home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #31 / NN_1992_31.iso / spool / vmsnet / mail / pmdf / 2791 < prev    next >
Encoding:
Internet Message Format  |  1992-12-22  |  7.4 KB
  1. Path: sparky!uunet!cs.utexas.edu!sdd.hp.com!ux1.cso.uiuc.edu!moe.ksu.ksu.edu!mccall!ipmdf-newsgate!list
  2. Newsgroups: vmsnet.mail.pmdf
  3. Subject: RE: Problem with Mailserv
  4. Message-ID: <01GSKR8R3S0S8WW4BW@INNOSOFT.COM>
  5. From: Portia Shao <portia@innosoft.com>
  6. Date: 21 Dec 1992 11:42:30 -0700 (PDT)
  7. Organization: The Internet
  8. Return-Path: <epmdf@YMIR.CLAREMONT.EDU>
  9. Resent-Date: 21 Dec 1992 11:42:30 -0700 (PDT)
  10. Resent-From: epmdf@YMIR.CLAREMONT.EDU
  11. CC: ipmdf@YMIR.CLAREMONT.EDU
  12. Errors-To: epmdf@YMIR.CLAREMONT.EDU
  13. Resent-Message-ID: <01GSKRSMN06Q90NEBH@YMIR.CLAREMONT.EDU>
  14. X-Vms-To: IN%"GHC@VGER.NIDDK.NIH.GOV"
  15. X-Vms-Cc: IN%"ipmdf@YMIR.CLAREMONT.EDU"
  16. Mime-Version: 1.0
  17. Content-Type: TEXT/PLAIN; CHARSET=US-ASCII
  18. Content-Transfer-Encoding: 7BIT
  19. Lines: 148
  20.  
  21. >From:    IN%"GHC@VGER.NIDDK.NIH.GOV"  "Gerson H Cohen" 21-DEC-1992 07:06:32.44
  22. >To:    IN%"ipmdf@YMIR.CLAREMONT.EDU"
  23. >CC:
  24. >Subj:    Problem with Mailserv
  25. >
  26. >Being a long term user of Mailserv, from before it was a supported
  27. >channel within PMDF, I had pretty much ignored the various postings
  28. >about problems/solutions that have appeared, not realizing that I
  29. >was having the same.  I was thrown a bit to receive the following
  30. >in response to a send/list:
  31. >
  32. >> You are not authorized to obtain the contents of list SADUG-L
  33. >> Use the HELP command to get a list of legal MAILSERV commands.
  34.  
  35. This is disabled by default, the documentation for enabling it should be
  36. found in the bookreader version, the text version is included in this
  37. message.
  38.  
  39. >
  40. >Now I place myself at the mercy of the list asking someone to
  41. >get me over this hump and other similar problems that you think
  42. >I might encounter.  [I do seem to be able to sub, unsub and
  43. >retrieve files.]
  44. >
  45. >Thanks,
  46. >
  47. >Gerson Cohen
  48.  
  49. ----------------------------------------------------------------------------
  50. Access to each type of mail server functionality is controlled using the
  51. MAILSERV_ACCESS mapping in the PMDF mapping file. Use of this mapping is
  52. optional; reasonable defaults are taken for each sort of access if no mapping
  53. is specified.
  54.  
  55. Access control is necessarily based on addressing information. Since it is in
  56. practice possible to forge any sort of address information access checks offer
  57. only marginal protection at best. Although they may make it difficult for
  58. unsophisticated users to unintentionally cause damage they offer no protection
  59. at all against malicious attack.
  60.  
  61.  
  62. ACCESS CHECK STRINGS
  63.  
  64. Each command presented to the mail server is used to compose one or more access
  65. query strings. The access mapping is then applied to each of these strings. The
  66. result of the mapping is examined and determines whether or not the requested
  67. operation is allowed. If the operation is not allowed the mail server returns
  68. an indication to the requestor indicating that an access failure has occurred.
  69.  
  70. The access query strings are always in one of the following two formats:
  71.  
  72.   command-keyword|command-parameter|address
  73.   command-keyword|command-parameter|address1|address2
  74.  
  75. "command-keyword" is derived from the name of the command being checked. It
  76. will be "DIRECTORY" for the DIRECTORY command, "DIRECTLIST" for the
  77. DIRECTORY/LIST command, "SEND" for the SEND command, "SENDLIST" for the
  78. SEND/LIST command, "SUBSCRIBE" for the SUBSCRIBE command, and "UNSUBSCRIBE" for
  79. the UNSUBSCRIBE command. Although commands can be abbreviated abbreviations do
  80. not carry over into the "command-keyword" strings.
  81.  
  82. The "command-parameter" depends on the command. In the case of the file
  83. access commands DIRECTORY and SEND the parameter is the name of the particular
  84. file being accessed. The file name string consists of the directory
  85. specification (if any), the file name, and the file type. Wildcards don't carry
  86. over into access strings; the wildcard expansion process is done first and then
  87. each resultant file generates a separate access check. In the case of the list
  88. access commands DIRECTORY/LIST, SEND/LIST, SUBSCRIBE, and UNSUBSCRIBE the
  89. "command-parameter" is the name of the list. Wildcards are once again
  90. expanded prior to doing any access checks.
  91.  
  92. When a mail server request involves only one address the single-address form of
  93. access check string is built, and "address" is address of the party responsible
  94. for the request. In some cases, notably the SUBSCRIBE and UNSUBSCRIBE commands,
  95. two addresses may be involved -- the address responsible for the request and
  96. the address the request is acting on. In this case the two-address form of
  97. access check string is used, where "address1" is the responsible party's
  98. address and "address2" is the address being acted on.
  99.  
  100. PMDF V4.1 uses the envelope From: address as the responsible party's address.
  101. PMDF V4.2 uses the header Sender: address if one is present. If no Sender:
  102. address is present the header From: address is used instead. The Sender:
  103. address is nominally supposed to represent a "authentic" source of information.
  104. Please keep in mind that given the nature of contemporary messaging protocols
  105. it is fairly easy to forge any or all of these addresses. As a result, the
  106. security offered by mail server access checks is extremely fragile at best.
  107.  
  108.  
  109.  
  110.  
  111. ACCESS CHECK MAPPING RESULTS
  112.  
  113. Access check mapping entries set flags to indicate whether or not the request
  114. should be honored. A "$Y" or "$T" specifies that the request should be honored.
  115. A "$N" or "$F" indicates that the request should be rejected.
  116.  
  117. A "$<" specifies that the entry has returned a file name. The file name should
  118. be specified as a full absolute path. This file is opened and read as a series
  119. of addresses. The request is rejected if the requestor's address does not
  120. appear in the list. A "$>" does the same thing except that rejection occurs if
  121. the requestor's address is in the list. "$<" and "$>" cannot be used in the
  122. same entry; if they are the result is unpredictable.
  123.  
  124. A "$*" in PMDF V4.2 specifies that the entry has returned a referral address.
  125. Instead of honoring the request directly the mail server forwards the request
  126. to the specified referral address. The request is rejected if the referral
  127. address is bogus. A message is also sent to the requestor indicating that his
  128. or her request has been referred elsewhere. The requestor message can be
  129. suppressed by appending "$S" to the mapping's result.
  130.  
  131. If both "$*" and "$<" or "$>" are used simultaneously the string returned by
  132. the mapping entry should consist of the file name, a comma, and then the
  133. referral address.
  134.  
  135.  
  136.  
  137. ACCESS DEFAULTS
  138.  
  139. The DIRECTORY, DIRECTORY/LIST, SEND, and SUBSCRIBE commands all allow full
  140. access if no access mapping is provided or the access check string does not
  141. match any mapping entry. The SEND/LIST command refuses all access and the
  142. UNSUBSCRIBE command only allows access to the requestor's address.
  143.  
  144.  
  145.  
  146. ACCESS EXAMPLES
  147.  
  148. The following mapping controls access to the INFO-BOINK list. It specifies that
  149. user@a.b.c.d has full access to the list and handles subscription requests by
  150. referral. Users in domain f.g.h.i cannot access the list in any way. It also
  151. specifies that anyone not in the domain f.g.h.i can retrieve a copy of the
  152. list membership.
  153.  
  154. MAILSERV_ACCESS
  155.  
  156.     *|INFO-BOINK|user@a.b.c.d                      $Y
  157.     *|INFO-BOINK|user@a.b.c.d|*                    $Y
  158.     *|INFO-BOINK|*@f.g.h.i                         $N
  159.     *|INFO-BOINK|*@f.g.h.i|*                       $N
  160.     SUBSCRIBE|INFO-BOINK|user@a.b.c.d|*            $*user@a.b.c.d
  161.     SENDLIST|INFO-BOINK|*                          $Y
  162.  
  163. --  the end --------------------------------------------------------------------
  164.  
  165.  
  166.         /portia
  167.         portia@innosoft.com    (909)624-7907    New area code!
  168.         Innosoft International Inc.
  169.