[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[postfix-jp:03688] Re: 特定サ イトからの受信障害



豊田です。

At 00:09 PM +0900 2003.11.14, Takahiro Kambe wrote:
>一応、sendmailの名誉のために。
>
>In message <p06001f03bbd497756dae@xxxxxxxxxxxxxxxxxxxxxxxxx>
>	on Mon, 10 Nov 2003 10:34:24 +0900,
>	TOYODA Jiro <toyoda@xxxxxxxxxxxxxxxxxxxx> wrote:
> >  sendmail-8.x では、設定によっては接続要求したサーバーに対して ident の
> > 情報を返すように要求する場合があります。つまり受信側のファイヤーウォール
> > で、113 番ポートを開けていないと受信することができません。
>そんなことはありません。開いていない場合、
>
>	o connection refusedされる。
>	o connection timeoutする。
>
>のいずれかになりますが、後者だと配送に妙に時間がかかることになりますが、
>それ以上の問題は発生しません。前者だと即座に配送されます。ただ、古い
>(Ultrixか何かでOSのバグにより、SMTPコネクションが切れてしまうとかいう
>のもあったかもしれませんが、これはsendmail自身の罪ではありません。


こちらをご覧ください。

http://www.asahi-net.or.jp/~mu6k-ski/security/ident.html

> Packet filetering と Ident
> ICMP の destination unreach には次のようなものがある。
>	・	net unreachable
>	・	host unreachable
>	・	protocol unreachable
>	・	port unreachable
>	・	fragmentation needed and DF set
>	・	source route failed
> そのため、ident (113番ポート) に対する filtering の設定には 次のものが
> 考えられる。
>	・	ICMP host unreachable を返す
>	・	ICMP port unreachable を返す
>	・	何も返さない
>	・	TCP RST を返す
>	・	素通しする
> ICMP host unreachable を返す場合、 あるホストとの通信で port unreach
> が発生するとそのホストとの TCP connection がすべてエラーとなって、
> すでに connection が確立されていた sendmail の通信も 同時に途絶えて
> しまう。
>
> port unreachable を返す場合は、最近のマシンでは問題ないが、 4.3BSD
> tahoe のような古い TCP/IP の実装では protocol unreach や port unreach
> という概念がないため、 あるホストとの通信で port unreach が発生すると、
> ICMP host unreachable を返す場合と同様、 そのホストとの TCP connection
> がすべてエラーになってしまい、 すでに connection が確立されていた
> sendmail の通信も同時に途絶えてしまう。
>
> また、無応答であると sendmail が timeout を待つので,時間がかかります。
>
> もし、ルーターが TCP RST を返せるようになっていれば、 これを設定すること
> で以上の問題は発生しませんが、 現在のところこの設定を行うこがルーターは
> ほとんどありません。 (少なくてもCisco ではできません。) ただし、Firewall-1
> では TCP RST を返しますので、 この設定を行なえばいいでしょう。
>
> 以上のように、ident に対して packet filtering を行っていると、 メールの
> 受信に問題をきたす場合があるので、 現状では ident 要求は素通しするのが
> 無難かもしれません。


#「sendmailの名誉」と言われてもね w。

-- 
 
Jiro TOYODA <toyoda@xxxxxxxxxxxxxxxxxxxx>
The Museum of Osaka University
Toyonaka, Osaka 560-0043, Japan
Phone +81-6-6850-6713  Fax +81-6-6850-6713
PGP fingerprint(DSS) = B8E6 D5CA 5E73 E7F9 909A  9577 28FE 8446 A123 2929

Follow-Ups
[postfix-jp:03690] Re: 特定サ イトからの受信障害, Takahiro Kambe
References
[postfix-jp:03652] Re: 特定サ イトからの受信障害, sfukuda
[postfix-jp:03685] Re: 特定サ イトからの受信障害, Takahiro Kambe

[検索ページ] [Postfix-JP ML Home]