak sa to ISP nedozvie, nema dovod na konfiguracii svojich strojov nic
upravovat.
Izolaciu je samozrejme mozne riesit na jednom stroji a kludne aj v ramci
jedneho OS bez virtualizacie. Ja tak pomerne uspesne pouzivam viacero
instalacii qmailu.
Tesim sa uprimne na Danov resp. akykolvek iny nazor.
pekny weekend
rwi
--
FreeBSD mailing list ([email protected])
http://www.freebsd.cz/listserv/listinfo/users-l
