[Postfixbuch-users] Fragen zu Restrictions

[Sandy Drobic]

Sonja Linsi wrote:
> Sandy Drobic schrieb:
>> Sonja Linsi wrote:
>>> Sandy Drobic schrieb:
>>>> Sonja Linsi wrote:
>>> Dann kann ich also davon ausgehen, dass ein Mailserver mit einem invaliden
>>> Hostnamen tendenziell als Relay missbraucht werden kann?
>> Nein, nicht einmal die Wahrscheinlichkeit für Backscatter ist höher. 
>> Backscatter kommt meistens aus den Firmen, wo jemand einen "sicheren" 
>> Mailserver vor den eigentlichen Groupwareserver gesetzt hat, diesen aber 
>> nicht sauber als Mailgateway konfiguriert hat.

> Das habe ich wohl falsch formuliert. Ich meinte nicht, dass ein direkter 
> Zusammenhang besteht zwischen einem invalid Hostname und einem 
> Spamserver, sondern nur dass dann vielleicht noch ganz anderes schief 
> konfiguriert wurde und sie deshalb als Spammer verwendet werden können.

Das hatte ich auch so verstanden, aber dies kann ich nicht bestätigen.

>>> Diese Spams, die scheinbar über normale Clients gesendet werden, mit
>>> solchen und ähnlichen Received-Zeilen:
>>> Received: from localhost (i219-164-10-172.s02.a013.ap.plala.or.jp
>>> [219.164.10.172])
>> Was ist daran ein "normaler Client"? Die vielen Zahlen deuten stark auf 
>> eine Dialup-Verbindung hin, was wiederum eher auf Spam hindeutet. Eine 
>> Möglichkeit wäre, bei "unknown" Clients oder Clients mit mehreren Zahlen 
>> im Reverse DNS Greylisting hinzuzuschalten. Das dürfte einen guten Teil 
>> des Spams wieder abwehren.
> Normal im Sinn, dass es mit einem "normalen" Mailclient verschickt 
> wurde, aber das kann ja auch gefälscht sein oder? Aber die Dialups 
> sollen ja auch nicht direkt anliefern. Seit gestern ist auch nichts 
> solches mehr gekommen. Den FQDN verlangen und die Liste cbl.abuseat.org 
> scheint sich zu bewähren.

Das ist genau der Punkt, die Dialup-Clients sollten Mails über den 
Mailserver ihres Providers einliefern und nicht direkt. Auch hier gilt, 
Greylisting ist eine gute Maßnahme gegen Spammer mit Botnetzen, auch wenn 
inzwischen einige Bots es später erneut versuchen, explizit, um 
Greylisting auszuhebeln.

>> Da gehe ich stark von aus. Schaue dir einfach an, unter welchen Kennungen 
>> die lokalen Programme ihre Mails verschicken. In den meisten Fällen wird 
>> dies "root" "postmaster" sein, Amavisd-new oder Procmail brauchen 
>> vielleicht auch noch ein paar Accounts.
> Scheint zu klappen. Wann bekommt Amavisd-new denn Mails? Wenn die 
> Progamme Mails verschicken, gehen die doch meist an root, oder irre mich da?

Amavisd-new bekommt keine Statusmails, es verschickt sie, wenn dies 
konfiguriert ist. Dies kann für Spam, Virus, Banned, Bad_Headers 
konfiguriert werden und ist eine Hilfe, wenn man nicht gerade überschwemmt 
wird.

Sandy