[Postfixbuch-users] Gefälschte(?) Clients blocken

Robert Felber r.felber at ek-muc.de
Di Dez 6 15:58:02 CET 2005


On Tue, Dec 06, 2005 at 02:57:43PM +0100, Thomas Schwenski wrote:
> Ich formuliere meine Frage trotzdem mal neu:
> 
> Gibt es einen legitimen Fall, wo eine solche Headerzeile auftaucht, oder
> kann man davon ausgehen, dass abgesehen von einer geringen Zahl
> fehlkonfigurierter Mailserver alle anderen zweimal denselben Hostnamen in
> der Zeile stehen haben!?

Nein, kann man nicht davon ausgehen. Nimm z.b. Yahoo oder Hotmail. 
Die haben hotmail.com oder yahoo.com da stehen. Und wenn du gleich fragen
willst, ob da domain maessig ein Check ausreicht - Nein tut's nicht.

Es gibt auch MTAs, die nehmen als HELO eben mal die domain her, fuer die sie
relayen. Wohingegegen aber der PTR des MTA schonmal nix mit dem HELO zu
tun hat. Heist, eine received: line kann auch so aussehen:

Received: from greatdomain.com (mail.evengreatermta.de [123.123.123.123])

wobei das mail.evengreatermta.de [123.123.123.123] garantiert, dass vor- und
rueckwaertsaufloesung identisch sind. Waere es das nicht, wuerde 
(unknown [123.123.123.123]) da stehen. Der witz ist, wenn du dann einen MX 
lookup auf greatdomain.com machst, kommt eben oft dann mail.evengreatermta.de
heraus.

P.s. ich sprech halt nur aus unserer Erfahrung heraus, nehmen wir z.B. Ford.
Die machen ihren Mailverkehr via mailwatch.com. Mailwatch.com hats nicht drauf,
die PTRs und A Records in sync zu halten.

Gibt noch etliche Beispiele, am besten mal so 10-20.000 _HAM_ Mails analysieren
und du wirst dich freuen wie ideenreich manche MTAs sind.

Wie gesagt, du sparst nichtmal Bandbreite mit den Headerchecks. 

Wenn die Viren-Spam-Scan Engine gut geschrieben ist, bricht sie weitere 
Evaluierungen nach gewissen Kriterien eh ab, und somit laeuft dies schneller 
als ein evtl. Krampf mit headerchecks. 


-- 
    Robert Felber (PGP: 896CF30B)
    Munich, Germany



Mehr Informationen über die Mailingliste Postfixbuch-users