[Eltenet-l] mail-relay tiltasa

Vid Gabor vidg at georoute.geobio.elte.hu
2000. Feb. 17., Cs, 17:02:56 CET 

On Thu, 17 Feb 2000, Lichtenberger Janos wrote:

> Tisztelt Frohner Akos!
> 
> Mail-relay tiltasrol tervezett lepesekhez lenne nehany hozzafuznivalonk, 
> illetve kerdesunk, melyek a levelbol nem vilagosak:
> 
> 1. Velemenyunk szerint egy ilyen, minedenkit erinto kerdes elintezesei modja 
> nem egy levelben jelzett intezkedes bevezetese, hanem  az erintettekkel 
> (szervezeti egysegek rendszergazdai) megbeszelt es kozosen kialakitott 
> megoldas bevezetese. Ez meg most sem keso, es meg is kell tenni.
> 
> 2. A tervezet szerint a bejovo levelekek megszurnek: akkor mar miert nem lehet 
> a nem elte.hu domain-beli gepre cimzett leveleket siman kiszurni, a tobbit 
> pedig beengedi. Ez lenyegesen egyszerubb, joval kevesebb adminisztraciot es 
> pluszmunkat kovetel - lehet, hogy nem a halozati operatoroktol, de az egyetem 
> rendszergazdaitol osszesen mindenkeppen.

Pontosan ez a lenyege a dolgonak, hogy a nem elte.hu-bol jovo nem
elte.hu-ra meno leveleket kiszurjuk. Ezt csak ugy lehet megoldani,
ha a bejovo leveleket egy mail-relay-en engedjuk at. Ezt ugy lehet
megtenni, hogy minden olyan gepre amely kivulrol levelet akar fogadni
a name-server adatbazisba egy MX rekordot irunk ami megmutatja, hogy
a leveleket ki kezeli, es egy masik MX rekorddal a helyi mail szuro
szamara, hogy az eredeti cimzetnek tovabbitsa. Ahhoz, hogy ezeket az
MX rekordokat el tudjuk kesziteni szukseges tudnunk, hogy kik azok a gepek
amelyek kivulrol levelet fogadnak. Ilyen beallitas mellett van a
legkevesebb dolga a fogado gep rendszergazdajanak mert O ebbol semmit nem
lat 2 MX bejegyzesen kivul. (Termeszetesen ezzel egy idoben a routerben
le kell tiltani, hogy kivulrol level johessen a gepre). Tehat a bejovo 
levelek kezelese igy nagyon egyszeru. DE vannak olyan gepek (pl. ludens)
amely onmagaban viszi az ELTE teljes email forgalmanak kb. 35%-at azokat
a leveleket megjaratni egy kulon mail relay-en pazarlas lenne az
eroforrasokkal, ezert ezekre a gepekre kulon kell engedelyezni, hogy
ok kozvetlenul kaphassanak levelet. Erre vontatkozott az eredeti level
elso bekezdese.


> 
> 3. Ha mindenaron tiltani akarunk, akkor inkabb az olyan gepeket kell 
> letiltani, amelyek nem SPAM-vedettek, illetve  a rajtuk futo SMTP  nem 
> megfeleloen konfiguralt - ha jol tudom, ezt a halozatfelugyelet ellenorizni 
> kepes.
> 

Az ellenorzes gyakorlatilag megoldhatatlan, az ELTE-n jelenleg kb. 4000
gep rendelkezik IP cimmel, ezeknek kb. 1/4 van bekapcsolva egy adott
pillanatban. Ha folyamatosan tesztelne egy szkript az eppen bekapcsolt
gepeket, hogy jo-e vagy sem az SMTP beallitasa (ez pillanatrol pillanatra
valtozhat pl. egy rendszer upgrade miatt) akkor a halozatot ki is
kapcsolhatnank mert a tesztelesen kivul mas adat nem igazan menne rajta.


> 4. Ha mar a bejovo levelek csak bizonyos gepekre juthatnanak el, mi a fenenek 
> kell a kimenoket is csak bizonyos gepekrol engedni. Lehet, hogy meg a 
> bejovonek 'kivalasztott' gepekben sem bizunk??
> Egyebkent a ket csoport az emberi termeszetbol kifolyolag (marmint, hogy az 
> ember legtobbszor nem csak kapni, hanem kuldeni is szokott leveleket) madnem 
> ugyanaz.

A kimeno levelek szurese meg a bejovonel is egyszerubb: a rendszergazda
minden gepen beallitja, hogy a kimeno mail relay (vagy mail forwarder vagy
mas nevu joszag) innen kezdve pl. a mail.elte.hu es a mail.elte.hu majd
megszuri azokat a leveleket amik SPAM-ek. A kifele korlatozas nelkul egy
ugyesen kitalalt SPAM-el az egyiranyu szures kijatszhato. Ezzel a
megoldassal  viszont barki tud levelet kuldeni a megszokott windows-aval
is gond nelkul. Itt megint azokkal a gepekkel van gond amelyek sok levelet
percenkent tobb szazat mint a ludens kuld, mert azokat pazarlas atkuldeni
meg egy mail relay-en.

> 
> 
> 5. Mi a 'nagyforgalmu' gep?. Ki es milyen alapon 'engedelyezi' a direkt 
> kapcsolatot (kell-e hozza pl. ket ajonlo, part es szakszervezeti bizalmi 
> javaslat, stb.)?

Vonderviszt Lajos az Informaciotechnologia Kozpont Igazgatoja, es olyan
"alapon" hogy leellenorzi, hogy a gep megfelel-e a biztonsagos levelezo
szerver kriteriumainak.

> 
> 
> 6. Termeszetesen maximalisan egyetertunk az egytemi halozat zavartalan es 
> biztonsagos uzemelteteset celzo torekvesekkel, de nem szeretnem, ha a  
> halozatot uzemeltetok hasonlatosak lennenek a  (regi es mara bizonyara nem 
> ervenyes ) egyetemi anekdota szerinti, hmm..., mondjuk adminisztraciohoz, mely 
> szamara a tokeletes mukodest csak ket apro dolog tette zavarova: a hallgatok 
> es oktatok... Mi pedig nem szeretnek valamely utobbi kategoriaba kerulni, ez 
> gondolom es remelem a halozatfelugyeletnek sem celja.
> 
> 7. Egyszoval jo lenne, ha a halozatfelugyelet - munkajuk minden tisztelete es 
> elimerese mellett - es a mezei felhasznalo szerepe es fontossaga nem keveredne 
> ossze.
> 
> 
> Udvozlettel: 

							Vid Gabor


-------------------------------------------------------------------------
Vid Gabor                                 
Eotvos Lorand University (ELTE)            Tel: (36)-1-2669833 ext. 2055       
Network Services Centre                         (36)-30-9337458 
Budapest Muzeum krt. 4/c.                  Fax: (36)-1-2668576
1084                                     Email: gabor.vid at elte.hu
-------------------------------------------------------------------------

További információk a(z) eltenet-l levelezőlistáról