Регистрация...

Eserv Forum / E4 / Eserv 4 beta / "push" спам-письма по url-у и ACL

wikipost // (v1)
Продукты и услуги Скачать Документация Купить Поддержка Форумы Партнёрам Статьи О компании
Доброго времени суток. Взялся сделать сабж — чтобы отправитель спама мог протолкнуть письмо, если оно было классифицировано по-ошибке. Сделал проброс 80-го порта с шлюза до EServ-а, по идее — ссылка проходит. Тыкаю по ней, получаю запрос логина и пароля для доступа. Как сделать доступ к папке с "проталкиваемой" почтой автоматическим?

Вот что имею в логе achttp:
2010-11-08 20:24:31; 192.168.1.1;45;0;1;-;401;GET;238;UNAUTHORIZED;mail.loniir.ru;/2010-11-01/_shajtan_@mail.ru!42049!395613593!2.eml;..\DATA\mail\spam\2010-11-01\_shajtan_@mail.ru!42049!395613593!2.eml;text/plain;"Mozilla/5.0 (Windows; U; Windows NT 6.1; ru; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12 (.NET CLR 3.5.30729)";"";ipcop;;238;0;0;505;;;0;;


ipcop в конце — это, по-видимому, определённый по IP сервер-шлюз, добавлял в своё время все серваки, для порядку, в проект special_senders — думал, что это поможет как раз в таких случаях, когда нужна прозрачная аутентификация отправителя без дополнительных проверок.

Добавил в контроль доступа *mail.loniir.ru* — получил желаемое, но теперь получается, что к моему серваку имеет доступ всяк из интернета? Сие мне не мило! Делаю ресурсом *mail.loniir.ru/MailClassify* (взято из урлы) — не работает, я так понимаю, потому что реально этого ресурса не существует, а генерится он в момент запроса. Итак — что мне поставить в качестве ресурса в правах доступа, чтобы всяк из внешнего мира мог протолкнуть письмо, но не более — чтобы имел минимальнейший доступ к моему серваку.
 
Комментарии к этой версии (08.11.2010 20:57) [~shajtan] e12b4535
АвторДатаТекстtags
shajtan08.11.2010 21:05
Да, и вдогонку — сообщение о недоставке почты и предложение о проталкивании, как я понимаю, лежит в файле OnStartup.rules.txt — который иногда заменяется при обновлении. Не совсем удобно — мне хочется написать более развёрнутый текст, чтобы самый тупой пользователь понял, что к чему — как показывает практика, обращение к ним и предложение протолкнуть письмо на-английском многие игнорируют.

Как вариант — может быть, вынести этот текст в отдельный файл, оставив в OnStartup.rules.txt ссылку на него? А то сейчас приходится отслеживать обновления и править текст после каждого.
wikipost
pig08.11.2010 23:42
shajtan пишет: предложение протолкнуть письмо на-английском

Там сейчас и по-русски есть, только в транслите — по стандарту, в протоколе допустима только латиница. Кириллицу отправитель может не переварить или переварить в неадекватной кодировке.
wikipost
shajtan09.11.2010 11:09
Хм... вот тут, как мне думается, и есть тот момент, когда стандартом стоит пренебречь. По крайней мере, оставить лазейку для конечного пользователя — а то уж слишком много шишек на меня валится оттого, что получатели письма "не поняли, что тут написано и куда надо тыкать". Серьёзно — в ситуации разбираются процентов 20 от пользователей, большинство просто начинает паниковать — дескать, не прошло его сообщение, всё, конец света!

Да, вопрос о контроле доступа к переклассификатору по-прежнему актуален.
wikipost
ac09.11.2010 16:01
Сейчас ACL у вас так настроен, mail.loniir.ru запрашивает пароль, в т.ч. и на MailClassify. Не потому что "ресурса реально не существует" (ACL проверяет только URL), а потому что реально не хватает прав... Надо смотреть, как конкретно у вас настроены списки прав.

Можно сделать иначе — просто создать пустой сайт (добавить домен mail.loniir.ru и положить в каталог DATA\domains\mail.loniir.ru пустой index.html), тогда и на подбор пароля никто не соблазнится. Или разместить там что-то полезное для тех, кто случайно заглянет. Или редирект на ваш основной сайт. В общем, не обязательно охранять паролем пустоту, можно эту пустоту отдать с тем же безвредным эффектом. У нас так и сделано — см. http://klg-t1-rt1.etype.net/ (это основное имя хоста, на котором *.eserv.ru, оно в MailClassify-ссылках используется).

shajtan пишет: вот тут, как мне думается, и есть тот момент, когда стандартом стоит пренебречь.

Игорь же объяснил... Этот текст про проталкивание выдается отправляющему MTA прямо в SMTP-сессии (другого способа нет, отсылать встречные письма нельзя). Если мы будем там использовать 8-битные кодировки, то есть риск, что отправляющий MTA вообще не сможет обработать эту строку. Это не теоретическое предположение, а реальный опыт. Правда не в Eserv, а в MDaemon (но SMTP един для всех MTA). Исходную локализацию MDaemon делали мы, и мы благоразумно не переводили на русский тексты SMTP-протокола. Переводчики, которые пришли нам на смену в 2006м (очевидно, далёкие от понимания протоколов), устранили эту "недоработку", в результате русские версии MDaemon оказались плохо совместимыми с другими MTA, примеры можно прочесть на их форуме. Так что впоследствии им пришлось "отменить" часть перевода. А мы имеем возможность не повторять чужих ошибок.

shajtan пишет: Серьёзно — в ситуации разбираются процентов 20 от пользователей, большинство просто начинает паниковать — дескать, не прошло его сообщение, всё, конец света!

Если продолжать обучать антиспам (и особенно если использовать более одного байеса), то эти паникующие 80% от 0.0001% ложных срабатываний составят "1 человек в год" — наверное не очень много. По крайней мере в сравнении с другими возможными причинами недоставки.
wikipost
shajtan09.11.2010 17:59
Идея с пустым или редиректовым сайтом понравилась, действительно, выглядит привлекательно. Насчёт стандартов — убедили, если были прецеденты, то лучше тогда оставаться в рамках. Могу только заметить, что даже один, но заё... занудный человек может так проесть мозги по поводу не доставленного письма, как сотня других не сможет. Особенно если это высокое руководство.

Ладно, а к вопросу о правах — как всё-таки будет выглядеть грамотно настроеные ACL для моих условий: разрешить доступ к папке MailClassify всем? Не ко всему домену, а только к определённому пути? Дело-то в том, что потом ведь может встать задача разграничения доступа к разным сайтам, вертящемся на EServ-е — задача анлогичная, как мне кажется, по сути.
wikipost
ac09.11.2010 19:42
Чужое руководство мозги не проест, а чтобы своё не проело — заглядывайте в spam-архив.

Чтобы разрешить MailClassify всем — добавьте правило ACL *mail.loniir.ru/MailClassify* (как вы и делали) с галочками на чтение и запись. А также на стили и скрипты, которые там используются — *mail.loniir.ru/e4a/*. Другие поля этих правил заполнять не надо.
wikipost
shajtan09.11.2010 21:35
Ох, вашими бы устами... Хорошо вам — сами на себя работаете, даже не представляете, какие бывают сверху идиоты сидят =)

За решение спасибо. По поводу спам-архива — дело бесперспективное, такие объёмы набегают, что у меня руки опускаются. Огорчает вот ещё что — сил хватает только проверять Unclassified-почту, так вот, там часто болтается валидная почта. Неклассифицированный спам — оно понятно, его пользователь перетащит в соответствующую папку и переобучит. А что делать с верным, но неклассифицированным, если человек работает не по IMAP? Или тут, как вы считаете, выход — только в переводе всех на IMAP? Просто как-то уж повелось, что все ящики у нас работают по POP3, на IMAP я пробовал перелезть ещё во времена третьего EServ, но работало ужасно, на пяти тысячах сообщений в папке уже начинало тупить.
wikipost
ac10.11.2010 00:26
shajtan пишет: По поводу спам-архива — дело бесперспективное, такие объёмы набегают, что у меня руки опускаются.

Наверное у вас из-за ipcop почтовый сервер не видит реального IP отправителя, и не может поэтому испозовать CBL и BRBL, они снижают объем спама раз в 20, и дневной объем спама становится вполне обозримым. Впрочем, сам я в спам тоже заглядываю крайне редко — доверяю голосованию антиспамов и "проталкиванию".

shajtan пишет: на пяти тысячах сообщений в папке уже начинало тупить.

Попробуйте в те же папки заглянуть через E4, IMAP ускорен очень значительно в сравнении с E3.

shajtan пишет: Неклассифицированный спам — оно понятно

А я не понял, что это за "неклассифицированный спам", раз он классифицирован как спам? Имеются в виду ложные срабатывания?

shajtan пишет: А что делать с верным, но неклассифицированным, если человек работает не по IMAP?

Да, вы верно делаете — вести архив unclassified, заглядывать туда и обучать.

shajtan пишет: Огорчает вот ещё что — сил хватает только проверять Unclassified-почту, так вот, там часто болтается валидная почта.

Так ведь Unclassified-то попадает пользователям в inbox'ы, т.е. о недоставке тут печалиться не приходится, можно огорчаться только [безвредному в данном случае] факту недоученности антиспама.
wikipost
Работает на Eserv/5.05555 (05.06.2016)