Re[2]: Почтовый прокси

Anton Yuzhaninov citrin at citrin.ru
Fri Feb 16 11:25:30 MSK 2007


Hello Andrey,

You wrote on Friday, February 16, 2007, 10:54:01 AM:

AYO> Andrey N. Oktyabrski wrote:
>>> 1. сократить число тех коннекций которые доходят до MTA
>> Наличие фронтенда перед exim, postfix, и т. д. позволит: Точно
>> позволит? Тут, по-моему, pf полезней будет.

Для входящих mx - pf не может сказать клиенту ошибку 550 с текстом и
URL, и если на заблокированном IP вдруг окажется честный отправитель,
он не будет знать почему его почта не принимается и что ему нужно
сделать, чтобы она стала приниматься.

Для клиентского smtp pf совсем но подходит - тут принципе нет таких IP
которые нужно блокировать. На одном IP если это NAT может сидеть как N
машин с вирусами, так и честные пользователи. Вируса либо отваливаются
по таймауту ничего не сказав, либо пытаются говорить MAIL FROM не
сказав предварительно AUTH. pf тут не поможет отфильтровать тех
кто говорит auth, от тех кто не говорит этого.

В принципе часть нужной функциональности можно реализовать в виде
accept filter (если в нем можно не только читать данные, но и
передавать). Но в этом случае потребуется довольно много изменить
и в коде MTA, да и ошибки в ядерном модуле чреваты крахом все системы, а
не отдельного процесса в случае user-land приложения.

Да и не уверен, что написание такого фильтра + изменения в MTA будет
проще чем добавление нужной функциональности в nginx. К тому же
accept filter это специфичное для BSD решение, а nginx работает под
разными ОС.

-- 
 Anton Yuzhaninov.
-------------- next part --------------
A non-text attachment was scrubbed...
Name: smime.p7s
Type: application/pkcs7-signature
Size: 1781 bytes
Desc: S/MIME Cryptographic Signature
URL: <http://nginx.org/pipermail/nginx-ru/attachments/20070216/b1b5eabd/attachment.bin>


More information about the nginx-ru mailing list