jj, u vlastního smtp a přesměrování klientů na něj je to dnes prakticky nutnost, protože Outlook2007+ se při odesíláním s autorizací prostě odmítne připojit na smtp server, který mu při připojení nepotvrdí, že přijímá autorizaci :? Nižší verze Outlooku s tím problém neměly. Nevím jak u jiných pošťáků, řešil jsem to kvůli Outlookům, ale mám dojem, že většina ostatních toto nevyžaduje.
Informativně, jak řešíš, pokud je použito NTLM nebo GSSAPI na původním serveru? Nebo to také bereš to tak, že tito mají smůlu (je jich minorita)?
Což u firemního sektoru se občas vyskytuje místo PLAIN/LOGIN. Pro klasické LOGIN/PLAIN metody to jde odrbat jak píšeš.
A asi je to stejně zastaví na STARTTLS, protože asi těžko předložíš certifikát, který bude podepsán tak, aby to klient bez řvaní spolknul (a pak záleží na politikách, zda uživatel vůbec bude mít dovoleno dát pokračovat).
A když tu poštu pošle na tvůj server, tak je další věc, co s tím udělají případné cílové servery v návaznosti na SFP/DS a podobné. Může to v závislosti na konfiguraci takový mail přímo v tichosti zlikvidovat. Je pak sranda, když musím managorovi vysvětlovat, že těch 100 mailů, co napsal za víkend na hotelu a rezeslal lidem, bylo někde pozahazováno, protože přišly odjinud, než měly (nepřišly z smtp serveru jeho firmy, což mají deklarováno jako jediný možný zdroj mailu). :-)
Ideální není ani jendo (ať už zkusit násilím to přesměrovat na sebe nebo ho natvrdo zaříznout a zdar).
Bohužel doporučené řešení, že přijmající SMTP server pro příjem dat od MUA má sedět na portu 587 a 25 slouží jen pro MTA-MTA přenos je hezké, ale v praxi se zatím moc neujalo (a to pomíjím, že starší Outlook verze s tím mají těžké problémy, pokud je něco jiného, než 25 nebo 465, který by vlasntě měl být dle rfc pořádku mrtvý, ale kvůli Outlookům to nejde).
Pokud používáš "extra" vylepšení smtp a hodně cestuješ, tak se především ve firemním segmentu předpokládá použití vpn, toto má řešit běžné případy použití smtp. S SPF jsem se náhodou setkal až nedávno, kdy jedna firma odmítala řešit emaily z domén které nemají SPF anebo kde se liší zadaná ip (jinak řečeno hrozně chytrý admin, který si něco přečetl a naklikal to do nějakého windows serveru), jinak asi nevím, kdo by SPF používal. Naopak ale vím, že drtivá většina mailových serverů používá různé black listy, a pustit (speciálně na volném hotspotu) 25 port volně téměř jistě znamená mít danou ip běhěm několika málo dnů (případně hodin) na nějakém blacklistu :( Nejlepší ochranou proti zablacklistovaní se mi osvědčil vlastní smtp, kde si to pohlídám. Zkoušel jsem i různé pravidla v mikrotiku (počet konekcí na 25 apod), ale výsledek nebyl nijak oslnivý, spousta toho prošlo.
