[Postfixbuch-users] Blocken von Sendern mit RFC1918 MX Adressen

Jan P. Kessler postfix at jpkessler.info
Mo Nov 20 12:32:15 CET 2006


Moin,

>> Weiß jemand, ob es auch zu einem Reject kommt, wenn nur ein Teil der MXe
>> im privaten Adressbreich liegt? Ich habe von Leuten gehört, die ihren
>> primären MX bewusst auf eine ungültige Adresse setzen (ne Art
>> pseudo-greylisting).
>
> Ich habe es noch nicht explizit getestet, nehme jedoch an, dass Postfix
> die MX Adressen nacheinander auflöst und gegen check_sender_mx_access
> abgleicht. Wenn der erste MX eine private IP hat, die in der von
> check_sender_mx_access abgefragten Tabelle als verboten steht, wird die
> Mail mit hoher Sicherheit abgelehnt. Wie gesagt, aber nicht explizit
> getestet. Da müsste man mal den Loglevel hochschrauben und nachsehen, ob
> er alle MX Einträge abcheckt oder nur den MX, den er gerade verwenden
> will.

habe mir am WE die Zeit genommen, ein wenig zu testen. In der Tat kommt es
zu einem Reject, wenn nur ein Teil der MXe im privaten Bereich liegt:

# 0 jobs, root at outpost:~ # host -t mx test.jpkessler.de
test.jpkessler.de mail is handled by 10 rfc1918.test.jpkessler.de.
test.jpkessler.de mail is handled by 20 mail1.jpkessler.de.

# 0 jobs, root at outpost:~ # host rfc1918.test.jpkessler.de.
rfc1918.test.jpkessler.de has address 192.168.1.1

# 0 jobs, root at outpost:~ # host mail1.jpkessler.de.
mail1.jpkessler.de has address 81.169.140.43

Ergebnis:
558 <jpk at test.jpkessler.de>: Sender address rejected: sender's MX is in
RFC1918 network - MX des Absenders befindet sich im RFC1918 Adressbereich
- http://www.faqs.org/rfcs/rfc1918.html

> Wenn ich mich recht erinnere, setzt Jorey nicht eine ungültige Adresse,
> sondern eine gültige, bei der die Verbindungen abgelehnt werden.

Diese Vorgehensweise ist natürlich unkritisch.

Grüße, Jan




Mehr Informationen über die Mailingliste Postfixbuch-users