[Postfixbuch-users] check _client_access maps für dyn. IP, produktiv eins etz bar ?
Ronny Forberger
ronny.forberger at elegosoft.com
Di Jun 12 22:08:19 CEST 2007
> Ronny Forberger wrote:
>> Hallo,
>>
>> ich habe mal eine technische Frage zu Postfix und dyn. IPs:
>>
>> Gibt es die Möglichkeit generell Connects von dynamischen IPs bei
>> Postfix
>> (ggf. mit einer Meldung) zu verbieten, so dass nur MTAs mit statischen
>> IPs
>> einliefern dürfen ?
>
> Gehen tut das. Das Problem ist jedoch die Erkennung dieser dynamischen
> IP-Bereiche. Die Methoden reichen über RBLs, welche dynamische IPs blocken
> bis zur Auswertung von dem reverse_dns-Namen. Wer keinen hat, wird direkt
> geblockt, wer einen reverse DNS mit vielen Nummern hat, der wird geblockt
> oder zumindest mit Greylisting "bestraft".
Reverse DNS Prüfung finde ich nicht wirklich zuverlässig für die
Feststellung, ob jemand "dynamisch kommt", denn auch bei static IPs stimmt
manchmal der Reverse DNS nicht mit dem A Record überein.
>
>> Machen ja mittlerweile viele und wir haben viele Spam-Einlieferungen von
>> gerade dyn. IPs.
>
> Dann nimm lieber Greylisting, das wirkt sehr gut bei Spam-Zombies. Auch
> policyd-weight sollte da sehr helfen.
Greylisting haben wir schon im Einsatz. Ist auch das effektivste Mittel
bisher.
policyd-weight sollte ich mir vl. nochmal anschauen. Danke.
>
>>
>> Ich habe Einiges dazu gelesen und es soll check_client_access maps
>> gehen,
>> aber was passiert dann mit unseren Nutzern, die über unseren MTA
>> (wohlgemerkt mit Authentifzierung) Mails verschicken wollen und mit
>> einer
>> dyn. IP kommen?
>
> Dann sollte ein "permit_sasl_authenticated" die Prüfung stoppen, bevor ein
> "reject_unauth_destination", geschweige denn ein "reject_rbl_client ..."
> den Spaß verdirbt.
Klingt logisch.
>
>> Und was passiert, wenn der Blacklist-Dienst mal ausfällt, läuft mein
>> Postfix dann normal weiter (ohne Checkins).
>
> Wenn die RBL ausfällt, gibt es DNS-Timeouts, Mails können verzögert
> werden, die Leistung des Mailservers kann leiden. Im schlimmsten Fall kann
> die Übertragung des Clients in den Timeout gehen, so dass die Mail nicht
> angenommen wird. Die Timeouts einer RBL allein reichen jedoch nicht, wenn
> du nicht sehr kurze Timeouts definierst.
Verzögerung ist kein Problem, der Rest, naja dieser Fälle treten denke ich
nicht wirklich ein.
>
>
>
> --
> Sandy
>
> Antworten bitte nur in die Mailingliste!
> PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com
>
> --
> _______________________________________________
> Postfixbuch-users -- http://www.postfixbuch.de
> Heinlein Professional Linux Support GmbH
>
> Postfixbuch-users at listi.jpberlin.de
> https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
>
--
Ronny Forberger
Systemadministrator
elego Software Solutions GmbH
Ohmstraße 9, 10179 Berlin
http://www.elegosoft.com
Tel.: +49 30 23 45 86 96
Fax: +49 30 23 45 86 95
Sitz der Gesellschaft: Berlin Amtsgericht Charlottenburg
HRB 77719 Geschäftsführer: Olaf Wagner
Mehr Informationen über die Mailingliste Postfixbuch-users