Версия 1.0.1, 19 юни 2008
Веселин Колев, Софийски Университет "Св. Климент Охридски"
Адрес за кореспонденция: vesso AT vesselin.org
Първоизточник: http://www.vesselin.org
Лиценз на документа: CC Attribution-ShareAlike
Съдържание:
Принцип на изграждане на MX йерархия в DNS, позволяваща използването на пощенските концентратори
Принцип на действие на схемата с използването на пощенските концентратори на СУ
Принцип на изграждане на пакетния филтър за отхвърляне на SMTP сесиите
Пощенските концентратори на мрежата на Софийския Университет "Св. Климент Охридски" са SMTP сървъри, които са обект на стриктна поддръжка и наблюдение от страна на квалифициран за целта персонал. Замисълът на изграждането им е цялата входяща електронна поща за пощенски домейни, чиито сървъри за крайна обработка на електронна поща (доставката по кутиите на потребителите), са в мрежата на СУ, да преминава през концентраторите. По този начин се избягва риск от пробив в сървъри за електронна поща, които не са обект на квалифицирана техническа поддръжка и постоянно наблюдение (повечето факултетски сървъри за електронна поща). Евентуален пробив би могъл да бъде използван злонамерено за разпращане на нежелана електронна поща (SPAM), което от своя страна би довело до регистриране на хостове от мрежата на СУ (AS5421) в различни "черни" списъци на SPAM излъчватели и това да препятства нормалния процес на изпращане на електронна поща от тези сървъри (или от всички университетски сървъри, ако в "черния" списък попадне цялото мрежово адресно пространство на AS5421).
За да се изгради MX йерархия, която да обслужва схема на доставка на електронна поща, чрез използване на пощенските концентратори на мрежата на СУ "Св. Климент Охридски", се следва следния алгоритъм:
MX записът с най-висок приоритет в йерархията (този с най-малък MX числов идентификатор), трябва да сочи към пълното квалифицирано име на хоста на пощенския сървър за крайна обработка (в този случай това е факултетския сървър за поща);
MX записите за концентраторите на електронна поща на мрежата на СУ са следващи по приторитет, изброяват се с пълните квалифицирани имена на хост ns.uni-sofia.bg и ady.uni-sofia.bg и имат един и същи числов MX иденфикатор.
Този алгоритъм се прилага за всеки пощенски домейн, който има за краен обработчик на електронната поща факултетски съвър или такъв, който не се обслужва от УИЦ на СУ. С цел онагледяване по-долу е дадена примерна MX йерархия за пощенския домейн domain.uni-sofia.bg, която се реализира в зоната на домейна domain.uni-sofia.bg:
$ORIGIN domain.uni-sofia.bg. MX 10 mail MX 20 ns.uni-sofia.bg. MX 20 ady.uni-sofia.bg.
Съгласно тази MX йерархия, при инциране на сесия за предаване на писмо към получател с пощенска кутия в домейна domain.uni-sofia.bg, първо ще се направи опит да се установи SMTP сесия към пощенския сървър с пълно квалифицирано име на хост mail.domain.uni-sofia.bg. Ако този опит пропадне, ще се пристъпи към установяване на SMTP сесия към един от двата SMTP сървъра, с MX приоритет 20 (ns.uni-sofia.bg или ady.uni-sofia.bg).
Описането на принципа на действие е съгласно примера за MX йерархията в точка 2. Да разгледаме доставката на електронно писмо до кутията на потребител на пощенския домейн domain.uni-sofia.bg.
Сървър от интернет изпраща електронно писмо до получател с кутия в пощенския домейн domain.uni-sofia.bg. За да знае до кой сървър за поща трябва да стигне писмото, изпращача използва DNS информацията за домейна domain.uni-sofia.bg и по-точно MX йерархията. В тази йерархия неговия пощенски процес, ще намери този хост, който има най-малък числов идентификатор, за примера това е mail.domain.uni-sofia.bg. Следва инициране на SMTP сесия от изпращача към mail.domain.uni-sofia.bg. Маршрутизатор пред пощенския сървър mail.domain.uni-sofia.bg отхвърля пакета за инициране на SMTP сесията към сървъра за поща mail.domain.uni-sofia.bg, като връща на инициралия сесията сървър (или клиент) ICMP съобщение "ICMP port unreachable" или "ICMP host unreachable". След като изпращача на писмото получи това ICMP съобщение, той ще опита да се свърже с някой от посочените с по-нисък приоритет в MX йерархията на домейна хостове. В конкретния случай той ще избира в случаен ред един от двата пощенски концентратора (ns.uni-sofia.bg или ady.uni-sofia.bg), които имат MX приоритет 20. След това изпращачът отново ще иницира SMTP сесия, но този път не към mail.domain.uni-sofia.bg, а към избрания концентратор. Концентраторът приема писмото и после го доставя до mail.domain.uni-sofia.bg, т.е. спазва MX йерархията за домейна. За да може обаче концентратора да достави писмото до mail.domain.uni-sofia.bg, тази сесия не бива да бъде филтрирана. Подробности относно пакетната филтрация, използвана за реализиране на описаната по-горе схема на доставка, са изложени в следващата точка на това ръководство.
За да се реализира пакетната филтрация, която да помогне за реализирането на описаната в точка 3 схема на доставка чрез отхвърляне на сесия, се използва следната работна схема. Всички инициращи TCP сесия пакети към порт 25/tcp на факултетски сървъри, получени от хостове извън мрежовото адресно пространство на СУ, се отхвърлят от граничните маршрутизатори на AS5421, като на изпращача им се връща ICMP съобщение за недостижимост на хоста (ICMP и ICMPv6 съобщения). Връщането на ICMP съобщение е особено наложително, защото в противен случай сървърът на изпращача ще генерира пауза преди избор на някой от концентраторите (следващите в MX йерархията), което влошава качеството на SMTP услугата, като прибавя големи времезакъснения в нея.
Версия 1.0: [tar.gz] [електронен подпис върху архива]
Публикувана на: 02 януари 2008г.
Този документ е с OpenPGP подписано съдържание
[информация] [електронен подпис][TimeStamp]