[postfix-jp: 1954] Re: reject_unknown_client

[Takahiro Kambe <taca@xxxxxxxxxxxxxxx>]

In message <20060414152553.A148.SATOH0@xxxxxxxxx>
	on Fri, 14 Apr 2006 15:39:34 +0900,
	SATOH Kiyoshi <satoh0@xxxxxxxxx> wrote:
> と、いうことなので、単にRCPT TO処理後にrejectするということをしたいので
> あれば、これでも良いのではないかと思います。
> 　実際、どのタイミングで拒否させるかが意味を持つこともありますので。
なるほど。

> Postfix設定パラメータ
> http://www.kobitosan.net/postfix/trans-2.2/jhtml/postconf.5.html
> 
> reject_unknown_client 
> クライアントのIPアドレスがDNSにPTR (アドレスから名前への) レコードを持た
> ない場合や、その PTR レコードがマッチする A (名前からアドレスへ) レコー
> ドを持たない場合に、要求を拒否します。
> 
> 　とあるので、CNAME返す場合だと unknown_client として処理されるのかと思っ
> たのですが、CNAME返す場合でもそうならない場合があるのでしょうか。
この辺りはresolver的な実装に依存すると思いますが、CNAMEが返されたなら、
その指し示す*本名*まで調べるべきでしょう。

実際、Postfixの実装がどうなっているかまでは、見ていませんが。

また、確かに最近の新しめのPostfixで、逆引きと言わずMXを調べるような段
階で問い合わせに失敗しているケースがあるのも少し気になります。

(いい意味で、不用意にrecursiveなネームサーバが減っていることによる副作
用とかいうこともなさそうですし。)

> > 「DNSが引けない状態」に対して一時的なエラーより厳しい処理、永続的な
> > エラーとしてはいけません。
> > いずれにしろ、SMTPクライアントの逆引きができないだけで、拒否することは
> > お勧めできません。
> 
> 　reject_unknown_client はあまり使わないほうが良い、というところには同意
> です。
> 　でもじゃあなんであるの？という疑問が出そうな気が。
そういった問題点を「すべて承知の上」と納得しても使いたい人がいるからで
しょう。:-)

実は私も一時、承知の上と構えたときもありますが、承知できないと思い直し
ました。対外的よりも、対内的にDNSに登録されていないホストからは使わせ
たくない、といった用途向きな気もします。

-- 
神戸 隆博 / Takahiro Kambe
_______________________________________________
Postfix-jp-list mailing list
Postfix-jp-list@xxxxxxxxxxxxxxxxxxxx
http://lists.sourceforge.jp/mailman/listinfo/postfix-jp-list