[Postfixbuch-users] OT: SSH-zugang nach 3 Fehler f.die IPSperren

Rainer Wiesenfarth Rainer.Wiesenfarth at inpho.de
Do Sep 21 17:11:09 CEST 2006


Andreas Winkelmann schrieb:
> (...)
> Hört sich nicht wirklich logisch an. Wenn jemand den MTA/Rechner 
> herunterfährt, gehen sofort alle Mails an den Absender zurück?

Ich habe jetzt den Anfang der Diskussion nicht mehr da, aber es kommt
wohl darauf an, wie Du iptables setzst. Wenn Du die Pakete einfach
verwirfst (DROP), dann kann ein sendender MTA nicht zwischen
ausgeschaltet und greylisted unterscheiden. Wenn Du allerdings die
Pakete hart ablehnst (REJECT), wird er wohl einen Bounce generieren.

Das führt mich jetzt aber zu der Frage, welches die saubere Lösung ist.
Nachdem sich die MTAs mittels SMTP unterhalten und dabei die TCP/IP
Schichten nur als Transport-Layer nutzen und SMTP mit den 4xx Codes
temporäre Fehler unterstützt sollte Greylisting auch mittels SMTP gelöst
werden.

Ansonsten suchst Du Dir spätestens dann einen Wolf, wenn ein Anderer die
iptables Technik verwendet und einer Deiner User anruft, seine
Nachrichten würden nicht durchkommen. Da steht dann im Log nicht "4xx
You got greylisted", sondern nur, dass die Verbindung nicht aufgebaut wurde.

Mal ganz davon zu schweigen, dass Greylisting nicht im Kernel
stattfinden sollte, wo die Ressourcen sowieso eher knapp sind. Ich kann
mir schon DOS Attacken vorstellen, die die iptables Lösung torpedieren.

Best regards / Mit freundlichen Grüßen
Rainer Wiesenfarth

-- 
INPHO GmbH   *   Smaragdweg 1   *   70174 Stuttgart   *   Germany
phone: +49 711 2288 10              *  fax: +49 711 2288 111
mailto:Rainer.Wiesenfarth at inpho.de  *  www.inpho.de
Leader in Photogrammetry and Digital Surface Modelling
You will meet INPHO at www.inpho.de
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/x-pkcs7-signature
Dateigröße  : 3277 bytes
Beschreibung: S/MIME Cryptographic Signature
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20060921/82083aa5/attachment.bin>


Mehr Informationen über die Mailingliste Postfixbuch-users