[Postfixbuch-users] Filtern von dynamischen IP's anhand Ihres DNS eintrages

Uwe Driessen driessen at fblan.de
Sa Feb 3 17:19:16 CET 2007 

Sandy Drobic Schrieb
> 
> Uwe Driessen wrote:
> >> Sandy Drobic wrote:
> >>
> >> Okay, hier mal die etwas sortierte Liste der dynamischen Hosts, die bei
> >> mir übel aufgefallen sind. Ich habe sie wegen des Emailumbruchs in zwei
> >> Zeilen geschrieben, bei mir sind sie auf einer Zeile (und sieht deshalb
> >> auch nicht so wuchtig aus).
> >>
> >> --
> >> Sandy
> >
> > So nachdem ich bei Sandy gesehen habe wie Er / Sie es macht, habe ich mich noch mal an
> > meinen Ursprünglichen Vorschlag drangesetzt und dabei ist folgendes rausgekommen.
> >
> > z.Z. mal 2 Zeilen
> >
> > /d+.{2,4}\d\.*/  550 no dynIP please! 1
> > /[a-zA-Z+-]{2,7}\d+-{1,3}\d+./  550 no dynIP please! 2
> >
> > Getestet habe ich die gegen folgende dyn IP und noch ein paar andere die nicht erkannt
> > werden dürften.
> 
> Ein kleiner Fehler hier:
> /[a-zA-Z+-]{2,7}\d+-{1,3}\d+./

Nun eigentlich wollte ich das auf mindestens 3 mal  höchstens 4 mal xxx- gefiltert wird 
Wenn ich aber bei der ersten Zahl eine 2 oder 3 reinschreibe dann ist dieser Filter wieder
wirkungslos nur warum das habe ich noch nicht rausgefunden  

Nicht haben möchte ich zum Beispiel:

191.215.20.81.dynamic.adsl.abo.nordnet.fr
217-159-129-222-rdsl.kae.estpak.ee
240.119.100-84.rev.gaoland.net
246.Red-83-36-47.dynamicIP.rima-tde.net            der fällt aus der Reihe 
61-64-108-13-adsl-kao.dynamic.so-net.net.tw
80.178.150.83.adsl.012.net.il
82-170-165-93.dsl.ip.tiscali.nl
a82-92-65-43.adsl.xs4all.nl
adsl-145-45.38-151.net24.it
adsl-149-87-44.mia.bellsouth.net
adsl201-245230012.dyn.etb.net.co
adsl214212.static.invitel.hu
adsl-33-217-58.lft.bellsouth.net
adsl-63-197-184-23.dsl.lsan03.pacbell.net
adsl-ull-70-251.48-151.net24.it
c189055.adsl.hansenet.de    den bekomme ich nicht damit der hat aber anderen Mist gemacht
client-82-2-50-88.brnt.adsl.virgin.net
cm-85-152-136-248.telecable.es
CPE-72-129-137-143.new.res.rr.com
dsl-punjab-dynamic-200.193.144.59.airtelbroadband.in
fl-67-76-10-2.dyn.embarqhsd.net
ppp-82-84-240-108.cust-adsl.tiscali.it
triband-mum-59.182.8.20.mtnl.net.in
200-112-137-210.bbt.net.ar
eu85-84-27-186.clientes.euskaltel.es
84-72-72-71.dclient.hispeed.ch
71-218-37-131.hlrn.qwest.net
218-168-140-202.dynamic.hinet.net

Jetzt habe ich keine Lust mehr, das waren jetzt nur die Zugriffe der letzten 60 min zum
Teil mehrfach und auch zum Teil durch das Greylisting durch.
Abgelehnt wurde dann von Amavis innerhalb der noch offenen Verbindung.
Ob die auch reverse aufgelöst werden habe ich noch nicht nachgeschaut die meisten sind
schon am Helo gescheitert. Sehr viele als Absender Domain einen Banknamen in der
Mailadresse drinne.
Ein oder 2 andere habe es sogar schon in die Whitelist von Postgrey geschafft. Ist
irgendwie wie wettlauf von Hase und Igel du ich bin im Moment wohl der Igel der
hinterherläuft.  
Ich versuche vorausschauend Regeln zu verwenden falls die morgen Ihre Technik verbessern.
Der Server soll nach Möglichkeit kaum bis keinen spam überhaupt in die Queue lassen das
hatte ich letzte Woche gesehen das ein Bounce beim Sender überhaupt nicht angenommen wurde
obwohl alle Überprüfung überstanden wurden vom Sender.    

> 
> Ist gleichbedeutend mit:
> /[a-zA-Z+-]{2,7}\d+-\d+./
> 
> Es wird eine MENGE falscher rejects erzeugen! Teste einfach mal mit dem
> String:
> 	static-101-101
> 	dedicated-12-132
> 
> Ich kenne eine Menge Clients, die mit diesen und ähnlichen Namen an unsere
> Server Mails einliefern (gewünschte).
> 
> Erliege besser nicht der Versuchung, einen Ausdruck zu verwenden, der
> möglichst viele dynamische Hostnamen erfasst. Es gibt übrigens bereits
> einen recht guten RE, der viele dynamische Hostnamen erfasst. Aber auch
> dieser ist nicht dafür gedacht, direkt abzuweisen, sondern nur für
> Greylisting.
> 
> http://www.arschkrebs.de/postfix/postfix_greylisting.shtml
> 
> Da sind einige Links zu pcre Mustern, welche dialups erkennen sollen.

/(^|[0-9.x_-])(abo|br(e|oa)dband|cabel|(hk)?cablep?|catv|cbl|cidr|d?client2?|cust(omer)?s?
|dhcp|dial?(in|up)?|d[iu]p|[asx]?dsld?|dyn(a(dsl|mic)?)?|home|in-addr|modem(cable)?|(di)?p
ool|ppp|ptr|rev|static|user|YahooBB[0-9]{12}|c[[:alnum:]]{6,}(\.[a-z]{3})?\.virtua|[1-9]Cu
st[0-9]+|AC[A-Z][0-9A-F]{5}\.ipt|pcp[0-9]{6,}pcs|S0106[[:alnum:]]{12,}\.[a-z]{2})[0-9.x_-]
/

Öhm meinst du diesen Bandwurm ?
> 
> Ich nehme an, dass du alle Hostnamen, die mehrere Nummern, getrennt von
> ".-", haben, als dynamisch ansiehst. Das ist nicht der Fall! Es gibt sehr
> viele Hosts, welche statisch sind und dadurch abgelehnt würden.

Eigentlich will ich alle die nicht haben  die eine IP im Hostnamen führen.
Die von dir angeführten Host's habe ich bei mir im Log so in der Art noch nicht gesehen.
Eben deswegen um keinen Fehler zu machen habe ich den Vorschlag in die Liste gestellt.
(bin irgendwie auf der Suche nach der eierlegendenden Wollmilchsau)
Möchte davon wegkommen tgl. das Maillog zu prüfen und zu schauen wer da schon wieder was
versucht hat.
Was ich auch schon festgestellt habe ist das einige wenige in der Zwischenzeit sich die
Mühe machen und Error Behandlung in Ihre Software "Mailserver" einbauen. Bei denen wirkt
das Greylisting schon nicht mehr.

Auf der anderen Seite sind die DIAL-IN Pools der Hoster sehr wahrscheinlich wesentlich
Größer wie die welche Ihren Server nicht Müller Maier Schulze .de fr us ..... nennen 
Jetzt ist dann natürlich die Frage was macht mehr arbeit jeden einzelnen Dialinpool in
tgl. Kleinarbeit zu erfassen oder eben für die ausnahmen eine weitere Regel zu machen und
die Bekommen davor ein ok.
Mir graut davor wenn ich höre das da irgendwann 4K Zeilen zu pflegen sind und auf
Veränderungen zu prüfen  


> 
> Der Grund, warum ich spezifische Hostnamen-Muster verwende, ist, dass ich
> keine falschen Erkennungen haben möchte, da diese Hosts direkt abgelehnt
> werden.
> 
> --
> Sandy
> 

Grüße und Kaffee aus Feilbingert


-- 
Uwe Drießen
--

Mehr Informationen über die Mailingliste Postfixbuch-users