[Postfixbuch-users] Aktuelle Spam-Welle? ggf Schutz?

Robert Felber r.felber at ek-muc.de
Mi Aug 3 10:46:08 CEST 2005 

On Wed, Aug 03, 2005 at 10:27:51AM +0200, Heiner Mueller wrote:
> > - Darueber hinaus gibts greylisting 
> 
> Habe ich mir auch schon überlegt - allerdings ist es da bei mir bisher an
> ner guten Doku und/oder Verständnis gescheitert, das in postfix zu
> integrieren

Ok, dazu habe ich grad keinen passenden link parat. Ist aber im Grunde
simpel (zumindest mit postgrey, IIRC schickt postgrey in seiner package
ne doku mit).
 
> > - Und zu guter Letzt, ein tool called
> >  policyd-weight unter http://robtone.mine.nu/postfix/ was i.d.R
> >  [...]
> >  Dabei wird aber eben nur Client Adresse
> >  auf RBL/RHSBL geprueft, und HELO und MAIL FROM Argumente auf Faelschung
> 
> macht das meine aktuelle conf (s.u.) nicht ohnehin schon
> Und: wenn die Mails von verschiedenen IPs kommen (z.B. viren/trojaner-PCs)
> bringt das auch nichts, oder?

Jein. Deine conf nutzt zum einen RBLs in ner heiklen form:
ist ein client da gelisted,wird er geblockt. Und, in der Vergangenheit 
landeten schon groessere mail provider auf solchen Listen. Zum anderen
nutzt du relativ ineffektive RBLs, bzw hast sehr effektive RBLs vergessen. 

Zum Thema dialups: da zieht policyd-weight DUL RBLs heran (also RBLs die dyn
networks listen). Kein Thema, ein Dyn Client, selbst wenn DUL gelisted, geht
durch, sofern er MX records hat, und nix gross faelscht.
Abgesehen davon wird geschaut, wie sich der dialup meldet, wenn er sich mit
nem HELO von wegen pppoe201.232.232.1.* meldet, und er nicht DUL listed ist,
wird von nem dialup ausgegange, somit fallen seine faelschungsversuche wieder
mehr ins gewicht. Wenn er sich mit seinem Dyn MX host als HELO meldet, sieht
die Sache wieder anders aus, und er darf ein stueck mehr "faelschen".

Kann ja sein, dass jemand mit HELO foo.dyndns.org und MAIL FROM: foo at gmx.de
ausliefern will. Schoener waers, er wuerde ueber GMX relayen, aber in der
Regel kommt sowas direkt, und sollte durchgehen.

Ich hab zu Hause selbst nen dialup mit postfix, der geht durch. Aber sobald
ich anfange HELO und MAIL FROM zu faelschen, werd ich abgelehnt. Der eigentliche
Witz an der Sache ist, dass Spammer und Trojaner etc sich vornehmlich als
jemand anderes ausgeben wollen, damit du es schlussendlich auch liest.

Ich hab hier von dialups 0 spam. Nur noch von misbrauchten servern die nicht
RBL gelisted waren.
 
>         reject_rbl_client relays.ordb.org,
>         reject_rbl_client cbl.abuseat.org,
>         reject_rbl_client sbl.spamhaus.org,
>         reject_rhsbl_client blackhole.securitysage.com,
>         reject_rhsbl_sender blackhole.securitysage.com,

RHSBL nutze ich noch AHBL (aber kaum hits), RBLs nutze ich njabl, spamcop, dsbl.org


-- 
Robert Felber (EDV-Leitung)

Autohaus Erich Kuttendreier
Ford Haupthaendler Muenchen
Drosselweg 21
81827 Muenchen

Tel: +49 (0) 89 / 453 12-86
Fax: +49 (0) 89 / 453 12-80

Mehr Informationen über die Mailingliste Postfixbuch-users