强制本地用户给本地用户发信时使用smtp认证问题[问题已解决]

jackieyuan

原帖由 "paulwang" 发表：


不是早就跟你说了吗,你家的信箱没缝， 邮递员怎么把信放进来？

但是新浪这样是送信不成功的啊，它连这条缝都没有～应该说有smtp auth的不应该有这条缝。

欢迎批评～～

yoursmile

原帖由 "jackieyuan" 发表：


但是新浪这样是送信不成功的啊。

强烈关注中！


我也是不明白这其中的道理

rhinofly

楼主有钻研精神，但是，对于问题的描述不够明确;
>; set type=mx
>; sina.com.
Server:  mail.sns.net.cn
Address:  61.145.117.164

Non-authoritative answer:
sina.com        MX preference = 20, mail exchanger = sinamx.sina.com.cn

sina.com        nameserver = tomahawk.sina.com
sina.com        nameserver = authns1.mpls.qwest.net
sina.com        nameserver = resolver.sina.com
authns1.mpls.qwest.net  internet address = 63.231.205.1
>;

telnet sinamx.sina.com.cn 25

220 sina.com ESMTP
helo mygod
250 sina.com
mail from:rhinofly@sina.com
250 ok
rcpt to:rhinofly@sina.com
250 ok
data
354 请继续 - go ahead
Hmm,fake mail sended.
.
553 Spam Mail http://mail.sina.com.cn/FAQ.html

失去了跟主机的连接。

看，给sina.com发信并不需要smtp auth（当然，它判定我的信是spam，这是另一回事）；楼主对邮件投递体系的认知有误，请好好学习理论知识；

jackieyuan

原帖由 "rhinofly" 发表：
楼主有钻研精神，但是，对于问题的描述不够明确;
>; set type=mx
>; sina.com.
Server:  mail.sns.net.cn
Address:  61.145.117.164

Non-authoritative answer:
sina.com        MX preference = 20, ma..........

深刻认识！ 呵呵～ 我也越贴越感到基础不足～～ 继续学习！ 谢谢～～
可能我看到的只是表象，但是尝试着两次用不同的方法链接 smtp.sina.com.cn

telnet smtp.sina.com.cn 25

220 sina.com ESMTP
helo jackieyuan
250 sina.com
mail from:jackieyuan@sina.com
553 ____________________________________________________________________________
____     SMTP 登录出错。新浪邮件系统增加了 SMTP 服务认证，从 2001 年 2 月 28 日
起，只有新浪会员才能享受此项服务。请访问新浪邮件网站查看有关通知及设置方法，网址
是：http://mail.sina.com.cn/smtp.html - authentication required, see http://mail
.sina.com.cn/smtp.html for setup details.     __________________________________
__________________________________________________________________
quit
221 sina.com
失去了跟主机的连接。

第二次用认证方法连接

220 sina.com ESMTP
ehlo jackieyuan@sina.com
250-sina.com
250-AUTH=LOGIN
250-AUTH LOGIN
250-PIPELINING
250 8BITMIME
AUTH LOGIN
334 VXNlcm5hbWU6
amFja2lleXVhbg==
334 UGFzc3dvcmQ6
ZQ4ulDWspbmQ=
235 验证通过 - authentication successfully
quit
221 sina.com
失去了跟主机的连接。

其中的乱码都是 base64加密过的。 所以sina.com应该是有smtp认证的巴～ 谢谢指正！


虽然你的方法也是有成功有失败的～～

220 sina.com ESMTP
helo jackieyuan@sina.com
250 sina.com
mail from:jackieyuan@sina.com
502 未实现 - unimplemented (#5.5.1)
mail from:rhinofly@sina.com
250 ok
rcpt to:rhinofly@sina.com
445 服务器拒绝 - server rejected (#4.4.4)
失去了跟主机的连接。

220 sina.com ESMTP
helo jackieyuan
250 sina.com
mail from:rhinofly@sina.com
250 ok
rcpt to:rhinofly@sina.com
250 ok
mail to you
502 未实现 - unimplemented (#5.5.1)
失去了跟主机的连接。

220 sina.com ESMTP
helo mygod
250 sina.com
mail from:rhinofly@sina.com
250 ok
rcpt to:rhinofly@sina.com
250 ok
data
354 请继续 - go ahead
You can dao ni le
.
553 Spam Mail http://mail.sina.com.cn/FAQ.html

失去了跟主机的连接。

rhinofly

老大啊，你看清楚，我贴nslookup的输出来干什么的？

别人的MTA给sina发信时只会去连接sina.com的MX主机，就是sinamx.sina.com.cn，不会去连接smtp.sina.com.cn的，

smtp.sina.com.cn是给新浪的用户发信用的，自己的用户发信（用自己的MTA作中转），和接收来自别的MTA的信是不同的事情；

sina是把接收本域信件和为本域用户提供relay(俗称"发信"服务这两件事分开用不同的服务器来作，对于一个邮件服务提供商来说是很有必要的；而我们平常配置的MTA也许规模没那么大，也就把这两件事情用同一个MTA服务器实现了；这里面有一点不寻常，不过，如果你对MTA的运作有理解，理解这个做法就是自然而然的了；


如果你说你没注意看smtp.sina.com.cn和sinamx.sina.com.cn是不同的主机，我只能晕倒，不，在晕倒之前要求你向各位关注过你的帖子的兄弟们道歉。

任何不细心的人都会在unix（like）下碰的头破血流甚至倾家荡产；

如果说你想知道怎么实现sina这样的多个MTA协同运作.........好像不难吧？如果你熟悉某种MTA系统。

jackieyuan

原帖由 "rhinofly" 发表：
老大啊，你看清楚，我贴nslookup的输出来干什么的？

别人的MTA给sina发信时只会去连接sina.com的MX主机，就是sinamx.sina.com.cn，不会去连接smtp.sina.com.cn的，

smtp.sina.com.cn是给新浪的用户发信用的，?.........

首先感谢大家的关注～～ 至于道歉，我只是说说我的想法，另外也是认真看了你的帖子再回贴的。在这里发言的人来说，我对我问题的描述应该是详尽的。所以这点我保留我的意见。

任何不细心的人都会在unix（like）下碰的头破血流甚至倾家荡产。

这点我同意并接收你的说法！

也许我的表达有很多问题，刚才看了楼上的一番描述，有一些不名点我也搞清楚了。的确，对于smtp.sina.com.cn 和sinamx.sina.com.cn的对比测试是错误的。这点谢谢楼上阐明。

但是，接着上面的意思，我的问题仅仅停留在您所说的

“smtp.sina.com.cn是给新浪的用户发信用的，自己的用户发信（用自己的MTA作中转）”

这一层上。我并没有指

别人的MTA给sina发信时只会去连接sina.com的MX主机，就是sinamx.sina.com.cn，不会去连接smtp.sina.com.cn的，

我从一开始就说了，我是使用自己的  jackieyuan@mydomain.com 账户 ，通过我自己的服务器（用新浪的比喻来说是 smtp.sina.com.cn） 向自己的mydomin里面的另外一个用户发送邮件的情况下。
并不是上面关注我的帖子各位所说的用他们自己的MTA给我的主机发信。

也就是说我想讨论的（也正是问题所在的）是我使用 smtp.sina.com.cn向jackieyuan@sina.com 发送邮件，不需要认证就可以发送了。这种情况在我的主机上出现。

纠正一下您的发言的一点就知道我的问题了

不是

看，给sina.com发信并不需要smtp auth（当然，它判定我的信是spam，这是另一回事）；楼主对邮件投递体系的认知有误，请好好学习理论知识；

我要说的是

通过sina.com发信是否需要smtp auth（当然，它判定我的信是spam，这是另一回事）；

rhinofly

请问如何设置:
1. 如何通过我的account 对本地域名 mydomain.com 用户发送也需要 smtp认证.
2. 如何设置mail server的正确DNS和MX记录使得类似于sina.com的服务器可以顺利通过我的 DNS auth.

对于要求1，如果你的用户都在内网（如果有的话），你可以permit_sasl_authenticated,然后deny 内网网段，如果你的用户也在不确定的公网连接（如同众多的MX server一样），那么，我认为你的要求违反了smtp协议本身；

对于2，偶没听说dns auth这样一个东西，偶知道的是bind可以配置acl控制对bind 服务的访问，但是没有对外提供的身份验证服务；能提供的是，你可以要求前来连接你的MTA的主机必须是它所声称的那个域的MX server（你的MTA可以通过dns查询去验证这一点）；据知目前hzqbbc的策略服务器能提供这个检查。

你家的邮箱总要有一道缝，这是楼上某位兄弟说的，我想这个缝你是没法堵上的了，除非你的MTA不是公网MTA（不接收来自公网的邮件）。

jackieyuan

原帖由 "rhinofly" 发表：


对于要求1，如果你的用户都在内网（如果有的话），你可以permit_sasl_authenticated,然后deny 内网网段，如果你的用户也在不确定的公网连接（如同众多的MX server一样），那么，我认为你的要求违反了smtp协议本身..........

楼上的～～ 谢啦～～ 嘿嘿～ 俺再继续学习学习～

dennis2

对于你这两个要求，你必须得分开 mx 和 smtp。但这样又无法给新浪发信，所以你还得用 mx 做 smart host，或者用 NAT 把 smtp map 到 mx。

个人认为 “smtp 客户端与 mx 一致” 这个要求比较 BT，还是 SPF 的方式比较正确。

jackieyuan

原帖由 "dennis2" 发表：
对于你这两个要求，你必须得分开 mx 和 smtp。但这样又无法给新浪发信，所以你还得用 mx 做 smart host，或者用 NAT 把 smtp map 到 mx。

个人认为 “smtp 客户端与 mx 一致” 这个要求比较 BT，还是 SPF 的方式?.........

真的很抱歉～～ 已经删除了第二个问题，还是把此题的中心转向
1. 如何通过我的smtp服务器、使用我自己的account 对本地域名 mydomain.com 用户发送邮件时 也需要 smtp认证.[已修改此问题描述]

对造成的误解再次表示道歉！

另外我不太懂 SPF是啥～ 能否解释一下～～
“smtp 客户端与 mx 一致”又是指谁呢？ 新浪？