未調査
may be forged
DNS逆引き可能であるものの、正引きができない
=====================
LOCAL_RULESETS
SLocal_check_relay
R$* $: $&{client_resolve}
RTEMP $#error $@ 4.7.1 $: "450 Access denied. Cannot resolve PTR record for " $&{client_addr}
RFORGED $#error $@ 4.7.1 $: "450 Access denied. IP name possibly forged " $&{client_name}
RFAIL $#error $@ 4.7.1 $: "450 Access denied. IP name lookup failed " $&{client_name}
上記は
(1) 逆引きが登録されていないIPアドレスである場合と
(2) 逆引きできても出てきたホスト名を更に正引きして異なるアドレスであったり、
それがDNSに登録されていなかった場合(誤った逆引きの場合)に
そこから来るメールを拒絶してくれます。
後者はホスト名が偽わられているという解釈です。
http://www.hart.co.jp/spam/rejiponly.html
http://networking.ringofsaturn.com/Unix/sendmailtips.php 確認要
=============
逆引き 存在 正引き 解答無し そこで (may be forged)
dsl-189-169-104-185.prod-infinitum.com.mx [189.169.104.185] (may be forged)
$ dig -x 62.183.83.18
ANSWER: 1
;; ANSWER SECTION:
183.83.183.62.in-addr.arpa. 3600 IN PTR net-62-183-83-183.kbrnet.ru.
$ dig net-62-183-83-183.kbrnet.ru
ANSWER: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~
採用については 保留
http://www.rinneza.com/junya/tech/solaris9_x86/mail/sendmail_8_13_3_cf_setup.html
LOCAL_RULESETS
SLocal_check_relay
R$* $: $&{client_resolve}
RTEMP $#error $@ 4.7.1 $: "450 Access denied. Cannot resolve PTR record for " $&{client_addr}
RFAIL $#error $@ 4.7.1 $: "450 Access denied. IP name lookup failed " $&{client_name}
RFORGED $#error $@ 4.7.1 $: "450 Access denied. IP name possibly forged " $&{client_name}
SMTP接続してきたホストIPアドレスのホスト名を逆引きして、
逆引きできなかった場合は接続を拒否する。
また、逆引きと正引きの回答内容が異なる場合も同様に接続を拒否する。
・RTEMP は担当DNSすら登録されていない場合。
・RFAIL は担当DNSからの答えがない(設定されていない)場合。
・RFORGED は逆引きできたホスト名に対して正引きを行ったが、
答えが一致しない場合。
access.dbで過去に送られてきた様々なspamの送信元を拒否しているが、
「イタチごっこ」状態。 spamの送信元は80%近くが逆引きできない事と、
正常な受信メールは99%以上が逆引きできる事からこの対策に踏み切った。(
注:TABあり)
(参考:http://networking.ringofsaturn.com/Unix/sendmailtips.php)
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
http://www.rouge.gr.jp/~fuku/tips/sendmail-m4/
書き方の例が詳しい
mydomain.mc (変更点を太字にしてあります)
include(`../m4/cf.m4')dnl ※1 コマンドラインで指定するのが面倒なのでここで指定する
divert(-1)
divert(0)dnl
VERSIONID(`$Id: generic-linux.mc,v 8.1 1999/09/24 22:48:05 gshapiro Exp $')
OSTYPE(linux)dnl
DOMAIN(generic)dnl
RELAY_DOMAIN_FILE(`/etc/mail/relay-domains') スタティックなリレー許可ホストファイル (デフォルトなので省略可)
FEATURE(`always_add_domain') ローカルユーザがドメイン名を省略してもドメイン名を付加する
FEATURE(`virtusertable', `hash -o /etc/mail/virtusertable') 受信振り分け指定
FEATURE(`access_db', `hash -T<TMPF> /etc/mail/access') 接続許可/拒否ホスト指定 ※2 (dbm でも可)
FEATURE(`dnsbl', `relays.ordb.org', `"550 Email rejected due to sending server misconfiguration - see "')dnl ORDB を利用しないなら不要
include(`poprelay.mc')dnl ※4 … poprelayd を使用しないなら不要
FEATURE(`greet_pause',`5000')dnl 8.13.1 からは access.db に GreetPause: が使用可能です
MAILER(local)dnl
MAILER(smtp)dnl
# DNS の逆引きがおかしいサイトを拒否する設定
# RFORGED はマルチドメインのメールを拒否してしまうので、コメントアウトのほうが吉LOCAL_RULESETS
SLocal_check_relay
R$* $: $&{client_resolve}
RTEMP $#error $@ 4.7.1 $: "450 Access denied. Cannot resolve PTR record for " $&{client_addr} 管理する DNS が存在しないホスト (SERVFAIL) を拒否
#RFORGED $#error $@ 4.7.1 $: "450 Access denied. IP name possibly forged " $&{client_name} 逆引きと正引きの名前が合致しないホストを拒否
RFAIL $#error $@ 4.7.1 $: "450 Access denied. IP name lookup failed " $&{client_name} 逆引きできないホスト (NXDOMAIN) を拒否
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
なんでも調べてくれるわけでは 無いようです
$ whois nyanta.
...
NYANTA.MIESUKE.COM
NYANTAW.COM
NYANTAS.COM
NYANTAROUS-COLLECTION-PUBLIC.COM
NYANTAROUS-COLLECTION-4.NET
NYANTAROUS-COLLECTION-3.NET
NYANTAROUS-COLLECTION-2.NET
NYANTARO.NET
NYANTARO.COM
NYANTARO-SENSEI.NET
NYANTARASEX.COM
NYANTAI.COM
NYANTAI-AJA.COM
NYANTAH.COM
NYANTA2.COM
NYANTA.NET
NYANTA.COM
...
The Registry database contains ONLY .COM, .NET, .EDU domains and
Registrars.
~~~~~~~~~~~~~~~~~~~~~~~~
あまり 使われない理由です
何か加工すると 良いかもしれません。
にゃんたろう 拝!
2007年12月 4日 (火) 23:13:42 JST 作成