[Postfixbuch-users] eine Möglichkeit (Dialuop-)Hosts von Mailservern unterscheiden

Uwe Driessen driessen at fblan.de
Fr Feb 9 11:45:55 CET 2007


Christian Bricart schrieb:
> 
> Tach zusammen,
> 
> würde es eine Möglichkeit geben folgendes zu realisieren (evtl. über einen
> policy_service)?:
> 
> nachdem in den smtpd_*_restictions schon an permit_sasl_authenticated
> "erkannt" worden ist, dass es sich nicht um einen erwünschten
> Client-Rechner als Einlieferer einer Mail handelt, sollen ab dieser Stelle
> nur noch Mailserver zum Einliefern zugelassen werden.
> Die erkennt man ganz einfach, indem man ja die IP-Adresse des Einlieferers
> schon hat. Auf diese IP macht man einen connect an Port 25/tcp und sendet
> ein HELO/EHLO mit anschliessendem QUIT - sonst nix. Das soll nur zur
> Überprüfung dienen, ob auf der anderen Seite ein Client (z.B.
> Wurmschleuder) oder ein "echter" Server ist.
> War der connect erfolgreich und der Server hat mit Code 250 geantwortet,
> dann lässt man die Mail zu (DUNNO) - ansonsten abweisen mit 5xx-Fehler.

Jap und ich erwürge dich dann weil ich ständige Verbindungsaufbauten sehe bei denen keine
Mails kommen.

Es wird dich weiterhin nicht unbedingt vor den etwas besser programmierten SPamschleudern
schützen die können das in der Zwischenzeit auch.
Ist es ein Spamer dann macht er in der Regel eh Fire and forget und den bekommst du am
saubersten mit Greylisting.

Überprüfe doch einfach ob das Helo zur IP Passt und/oder die Maildomain zur IP passt ob es
einen Reverse DNS Eintrag gibt damit bekommst du schon so einige gefiltert.
Und bei den dynamischen IP bekannter Spamnetze hilft die Sandy's Liste. 

Mal ein paar beispiele dazu 
message reject detail
---------------------
  RCPT
    cannot find your hostname (total: 22)
           1   59.92.178.176
           1   143.225.115.22
           1   200.161.130.227
           1   201.228.194.203
           1   200.199.164.201
           1   200.89.121.29
           1   202.90.246.99
           1   206.28.52.66
           1   151.76.182.14
           1   211.186.202.85
           1   80.17.14.43
           1   59.41.157.114
           1   83.240.179.117
           1   83.216.190.228
           1   62.84.206.195
           1   84.79.159.35
           1   85.98.145.173
           1   87.4.133.130
           1   87.5.227.94
           1   87.14.114.214
           1   88.200.109.4
           1   89.255.66.14

Helo command rejected: Don't use my hostname (total: 3)
           3   veloxzone.com.br
    Helo command rejected: Host not found (total: 24)
           4   ebay.com
           3   adsl-d152.84-47-4.t-com.sk
           2   btcentralplus.com
           1   gvt.net.br
           1   rr.com
           1   201.2.235.102
           1   201.217.87.102
           1   comcast.net
           1   ukrtel.net
           1   h82151161038.dsl.speedlinq.nl
           1   a80-126-170-115.adsl.xs4all.nl
           1   212.156.223.45
           1   61.246.59.218
           1   chello083144088099.chello.pl
           1   84.123.198.76
           1   85.137.3.219
           1   86.104.23.58
           1   88.230.22.22
    Helo command rejected: Invalid name (total: 1)
           1   218.209.212.207
    Helo command rejected: need fully-qualified hostname (total: 45)
           5   rr.com
           3   comcast.net
           2   charter.com
           2   ntl.com
           2   bi.com.ua
           1   151.13.0.51
           1   brasiltelecom.net.br
           1   ashnola.com
           1   insightbb.com
           1   wideopenwest.com
           1   201.192.51.46
           1   200.167.195.112
           1   201.215.206.53
           1   72.168.144.70
           1   61.105.44.105
           1   adelphia.net
           1   arcor-ip.net
           1   bbtec.net
           1   freedom2surf.net
           1   t-dialin.net
           1   ukrtel.net
           1   211.193.178.71
           1   211.217.130.146
           1   212.122.101.45
           1   abnm244.neoplus.adsl.tpnet.pl
           1   dtb90.neoplus.adsl.tpnet.pl
           1   83.222.222.222
           1   85.21.181.12
           1   85.69.148.30
           1   85.105.41.21
           1   219.248.194.77
           1   218.82.76.194
           1   88.230.22.22
           1   89.178.117.249
           1   89.129.71.161
           1   221.160.102.234






> Wäre das eine Idee zu einem alternativen Greylisting, oder übersehe ich da
> was?

Jap siehe oben du wirst dann nicht lange genug leben um die Früchte deiner arbeit zu
genießen *ggggggggggg

Connections lost:
    Connection lost while CONNECT : 14 Time(s)
    Connection lost while HELO : 1 Time(s)

Das schaut im Logfile dann in Zukunft noch schlimmer aus wenn das so gemacht wird wie du
das jetzt vorgeschlagen hast. Habe ich so was von "bekannten Mailservern" im Logfile
stehen dann muß ich nachschauen was da los ist denn das ist kein normales verhalten.
Und dann sucht man sich einen Wolf.

> 
> Der Vorteil wäre doch:
>   Greylisting an sich funktioniert ja prima. Ist auf der anderen Seite
> allerdings schon ein Mailserver hat Greylisting eh keine Chance, da die
> Mail ja sowieso wiederkommt.

Greylisting setzt die User welche ständig Mails schicken dann sowieso auf eine
Autowhitelist. Mit der Zeit füllt sich Datenbank und nur noch erstmalig auftretende
Mailadressen bekommen das Greylist.
Also hab mal ein bisschen Geduld.


>   Für legitime Mails ist das "4xx - try again later" ja immer nervig und
> mit der o.g. Lösung wurde ich jede Mail die über ein normales
> Greylisting sovieso nicht aufzuhalten ist, direkt und ohne Delay.
> Mails, die nicht von einem Mailserver kommen werden genauso abgelehnt wie
> im bisherigen Greylisting auch.
> 
> Kommentare dazu?
> 
> Christian
> 
> --



-- 
Uwe Drießen
-- 




Mehr Informationen über die Mailingliste Postfixbuch-users