Переход:  Безопасность > Параметры безопасности > Настройки безопасности >

Обратные поиски

Печать этого раздела Пред. страницаК началу разделаCлед. страница

Элементы управления на этой вкладке позволяют настроить параметры обратного поиска доменных имен, передаваемых в командах HELO/EHLO и MAIL. При выполнении такого поиска MDaemon пытается получить IP-адреса всех MX- и A-записей для заданного имени домена. Затем он сравнивает полученные данные с IP-адресом компьютера-отправителя, чтобы установить, имеет ли тот право передавать почту от имени указанного домена.

Стоит отметить, что довольно часто возникает ситуация, когда легитимный почтовый сервер не зарегистрирован в качестве MX- или A-узла. Поэтому задача обратного поиска состоит не в том, чтобы отвергать сообщения от таких серверов, а в том, чтобы предоставить администратору почтовой системы как можно больше дополнительной информации для принятия решения. С этой целью в сообщения, не прошедшие проверку обратным поиском, вставляется специальный заголовок, который затем обрабатывается системой фильтрации содержания.

Кроме того, MDaemon может выполнять обратный поиск записей PTR для IP-адреса узла, пытающегося передать сообщение вашему почтовому серверу. Если IP-адресу не соответствует ни одна PTR-запись, MDaemon может либо отказаться от приема сообщения и прервать сеанс, либо принять сообщение и снабдить его специальным заголовком.

Осталось рассмотреть еще один случай — что делать с узлами-отправителями, которые заявляют о своей принадлежности к несуществующим доменам. Как правило, сообщения от таких узлов просто отклоняются. Для этого используется соответствующая опция на данной вкладке, запрещающая прием почты при получении от DNS-сервера ответа «домен не найден». После активации этой опции MDaemon возвращает отправителю код ошибки 451 451 и отказывается принимать сообщение, однако не разрывает SMTP-сеанс. Кроме того, вы можете использовать две дополнительные опции, одна из которых возвращает отправителю код ошибки 501, вторая — закрывает сетевое соединение.

Обратный поиск никогда не применяется к разрешенным IP-адресам и узлу localhost (127.0.0.1).

Производить обратный поиск PTR записи по входящим SMTP соединениям

Включите эту опцию, если MDaemon должен выполнять обратный поиск PTR-записи для всех входящих соединений SMTP.

...Отослать 501 и прервать соединение, если PTR записи не существует (предупреждение)

Если эта опция включена и PTR-запись не существует, MDaemon вернет отправителю код ошибки 501 (синтаксическая ошибка в параметрах или аргументах) и закроет соединение.

...отправлять 501 и прерывать соединение, если нет совпадения PTR записи

Если эта опция включена и IP-адрес отправителя не совпадает с PTR-записями, MDaemon вернет отправителю код ошибки 501 (синтаксическая ошибка в параметрах или аргументах) и закроет соединение.

Исключать авторизованные сессии (просмотр будет отложен до получения команды MAIL)

Включите эту опцию, если обратный просмотр PTR-записей не должен применяться к авторизованным SMTP-соединениям. В этом случае просмотр откладывается до получения команды SMTP MAIL, позволяющей определить является соединение авторизованным или нет.

Производить поиск по домену HELO/EHLO

Включите эту опцию для выполнения обратного поиска по доменному имени, указанного в команде HELO/EHLO. Эта команда используется клиентом (компьютером-отправителем), чтобы идентифицировать себя на сервере. Доменное имя, предоставленное клиентом в команде HELO/EHLO, используется сервером, чтобы заполнить часть from заголовка Received.

Производить поиск по значению, переданному в команде MAIL

Включите эту опцию для выполнения обратного поиска по доменному имени, указанному в команде MAIL. В этой команде принято указывать адрес для возврата сообщения. Как правило, это электронный адрес отправителя, однако иногда здесь указывается специальный адрес, на который должны пересылаться сообщения об ошибках.

...отправлять 501 и прерывать соединение при фальшивой идентификации (предупреждение)

Включите эту опцию, если MDaemon должен отправлять код ошибки 501 и закрывать соединение, если результаты обратной проверки указывают что, отправитель не является тем, за кого себя выдает.

Отрицательный результат обратного поиска при проверке подлинности отправителя (фальшивая идентификация) не дает 100% гарантии. Легитимные почтовые сервера довольно часто идентифицируют себя значениями, которые не совпадают с их IP адресами. Это может быть следствием ограничений ISP или обусловлено другими соображениями. Поэтому включать эту опцию рекомендуется, только если вы четко понимаете, что делаете.

Не принимать почту, если поиск вернул результат 'домен не найден'

Если эта опция включена и обратный поиск вернул результат «домен не найден», MDaemon выдаст отправителю сообщение об ошибке 451 (Запрошенная операция прервана: локальная ошибка обработки), после чего сеанс будет продолжен до его нормального завершения..

...отправлять код ошибки 501 (обычно отправляется код ошибки 451)

Если эта опция включена и обратный поиск вернул результат «домен не найден», MDaemon выдаст отправителю сообщение об ошибке 501 (Синтаксическая ошибка в параметрах или аргументах).

...и затем прервать соединение

Эта опция приводит к автоматическому завершению сеанса, если обратная проверка выдает результат "домен не найден".

Вставлять предупреждающие заголовки в подозрительные сообщения

Включите эту опцию, если сообщения, не прошедшие обратную проверку, должны снабжаться соответствующим заголовком. Название и содержание этого заголовка задаются в файле MDaemon.ini:

[Special]

LookupWarningHeader=X-Lookup-Warning: text

MDaemon не накладывает никаких ограничений на название и содержание этого параметра, поэтому вам нужно самостоятельно позаботиться о том, чтобы они соответствовали стандартам RFC в части почтовых заголовков.

Белый список

Нажмите эту кнопку, чтобы открыть белый список IP-адресов, к которым никогда не применяется обратная проверка. Этот список может содержать IP-адреса, домена и отедльные узлы.