[Postfixbuch-users] [OT] An Uwe Drießen

Uwe Driessen driessen at fblan.de
Sa Aug 4 01:40:57 CEST 2007


Jan P. Kessler
> In der Sache jedoch bleibe ich bei meiner Meinung. Ich kann mir schon
> vorstellen, dass die RegExp-Liste für Uwe funktioniert (auch wenn ich
> Dir nach Betrachtung und dem Feststellen vieler Dubletten nicht 100%ig
> abkaufe, dass Du wirklich noch den kompletten Überblick hast). Ich
> glaube jedoch absolut nicht, dass dies eine massentaugliche Anwendung
> darstellt.

a. ich habe nie behauptet das dieses Teil massentauglich ist *gg
b. in jedem Post dazu weise ich auf die Gefahren hin
c. den link zum Download teile ich eigentlich nur immer persönlich mit nochmaliger Nennung
der Gefahren. Ich wollte gar nicht das der Link in der Liste hier steht.
d. im Header steht in der Zwischenzeit auch noch mal eine Warnung drin 

e. wer nach den ganzen Warnungen dann immer noch nicht genug hat der darf die dann gerne
haben und sollte mit Warn_if_reject erstmal testen.

f. richtig da ist ein Haufen duplex drin weil so gewachsen und ich zu faul bin alles noch
mal durchzugehen. Ich müsste das ganze eigentlich für meinen Server auch neu aufbauen,
aber wie das halt immer so ist don't touch a running system *gg  
Du hast doch sicherlich eine bereinigte Version Jan *gg 

g. wenn es fragen dazu gibt bin ich ja nicht aus der Welt und wie Ausnahmen dazu gemacht
werden können(auch wenn ich das für MEINEN Server nicht mache) haben wir ja auch schon in
der Liste behandelt

h. ist die Empfehlung die ich gebe zum Einsatz in den Restriktionen zu allerletzt  eine
Restriktion in der Art der dynip einzusetzen. Bei den meisten Systemen reichen die pf
internen mit pw und pg als Ergänzung aus.

i. das mit dem wirtschaftlichen kann man von der einen und von der anderen Seite aufbauen.

j. und nun zum Schluss wirksam ist Sie das ist unbestritten. Und das bei weniger
falsepositiven wie jeder andere Textfilter.  

> 
> Nicht falsch verstehen - ich habe nicht prinzipiell etwas gegen RegExps.
> Zu manchen Zeiten pflegen auch wir den ein oder anderen "harten" Check
> ein, z.B. dann wenn Greylisting nicht hilft, oder
> Viren-/Spam-/...-Wellen derart stark auftreten, dass die Contentfilter
> glühen. Allerdings gibt es hier für solche Fälle einen Review-Prozess,
> bei dem Effizienz und Gefahren solcher Regeln regelmäßig geprüft werden.
> Was ich damit sagen will: Diese Regeln sind von uns auf die Systeme
> unserer Kunden angepasst. Wir versuchen zumindest zu verstehen, was wir
> dort tun und prüfen uns selbst trotzdem noch regelmäßig dabei.

Das der der diese Liste als Beispiel einsetzt anschauen und auf seinen Verwendungszweck
prüft sollte selbstverständlich sein. Logbuch prüfen und auswerten sollte eigentlich
normal sein.

> Klar, 'idealerweise' sollte das so sein - ist es in der Realität aber
> eben nicht. Das Internet ist kein alleiniger Tummelplatz der Wissenden
> mehr. Zu unser aller Schrecken haben Herr Hinz und Frau Kunz dieses
> Medium längst erobert - und die haben auch oft genug nicht im Griff, wer
> Ihre Systeme betreut. Klar, ich kann mich jetzt auf den Standpunkt
> stellen "sollen sie doch Druck machen, wenn sie mailen wollen" aber im
> echten Leben sind es eben oft eher meine Kunden, die die Mail gerne
> empfangen möchten - und zwar weil sie mit dem Geschäft u.a. mein Salär
> erwirtschaften wollen. Zum Verantwortungsbewußtsein bei meiner Tätigkeit
> gehört es für mich daher, sehr genau zu prüfen, was ich dort tue und vor
> allem, was ich unterbinde.

Jap dafür gibt es dann die Ausnahmen von den Regeln. 

> 
> Ich wollte mit meinem Post eigentlich auf meinen Eindruck hinweisen,
> dass hier zur Zeit explosionsartig Neuerungen an unterschiedlichsten
> Stellen entstehen. Newsgroups zum Thema E-Mail sind voll von den
> abenteuerlichsten Ideen und schnell zusammengestrickten Lösungen. Der
> Aufwand jedem Empfänger gerecht zu werden, ist in den letzen paar Jahren
> exponentiell gestiegen. Nichts gegen kontroverse Diskussion und
> dezentrale Ansätze (hey, ich betreib 'ne TOR Node) aber diese ganzen
> mehr oder minder durchdachten Insellösungen machen das Medium irgendwann
> genauso unbenutzbar wie diese leidigen Spammer.
> sender_address_verification und Greylisting sind ein gutes Beispiel
> dafür; private Kommunikation, die auf dieser Liste geführt werden muss,
> bezeugt dies ebenso.

Nun ja so was kommt vor deckt aber auch auf das da evtl. etwas nicht ganz in Ordnung ist.
Es sind eigentlich keine Neuerungen die da kommen es wird bei mir nur restriktiv geprüft.
Wenn nur 10% der Server Weltweit so prüft dann wird es für die Spamer schon wesentlich
enger. Für einen "Normalen" User oder auch Firma besteht eigentlich kein Grund an einem
Dialin einen Mailserver zu betreiben. Das kann man sauber über den ISP machen und ist
damit schon einen Haufen Probleme los.
Die dynip ist eigentlich nur das sahnehäubchen auf den anderen Postfix internen checks und
entlastet mir hier mehr den Server wie gewünschte Mails abzuweisen. Die bei mir in der
dynip drin stehen würden in der Regel auch mit anderen Restriktionen abgewiesen werden.
Die dynip macht das nur ohne externe abfragen.

> 
> Genug der Prosa: Wir haben das gleiche Ziel. Tenor meines Posts sollte
> das Misfallen am Wildwuchs von Restriktionen im Bereich E-Mail sein und
> meine Zweifel daran darstellen, dass gewaltige Listen von Regexps
> geeignet sind, das Problem zu lösen - besonders wenn man sie nicht
> selbst erstellt hat.

Wie ich schon sagte jeder muss seinen Weg für seinen Mailserver finden der eine geht so
rum um den Baum der andere nimmt halt einen anderen Weg. Ansatzpunkte gibt es viele. Ich
habe noch keinen adäquaten Ersatz für meinen Server für meine dynip gefunden das ich eben
nicht jedes Mal externe Abfragen machen muss und/oder andere Entscheidungen für mich
treffen zu lassen.

> Und ja, ich verwende DNS, meine Konfig ist konsistent und ich hatte auch
> noch nie ein Problem damit, eine Mail loszuwerden (ich konnte sogar Uwe
> schreiben ;)).

Genau das zeigt eigentlich das es nicht die Falschen trifft sondern nur die im Dialinnetz
oder mit Fehlern im DNS aber es ist eben eine Maschine die kann nicht sagen der kommt mir
bekannt vor den habe ich schon wo anders auch gesehen.
Christian ist nicht an der dynip hängen geblieben ist sondern an einer der Postfix
internen Restriktionen. *gg 
Die dynip war mal zufällig nicht an dem Problem beteiligt. Er kann mir jetzt auch Mails
schicken.

Das Problem das sich zur Zeit ergibt ist das die Spamer immer intelligentere Wege
einschlagen um Ihren Müll loszuwerden. Die wechseln so schnell die Standorte das es keine
Sinn bringt die in den RBL's zu listen. Die MTA's der Spamer werden einem "normalen"
Mailserver immer ähnlicher bis dahin das diese Server sogar mit Greylisting umzugehen
lernen(Was dem Einsatz von Selectivem Postgry oder generellem Postgrey  nicht entgegen
steht).
Aus den vorgenannten Gründen ist zur Zeit für mich und nur davon rede ich der beste weg
für meinen Server DIALIN und inkonsistente DNS oder nicht zur IP passende Domains zu
blocken.

Wie wäre es wenn wir mal alle Vorgehensweisen der Spamer zusammentragen und dazu wie man
genau dieses verhindern kann.   

P.S. mir wäre es lieb wenn wir dafür ein eigenes Thema ohne meinen Namen aufmachen könnten
ich fühle mich da dann immer so angesprochen *gg

> 
> Grüße, Jan


Mit freundlichen Grüßen

Drießen

-- 
Software & Computer
Uwe Drießen
Lembergstraße 33
67824 Feilbingert
Tel.: 06708 / 660045   Fax: 06708 / 661397




Mehr Informationen über die Mailingliste Postfixbuch-users