home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #31 / NN_1992_31.iso / spool / bit / listserv / pmdfl / 2545 < prev    next >
Encoding:
Text File  |  1992-12-22  |  7.4 KB  |  166 lines
  1. Comments: Gated by NETNEWS@AUVM.AMERICAN.EDU
  2. Path: sparky!uunet!gatech!europa.asd.contel.com!howland.reston.ans.net!paladin.american.edu!auvm!INNOSOFT.COM!PORTIA
  3. Errors-to: epmdf@YMIR.BITNET
  4. X-Envelope-to: PMDF-L@IRLEARN.BITNET
  5. X-VMS-To: IN%"GHC@VGER.NIDDK.NIH.GOV"
  6. X-VMS-Cc: IN%"ipmdf@YMIR.CLAREMONT.EDU"
  7. MIME-version: 1.0
  8. Content-type: TEXT/PLAIN; CHARSET=US-ASCII
  9. Content-transfer-encoding: 7BIT
  10. Message-ID: <01GSKRSMN06Q90NEBH@YMIR.CLAREMONT.EDU>
  11. Date:         Mon, 21 Dec 92 21:00:50 GMT
  12. Sender:       PMDF Distribution List <PMDF-L@IRLEARN.BITNET>
  13. From:         Portia Shao <PORTIA@INNOSOFT.COM>
  14. Subject:      RE: Problem with Mailserv
  15. Newsgroups: bit.listserv.pmdf-l
  16. Lines: 148
  17.  
  18. >From:  IN%"GHC@VGER.NIDDK.NIH.GOV"  "Gerson H Cohen" 21-DEC-1992 07:06:32.44
  19. >To:    IN%"ipmdf@YMIR.CLAREMONT.EDU"
  20. >CC:
  21. >Subj:  Problem with Mailserv
  22. >
  23. >Being a long term user of Mailserv, from before it was a supported
  24. >channel within PMDF, I had pretty much ignored the various postings
  25. >about problems/solutions that have appeared, not realizing that I
  26. >was having the same.  I was thrown a bit to receive the following
  27. >in response to a send/list:
  28. >
  29. >> You are not authorized to obtain the contents of list SADUG-L
  30. >> Use the HELP command to get a list of legal MAILSERV commands.
  31.  
  32. This is disabled by default, the documentation for enabling it should be
  33. found in the bookreader version, the text version is included in this
  34. message.
  35.  
  36. >
  37. >Now I place myself at the mercy of the list asking someone to
  38. >get me over this hump and other similar problems that you think
  39. >I might encounter.  [I do seem to be able to sub, unsub and
  40. >retrieve files.]
  41. >
  42. >Thanks,
  43. >
  44. >Gerson Cohen
  45.  
  46. ----------------------------------------------------------------------------
  47. Access to each type of mail server functionality is controlled using the
  48. MAILSERV_ACCESS mapping in the PMDF mapping file. Use of this mapping is
  49. optional; reasonable defaults are taken for each sort of access if no mapping
  50. is specified.
  51.  
  52. Access control is necessarily based on addressing information. Since it is in
  53. practice possible to forge any sort of address information access checks offer
  54. only marginal protection at best. Although they may make it difficult for
  55. unsophisticated users to unintentionally cause damage they offer no protection
  56. at all against malicious attack.
  57.  
  58.  
  59. ACCESS CHECK STRINGS
  60.  
  61. Each command presented to the mail server is used to compose one or more access
  62. query strings. The access mapping is then applied to each of these strings. The
  63. result of the mapping is examined and determines whether or not the requested
  64. operation is allowed. If the operation is not allowed the mail server returns
  65. an indication to the requestor indicating that an access failure has occurred.
  66.  
  67. The access query strings are always in one of the following two formats:
  68.  
  69.   command-keyword|command-parameter|address
  70.   command-keyword|command-parameter|address1|address2
  71.  
  72. "command-keyword" is derived from the name of the command being checked. It
  73. will be "DIRECTORY" for the DIRECTORY command, "DIRECTLIST" for the
  74. DIRECTORY/LIST command, "SEND" for the SEND command, "SENDLIST" for the
  75. SEND/LIST command, "SUBSCRIBE" for the SUBSCRIBE command, and "UNSUBSCRIBE" for
  76. the UNSUBSCRIBE command. Although commands can be abbreviated abbreviations do
  77. not carry over into the "command-keyword" strings.
  78.  
  79. The "command-parameter" depends on the command. In the case of the file
  80. access commands DIRECTORY and SEND the parameter is the name of the particular
  81. file being accessed. The file name string consists of the directory
  82. specification (if any), the file name, and the file type. Wildcards don't carry
  83. over into access strings; the wildcard expansion process is done first and then
  84. each resultant file generates a separate access check. In the case of the list
  85. access commands DIRECTORY/LIST, SEND/LIST, SUBSCRIBE, and UNSUBSCRIBE the
  86. "command-parameter" is the name of the list. Wildcards are once again
  87. expanded prior to doing any access checks.
  88.  
  89. When a mail server request involves only one address the single-address form of
  90. access check string is built, and "address" is address of the party responsible
  91. for the request. In some cases, notably the SUBSCRIBE and UNSUBSCRIBE commands,
  92. two addresses may be involved -- the address responsible for the request and
  93. the address the request is acting on. In this case the two-address form of
  94. access check string is used, where "address1" is the responsible party's
  95. address and "address2" is the address being acted on.
  96.  
  97. PMDF V4.1 uses the envelope From: address as the responsible party's address.
  98. PMDF V4.2 uses the header Sender: address if one is present. If no Sender:
  99. address is present the header From: address is used instead. The Sender:
  100. address is nominally supposed to represent a "authentic" source of information.
  101. Please keep in mind that given the nature of contemporary messaging protocols
  102. it is fairly easy to forge any or all of these addresses. As a result, the
  103. security offered by mail server access checks is extremely fragile at best.
  104.  
  105.  
  106.  
  107.  
  108. ACCESS CHECK MAPPING RESULTS
  109.  
  110. Access check mapping entries set flags to indicate whether or not the request
  111. should be honored. A "$Y" or "$T" specifies that the request should be honored.
  112. A "$N" or "$F" indicates that the request should be rejected.
  113.  
  114. A "$<" specifies that the entry has returned a file name. The file name should
  115. be specified as a full absolute path. This file is opened and read as a series
  116. of addresses. The request is rejected if the requestor's address does not
  117. appear in the list. A "$>" does the same thing except that rejection occurs if
  118. the requestor's address is in the list. "$<" and "$>" cannot be used in the
  119. same entry; if they are the result is unpredictable.
  120.  
  121. A "$*" in PMDF V4.2 specifies that the entry has returned a referral address.
  122. Instead of honoring the request directly the mail server forwards the request
  123. to the specified referral address. The request is rejected if the referral
  124. address is bogus. A message is also sent to the requestor indicating that his
  125. or her request has been referred elsewhere. The requestor message can be
  126. suppressed by appending "$S" to the mapping's result.
  127.  
  128. If both "$*" and "$<" or "$>" are used simultaneously the string returned by
  129. the mapping entry should consist of the file name, a comma, and then the
  130. referral address.
  131.  
  132.  
  133.  
  134. ACCESS DEFAULTS
  135.  
  136. The DIRECTORY, DIRECTORY/LIST, SEND, and SUBSCRIBE commands all allow full
  137. access if no access mapping is provided or the access check string does not
  138. match any mapping entry. The SEND/LIST command refuses all access and the
  139. UNSUBSCRIBE command only allows access to the requestor's address.
  140.  
  141.  
  142.  
  143. ACCESS EXAMPLES
  144.  
  145. The following mapping controls access to the INFO-BOINK list. It specifies that
  146. user@a.b.c.d has full access to the list and handles subscription requests by
  147. referral. Users in domain f.g.h.i cannot access the list in any way. It also
  148. specifies that anyone not in the domain f.g.h.i can retrieve a copy of the
  149. list membership.
  150.  
  151. MAILSERV_ACCESS
  152.  
  153.     *|INFO-BOINK|user@a.b.c.d                      $Y
  154.     *|INFO-BOINK|user@a.b.c.d|*                    $Y
  155.     *|INFO-BOINK|*@f.g.h.i                         $N
  156.     *|INFO-BOINK|*@f.g.h.i|*                       $N
  157.     SUBSCRIBE|INFO-BOINK|user@a.b.c.d|*            $*user@a.b.c.d
  158.     SENDLIST|INFO-BOINK|*                          $Y
  159.  
  160. --  the end --------------------------------------------------------------------
  161.  
  162.  
  163.                 /portia
  164.                 portia@innosoft.com     (909)624-7907   New area code!
  165.                 Innosoft International Inc.
  166.