[Postfixbuch-users] Filtern von dynamischen IP's anhand Ihres DNS eintrages

Uwe Driessen driessen at fblan.de
Sa Feb 3 20:34:58 CET 2007 

Sandy schrieb:
> Uwe Driessen wrote:
> 
> >>> So nachdem ich bei Sandy gesehen habe wie Er / Sie es macht, habe ich mich noch mal
> an
> >>> meinen Ursprünglichen Vorschlag drangesetzt und dabei ist folgendes rausgekommen.
> 
> Also, damit das einmal geklärt ist: ich rasiere mich regelmäßig, und damit
> meine ich nicht meine Beine oder die Haare auf den Zähnen!

Och mir ist das eigentlich Jake wie Hose ob das jetzt die Beine sind die Rasiert werden
müssen oder das Gesicht und die Zähne. Frage mich wo die weibliche Gattung in der Liste
ist wir schreiben doch 2007 und haben Gleichberechtigung *gg(jetzt bekomme ich sicherlich
haue)

> Jetzt würde es auf alles passen, was mindestens zwei Buchstaben plus eine
> Reihe von 4 Zahlen, getrennt von Bindestrichen, hat. Dabei ist die
> Begrenzung des ersten Ausdruckes auf max. 7 aber wirkungslos, da die
> Anfangsbegrenzung fehlt. Ich habe hier noch die Möglichkeit hinzugefügt,
> dass der Trenner neben dem Bindestrick auch der Punkt sein kann und am
> Ende einen literalen Punkt, nicht ein RE-Ausdruck.
> 
> /^[a-zA-Z+-]{2,7}(\d+[-\.]){3}\d+\./

Nur so zum Verständnis (\d+[-\.]){3}\d+\. heißt er sucht nach x.x.x.x. und bis zu
xxx.xxx.xxx.xxx. inkl. aller damit auftretenden Kombinationen aber nicht nach
xxxxx.xxxx.xx.x und die Zahlen/Ziffern müssen durch einen Punkt oder - getrennt sein ?

Danke den werde ich dann mal testen. 

> 
> 
> > Nicht haben möchte ich zum Beispiel:
> >
> > 191.215.20.81.dynamic.adsl.abo.nordnet.fr
> > 217-159-129-222-rdsl.kae.estpak.ee
> > 240.119.100-84.rev.gaoland.net
> > 246.Red-83-36-47.dynamicIP.rima-tde.net            der fällt aus der Reihe
> 
> Vorsicht, rima-tde.net gibt es auch mit "static" in der Mitte, welches
> meistens, aber leider nicht immer, statische IPs sind. Carlos von der
> englischen Opensuse-Liste hatte berichtet, dass er ab und zu schon einmal
> einen "static" reverse DNS erhalten hat. Der Provider räumt also nicht
> sauber auf, wenn er IP-Bereiche anders verwendet.
> Auf der anderen Seite habe ich aber schon Mails erhalten von static
> rima-tde.net, die erwünscht waren.

Öhm ja also da stehe ich auf dem Standpunkt wir haben doch ein RFC, Wenn der Provider
nicht aufräumt dann sollen Ihm seine Kunden die Hölle heiß machen oder eben nicht als
Provider nehmen. Wofür gibt es die RFC wenn die sich nicht dran halten (so ganz begriffen
habe ich das immer noch nicht wie so vieles) 

> 
> Einen guten Teil dieser Clients erfasst meine Liste bereits, und das ohne
> falsche Positive. Ich denke, ich werde meine Liste ausbauen über die
> nächsten Monate. Wenn ich die übelsten Dialup-Bereiche so rauswerfen kann,
> reduziert das die Last des Logprüfens und der Blacklist-Lookups erheblich.

Jap das ist richtig aber damit dauert auch die Prüfung länger denn jede Zeile wird doch
durchgegangen und gegen geprüft und das so lange bis das eine Übereinstimmung gefunden ist
oder die Liste zu ende ist. Also müsste das ganze dann sogar noch selektiv gemacht werden,
also nur prüfung wenn (mist geht aber auch nicht)

> 
> Das ist halt das Los eines Mailadmins, insbesondere, wenn der Server ein
> allgemein verwendeter Server ist, der nicht allzu rigide Tests verwenden darf.

Nun wegen dem rigiden streiten sich noch die Götter, wenn sich jeder dran hält dann kommen
auch alle durch oder?? Und nur damit die Ihre Mails loswerden die Sicherheit eines Mail-
Servers aufzuweichen und die dahinter / davon abhängigen User/Rechner zu
gefährden/zusätzlich zu beschäftigen weil einige wenige Server sich nicht dran halten
.........

Ist irgendwie verkehrte Welt 
 
> Es gibt eigentlich nur zwei Arten, damit zu leben:
> 
> 1. Setze Checks ein, die keinen normalen Server abweisen und prüfe das Log
> nur dann intensiv, wenn eine Beschwerde kommt. Ansonsten halt normale
> kurze Checks, dass die Queue sauber ist, Mails korrekt rein- und
> rausfließen und die Serverlast sich im Rahmen hält.
> 
> 2. Setze rigide Checks ein, aber prüfe das Log scharf auf abgewiesene
> Clients, die du trotz der Blödheit der verantwortlichen Admins zulassen
> willst und pflege eine mehr oder minder große Whitelist.
> 
> Punkt 2 ist nur machbar bei Low-Level-Servern. Sobald du mehr als ein paar
> hundert Rejects pro Tag hast, gehst du relativ schnell zu Punkt 1 über. (^-^)
> 

3. Setze rigide Checks ein und warte das sich ein Admin bei dir meldet und fragt was du an
Ihm auszusetzen hast *gg

Punkt eins gefällt mir ansonsten am Besten wenn da nicht diese Pishing und Virenmails
wären die treten im Moment sehr gehäuft auf (das kannte ich bis vor 3 Monaten überhaupt
nicht die hatten meinen Server wohl vergessen *gg)


> > Mir graut davor wenn ich höre das da irgendwann 4K Zeilen zu pflegen sind und auf
> > Veränderungen zu prüfen
> 
> Genau deshalb möchte ich spezifische Ausdrücke haben. Wenn ein Ausdruck
> nicht mehr greift, dann kann ich ihn herauswerfen. Wenn ein Ausdruck
> jedoch auf falsche hosts anschlägt, dann muss ich ständig herumflicken,
> bis der Ausdruck nicht mehr auf die erwünschten Hosts passt. Das ist
> erheblich mehr Arbeit.

Nö nicht flicken sondern den Host in die Whitelist ich denke mal da kommen dann nur ein
paar hundert statt ein paar tausend zusammen und sind dann auch schneller vom Server bei
weniger last durchgearbeitet. Zudem glaube ich an das gute bei den Systembetreuern das die
sich dann mal mit Ihren Systemen beschäftigen und das in Ordnung bringen. 

> 
> Bei mir habe ich festgestellt, dass inzwischen ein guter Anteil des Spams,
>  der durchkommt, von Hosts mit festen IPs kommt. Darunter eine Menge Yahoo
> und Hotmail und ähnliche Webmail-Server.

Gibt es nur eins Mails als Bounce an den postmaster des Systems schicken *lol
Yahoo Hotmail und wie die alle heißen haben wenigstens einen auch wenn ich bezweifle das
da sich wirklich jemand um diese Mails kümmert(das bringt ja kein Geld)
Als Spam verstehe ich eher die Wilden die sich irgendwo auf der grünen Wiese neben dem
Schlafzimmer einen Server hinstellen für 2-5 Stunden Ihre Mails raushauen komme was wolle
und dann wieder verschwunden sind. Keine feste IP nicht zurück zu verfolgen oder
sonstiges.
Und dann noch die befallenen Rechner die als Virenschleudern missbraucht werden oder sind.

Eben genau diese beiden Kategorien möchte ich mit dem Regex fischen gehen. Nach
Möglichkeit mit Grober Kelle oder die Provider überlegen sich etwas das sie den direkten
Mailversand nur gezielt eingerichtet aus den Dialin Netzen zulassen. 
Hatte das auch mal überlegt den Port 25 zu schließen gescheitert an der Tatsache das die
Kunden nicht nur bei mir Mailadressen haben und der submisionsport nicht auf allen
Mailservern zur Verfügung steht.

Zum Schluss noch so ein Dödel 

Feb  3 19:50:07 fblan postfix/smtpd[24601]: NOQUEUE: reject: RCPT from
unknown[62.135.126.167]: 550 5.7.1 <host-62-135-126-167.static.link.net>: Helo command
rejected: Host not found; from=<jackhu at sewsations.com> to=<xxxxxxx at xxxxxxxxxxxxxx.de>
proto=SMTP helo=<host-62-135-126-167.static.link.net>

Ist sogar mal ein statischer und das erste mal das ich den sehe
Die Grundüberprüfungen greifen noch aber eben nicht bei den "Profi Spamern" 
Hoffe mal der merkt den Fehler nicht so schnell *gg denn kennen tut Ihn hier niemand    


Deine Liste arbeitet aber schon mal sehr gut 

-- 
Uwe Drießen
--

Mehr Informationen über die Mailingliste Postfixbuch-users