|
|
Страници по тази тема: 1 | 2 | 3 | 4 | 5 | 6 | >> (покажи всички)
|
Тема
|
 proxy.bol.bg [212.50.17.121] is an open relay
|
|
| Автор |
The_Duke (непознат
) |
| Публикувано | 10.01.05 16:11 |
|
|
От известно време някои мейлове ни се връщат с подобно обяснение:
<bulsyst.com #5.7.1 smtp;554 5.7.1 The server sending your mail proxy.bol.bg [212.50.17.121] is an open relay (spamhaus-rbl.core.registeredsite.com). Connection rejected. Please contact your Dial-Up/DSL/Network ISP Provider. (http://www.spamhaus.org/xbl/index.lasso)>
Проверих - http://cbl.abuseat.org/lookup.cgi?ip=212.50.17.121
IP Address 212.50.17.121 was found in the CBL.
It was detected at 2004-12-19 09:00 GMT (+/- 30 minutes).
...
Някъде преди коледа, миналата година, след първия ми разговор с администратор от бол.бг относно този проблем, стана ясно, че трябва да се свържа с администратора на сървъра, който ми връща пощата и да му обясня, че 212.50.17.121 е ИП от мрежата бол.бг и не е СПАМ сървър, а ние просто сме техни клиенти, с реални ИП адреси, които по неизвестна причина минават през тяхното транспарантно прокси.
"Не виждам какво можем НИЕ да направим, при положение, че някой отстреща е решил, че това ИП е спамерско... По-скоро се обадете на този администратор, откъдето ви връщат пощата и им кажете да ви махнат от списъка... " - и още доста съждения в същия стил. По всичко личи, че ще трябва да се обаждам и на админите на yahoo и др. за да ги уверявам, че 212.50.17.121 не е СПАМ сървър. 
Днес колегата постигна някакъв резултат с първото си обаждане към 13:10, но понеже отсреща обещаха да му се обадят до 3-4 минути, а никой не се обади, той реши отново да звънне. След като 10 минути спори по темата, че плащаме за услугата доставка на интернет, а не за ограничаването му, той (колегата) затвори телефона с извода, че не говорят на общопонятен език....
Малко след разговора им, реших отново да проверя на http://cbl.abuseat.org/lookup.cgi?ip=212.50.17.121 и :
IP Address 212.50.17.121 was not found in the CBL.
It was previously listed, but was removed at 2005-01-10 11:39 GMT - БИНГО !
=> Определено първото обаждане на колегата днес е накарало ИП-то да изчезне от CBL-а. :)
Не виждам защо нашата фирма или друг клиент, закупил (или наел) РЕАЛЕН ИП адрес от доставчика, трябва да страда, поради факта, че мейловете ни, както и тези - на клиентите на бол.бг от същия сегмент, излизат през едно и също ИП, и че някой неук потребител, бидейки заразен, и без да подозира, е разпратил една камара мейлове по света и унас, довело до добавянето на горепосоченото ИП в CBL и RBL.
Още не съм помолил колегата да говори с някой 'администратор' от доставчика по тази тема, но май ще трябва, защото само след неговите обаждания като че ли има резултат... Просто мразя да се карам с хората по телефона, а при такива 'смислени' разговори по-скоро ще сменя доставчика, отколкото да хабя нерви...
По този въпрос, още миналата година ми беше обяснено, че няма как да стане тази работа (нямало как да рутират истинските ни ИП-та през истински маршрут), но все пак.... защо? ... и дали проблема е наш (на клиента) ?
| |
|
Тема
|
 Re: proxy.bol.bg [212.50.17.121] is an open relay
[re: The_Duke]
|
|
| Автор |
Mитko (www.bol.bg) |
| Публикувано | 10.01.05 16:34 |
|
|
Тази тема не е за тук, но все пак ще отговоря, щом е започната.
Това е един от изходящите IP-адреси на нашия прокси сървър. Вярно е, че се използва като транспарантно прокси, но това по никакъв начин не оказва влияние на пощата. За да ви излиза пощата с 212.50.17.121, значи вие ползвате вътрешен IP адрес. Няма начин, гарантирано няма начин реален IP адрес да излезне с това IP, когато изпраща поща навън. Съдейки по домейна, който се чете във вашето съобщение, мога да допусна за кой потребител става дума, а този потребител в нашата база фигурира с IP адрес 192.168.168.195
Проверете дали действително ползвате реален IP адрес и ако плащате за такъв - защо не го ползвате.
Що се отнася до честото попадане на 212.50.17.121 в анти-спам листите - ами да, попада, тъй-като по идея излизащата от него поща действително е спам и/или вируси. Потребителите с вътрешни IP-та нямат причина, поради която трябва да изпращат пощата навън директно - те нямат собствен smtp сървър, а използват нашия. Масово явление е някой потребител с вътрешно ip да хване вирус и да започне да разпраща спамове (тези с реални IP-та се защитават по-добре по обясними причини). А ние не се опитваме да вадим това IP от антиспам листите, защото ... ами защото там му е мястото :). То не би трябвало по никакъв легитимен начин да се използва за изпращане на поща.
Митко
| |
|
Тема
|
Re: proxy.bol.bg [212.50.17.121] is an open relay
[re: Mитko]
|
|
| Автор |
The_Duke (непознат
) |
| Публикувано | 10.01.05 17:17 |
|
|
Много се извинявам, но никога не сме настоявали да имаме ИП от вътрешната мрежа на бол.бг. Единствената причина, поради която 192.168.168.195 стои на външния интерфейс на машината е, че хората-админи от бол.бг казаха, че без него не може. Нямало начин да се рутират истинските ни ИП-та без да сме част от прайвът мрежата. Не че ме дразнеше да виждам tracert към нас, минаващо през 192.168.168.1....
Напоследък, след едни други недоразумения (т.нар. 'чистка на ИП-та' в бол.бг преди 2 месеца), нито аз мога да трейсвам навън, нито някой отвън може да пусне трейс до нас... Тогава пък се оказа, че аз съм виновен, че ДНС-а на булсист.ком е на истинско ИП при нас, а рутинг отвън до него нямаше... респективно нямахме УЕБ, поща и каквото се сещам, разписано в ДНС-а... Но като магия, без да пипаме нищо от двете страни (от бол бяха убедени че е така), след 4 дена подмятания и спорове от моя страна с хората там, нещата се оправиха.
| |
|
Тема
|
Re: proxy.bol.bg [212.50.17.121] is an open relay
[re: Mитko]
|
|
| Автор |
^] (escapist...) |
| Публикувано | 10.01.05 17:34 |
|
|
Митко, Митко... "не се опитваме да вадим това айпи от листите, защото там му е мястото."
Явно ти така виждаш нещата, но честно казано, ако си видя адрес за който отговарям във njabl, примерно ще колабирам от нерви и яд.
Толкова ли е трудно да се тури един редирект на 25-ти порт накъдето трябва, или просто да се изфилтрира навън?
Не ме разбирай погрешно - съгласен съм че на натнатите клиенти не им е работа директно да пращат мейл. Това в 99% от случаите ще е или вируслясал клиент, или спамерче. Но поне им попречи да допринасят за и без друго прекоменият трафик спам.
// Lex Talionis.
| |
|
Тема
|
Re: proxy.bol.bg [212.50.17.121] is an open relay
[re: ^]]
|
|
| Автор |
Mитko (www.bol.bg) |
| Публикувано | 10.01.05 22:18 |
|
|
Ами не е редно нито да се филтрира, нито да се редиректва. Има потребители, които си ползват някакъв конкретен smtp/pop3 сървър и с филтър можеш да им създадеш проблеми.
Освен това ако ги редиректна, няма да им спра спама - ще го пропусна с IP-адреса на smtp сървъра и тогава наистина ще стане кофти, 'щото в dnsbl ще попадне точно този адрес, който не бива да попада там. Ние получаваме рипорти от spamcop и още няколко такива системи и обикновено чистим от вируси потребителя, който е бил виновен. Но на мястото на един изчистен се появяват десет нови, така че това IP няма никакъв смисъл да се вади от блеклистите.
Митко
| |
|
Тема
|
Re: proxy.bol.bg [212.50.17.121] is an open relay
[re: The_Duke]
|
|
| Автор |
Mитko (www.bol.bg) |
| Публикувано | 10.01.05 22:43 |
|
|
Всеки проблем си има своето решение. Вашият има поне три решения. Ще ги опиша за Linux, а ако ползвате нещо друго, верятно имат аналог. Аз препоръчвам второто решение, защото при Linux въобще не е задължително машината да се идентифицира с ip-то на външния интерфейс - изходящото ip може да се зададе изрично и дори може да не е вдигнато на нито един от интерфейсите. Може дори да бъде различно за различните сървиси.
1. application level
Указвате на smtp сървъра към кое IP да се bind-не. За sendmail става със следния ред в sendmail.cf:
# SMTP client options
O ClientPortOptions=Family=inet, Address=1.2.3.4
където 1.2.3.4 е реалното ви IP
2. network level
добавате default routing-а "ръчно" с:
/sbin/ip ro add default via <gateway> src 1.2.3.4
това може да се сложи в rc.inet1 или rc.local - зависи какъв е линукса
3. network level 2
ако по някаква причина вариант 2 е неприложим, можете да SNAT-нете собствените си изходящи сесии, но това по-добре да го прави някой, който разбира достатъчно, защото нееднократно сме имали проблеми с лош NAT върху клиентски машини (най-честата грешка е да NAT-нат всичко, а не само вътрешния интерфейс, а ако имат реално IP, целият свят започва да спами през тях).
Нашите сисадмини могат да ви конфигурират машината, ако при вас няма кой да го направи. За тези неща се консултирайте с тях, а не с поддръжката. Едва ли сте стигнали до админите, защото те знаят как се решава този проблем и са го правили десетки пъти. Просто при вас нещата са обърнати - реалните IP адреси са ви от вътрешната страна, а не от външната (при 99.9% от потребителите е обратното). Външната връзка също може да бъде с реални IP адреси, но различни от вътрешните - действително няма как да ползвате еднакво IP и на вътрешния, и на външния интерфейс, но горните три трика помагат да се избегне този ефект.
Що се отнася до DNS-ите - наистина всеки един домейн трябва да има поне един DSN извън него самия, иначе при евентуална повреда пощата може да се загуби, защото системите получават отговор "няма такъв домейн" вместо "таймаут". Именно затова при регистрацията се изискват два DNS-а и наистина ми е чудно как вашият е регистриран само с един. За нашите абонати услугата "вторичен DNS" е безплатна, т.е. добре е да сложим ns.bol.bg като вторичен DNS, за да не ви изчезва домейна при евентуално прекъсване на връзката.
Митко
| |
|
Тема
|
Re: proxy.bol.bg [212.50.17.121] is an open relay
[re: Mитko]
|
|
| Автор |
^] (escapist...) |
| Публикувано | 11.01.05 10:14 |
|
|
Съвсем редно е да се филтрира, редиректва и т.н. Не случайно всички големи дсл/кабелни модеми провайдери по света го правят.
Тези потребители които си ползват някакъв си там конкретен мейл сървър, ако имат достатъчно акъл ще си конфигурират смарт-хост, ако нямат - значи не им и трябва да го ползват.
Колкото до юзерите и това че ще ти блеклистнат мейл сървъра - пак не съм съгласен. Ако сложиш един спамасасин на рилей клиентите, плюс един тънък кламав със сигурност ще намалиш броя на реално излизащите навън от теб "гадинки" до много малък.
Ако следиш внимателно лога на кламав-то, ще видиш много бързо кои точно твои клиенти са заразени в момента. Резни им жицата, обади им се - остави ги сами да се лекуват. В крайна сметка ти им доставяш интернет, не си им майка хранител.
Може би не се изразявам много ясно, но много по нормално да се филтрира на изхода, преди още да са стигнали до външният интернет, отколкото да се разчита че някой там, някъде ще си сложи антивирусна или антиспам защита.
Като цяло битката със спама е загубена, но ей богу - тя е загубена защото всеки подхожда с идеята че изходящият от него спам е нещо неиминуемо и че това е нечии друг проблем, а не негов.
// Lex Talionis.
| |
|
|
|
Uahahahahaaha - ne moga da se vazdarja :)))). BOL mnogo me kefqt osobenno Mitko kato pochne da peltechi i da se opravdava :))))
Beware - I can take your soul
| |
|
|
|
Радвам се, че съм допринесъл ако не за друго, поне за доброто ти настроение.
Щях да се радвам още повече, ако и твоите постинги допринасяха за нещо, освен за намаляване на свободното дисково пространство на dir.bg
Митко
| |
|
|
|
Уффф - таман си написаш темата и трябваше да преписвам - нали не обичате латиницата.
Незнам дали си забелязал но нещата които пиша са доста четени :)))). Писна ми да се карам с хора които си мислят че са Но. 1 и май си плюя срещу вятъра.
Тази тема обаче за пореден път доказва за какво качесто на предлаганите услуги и за какъв бизнес модел говорим. Имам една приказка - кажи му ЛАН и не го обиждай повече. А твоите високомерни и глупави постинги винаги ме карат да се смея от все сърце. Един единствен път каза нещо смислено. Ама нали знаеш приказката за полицая стената и паденията - аз мисля да падна..............................................
......................................................................
..................................................................................
Beware - I can take your soul
| |
|
Страници по тази тема: 1 | 2 | 3 | 4 | 5 | 6 | >> (покажи всички)
| 
|
|
