[Postfixbuch-users] Filtern von dynamischen IP's anhand Ihres DNS eintrages

Uwe Driessen driessen at fblan.de
Fr Feb 2 13:50:06 CET 2007


> -----Original Message-----
> From: postfixbuch-users-bounces at listi.jpberlin.de [mailto:postfixbuch-users-
> bounces at listi.jpberlin.de] On Behalf Of Alexander Stoll
> Sent: Friday, February 02, 2007 11:55 AM
> To: Eine Diskussionsliste rund um das Postfix-Buch von Peer Heinlein.
> Subject: Re: [Postfixbuch-users] Filtern von dynamischen IP's anhand Ihres DNS eintrages
> 
> Hallo allerseits
> 
> Uwe Driessen schrieb:
> > Das wird dann aber wieder sehr schwierig das aufzubauen da die angeführten Adressen
> nur
> > ein kleiner Teil dessen waren die hier aufschlagen, da kommen dann noch die -DSL.t-
> com.de
> > und *dsl*.pl und com.br und schies mich tot was es noch für Endungen gibt. Was fast
> alle
> > gemeinsam haben ist im DNS Ihre IP mit . oder - getrennt. Ich nehme das dann mal als
> > Hinweis dafür das zu diesem Eintrag kein "normaler" Mailserver und oder DNS-Eintrag
> > existiert denn wer nennt seine Domain schon mit der IP drin kann sich ja keiner merken
> *gg
> Ohje, die "Kreativität" von ISPs bei "Konstruktion" von DNS Mappings ist
> grenzenlos:
> 
> cable.ubr01.blac.blueyonder.co.uk
> cable.ubr01.brom.blueyonder.co.uk
> cable.ubr01.cast.blueyonder.co.uk
> cable.ubr01.chap.blueyonder.co.uk
> cable.ubr01.craw.blueyonder.co.ul


/^cable.\ubr01.\[*?.]\blueyonder.\co.\ul$/ 
sollte die rausfiltern, ich hoffe das war jetzt richtig

> ...
> 
> Ziemlich dämlich, wenigstens eine globale "access" Subdomain o.ä. würde die
> vielen Einträge auf EINEN reduzieren, viele Admins von ISPs sind
> offensichtlich scheintot...
> 
> > Diese Listen abzufragen kostet aber sehr wahrscheinlich mehr Zeit wie über den lokalen
> > Rechner eine regex abfrage und in den RBL's sind bei weitem nicht alle vorhanden. Des
> > weiteren kostet jede Anfrage Die Betreiber der RBL's Geld und so was wie die obigen zu
> > fischen kann man im Grunde auf dem eigenen Server machen.
> 
> Eigene RHSC BL aufgesetzt und 95% werden davon abgefischt. Der Aufwand ist
> eben recht hoch bis man eine vernünftige Datenbasis aus den Logs destilliert hat.
> 
> > Das habe ich auch in einer Liste drin, bin mir aber bei einigen nicht sicher ob ich da
> > auch die "offiziellen" Mailserver der Hoster mit erwische oder nur die dyn IP. Im
> Whois
> > geht das leider nicht immer klar hervor da bekomme ich dann meisten nur den kompletten
> > Adressblock raus
> Ein gewisser Teil geht nicht per RHSC zu eleminieren, da keine Subdomain für
> Dialups existiert, ziemlich asozial von bestimmten ISPs, der weitaus größte
> Teil des SPAMs kommt eben über Dialups.

Nun da die über keinen gültigen DNS Eintrag verfügen sind die am leichtesten zu filtern

reject_unknown_sender_domain 
Reject the request when Postfix is not final destination for the sender address, and the
MAIL FROM address has no DNS A or MX record, or when it has a malformed MX record such as
a record with a zero-length MX hostname (Postfix version 2.3 and later). 
The unknown_address_reject_code parameter specifies the response code for rejected
requests (default: 450). The response is always 450 in case of a temporary DNS error.

> 
> Hat grundsätzlich jemand Interesse an einer gemeinsamen in den Top geworfenen
> Datenbasis zu einer Dialup RHSC Blacklist?
> Bei mir allein sinds aktuell weit über 4000 Einträge...

Öhm ja das sind aber dann schon einige ich liste die nicht alle einzeln auf sondern sperre
solche Bereiche dann en Block.
Das geht dann schneller wie jeden Eintrag mit den 4000 zu vergleichen mal abgesehen vom
Speicher der dazu gebraucht wird die Map einzulesen


> 
> Gruss, AS


Gruß


-- 
Uwe Drießen
-- 





Mehr Informationen über die Mailingliste Postfixbuch-users