[Postfixbuch-users] spamassassin konfigurationsproblem

Uwe Driessen driessen at fblan.de
Di Jun 26 13:47:15 CEST 2007 

Sandy Drobic schrieb: 
> Uwe Driessen wrote:
> > Roland M. Kruggel schrieb:
> >> Am Montag, 25. Juni 2007 23:53 schrieb Uwe Driessen:
> >>> Dynip              ist ziemlich hart aber sehr wirkungsvoll(lehnt
> >>> jeden PTR ab der nach Dialin aussieht, auch Hetzner Original PTR)
> >> Hmm.
> >> D.h. das z.b. meine Lebendsgefährtin, sie hat einen dsl-Zugang, mir
> >> keine E-Mail mehr schreiben kann?
> >
> > Nur wenn sie über einen eigenen "wilden" Mailserver ohne gültigen oder mit einem PTR
> der
> > auf ein Dialin schließen lässt sendet. Wenn sie sich bei dir oder einem anderen
> 
> Der DynIP-Check schaut AFAIK nicht nach einem Dialup-Bereich, sondern nach
> einem generischen PTR, in dem die Zahlen einer IP-Adresse vorkommen, oder?
> Dieser kommt leider auch bei vielen statischen Adressen vor.

Jap aber nur solche die in der Regel mindestens 3 Octete im PTR haben.
Dazu wird in den Allgemein gehaltenen regex noch nach bestimmten Buchstabenfolgen wie
/^(adsl|dial|dsl|dyn|ppp|pppoe|pool|xdsl|ADSL|gprs-pool|dhcp)/ gesucht.
Wirklich gefährlich sind eigentlich nur die ersten checks da diese sehr allgemein gehalten
sind. Ausschalten geht aber einfach über # und gut ist. 

/^unknown$/                                     550 no rDNS/PTR ident taken client with
this not allowed ask your Host/Postmaster Provider what to do
/^[a-zA-Z+-]{1,10}(\d+[-\.]){3,4}\d+[-\.]/      550 no dynIP please! your PTR/RDNS looks
like a dynip, ask your Provider what to do 1
/^(\d+[-\.\_]){3}\d+[-\.]/                      550 no dynIP please! your PTR/RDNS looks
like a dynip, ask your Provider what to do 2
/^(ip|adsl|dial|dsl|dyn|ppp|pppoe|pool|xdsl|ADSL|host|gprs-pool|dhcp)[-\.](\d+[-\.]){1,3}/
550 no dynIP please! your PTR/RDNS looks like a dynip, ask your Provider what to do 3
/(adsl|dsl|bredband|ppp|pppoe|dynamic|xdsl|ADSL|dialup)/                550 no dynIP
please! your PTR/RDNS looks like a dynip, ask your Provider what to do 3a
/^(adsl|dial|dsl|dyn|ppp|pppoe|pool|xdsl|ADSL|gprs-pool|dhcp)/          550 no dynIP
please! your PTR/RDNS looks like a dynip, ask your Provider what to do 3b
/^(\d+[-\.]){1,4}(adsl|dsl|dial|dyn|ppp|pool|xdsl|ADSL)/                550 no dynIP
please! your PTR/RDNS looks like a dynip, ask your Provider what to do 4
/^(\w+)(\d+[-\.]){1,4}(adsl|dsl|dyn|ppp|pool|xdsl|ADSL)/                550 no dynIP
please! your PTR/RDNS looks like a dynip, ask your Provider what to do 5
#/^(\w+[-\.])(\d+[-\.]){2,4}/                                           550 no dynIP
please! wenden Sie sich an Ihren Hostservice 6
/(adsl|dsl|dyn|ppp|xdsl|ADSL|host)[-\.](\d+[-\.]){1,4}/            550 no dynIP please!
your PTR/RDNS looks like a dynip, ask your Provider what to do 7 


Der Rest der regex bezieht sich immer auf genau ein Dialinnetz. Die Tabelle umfasst ca.
480 aktive Zeilen. Wobei ich mir noch nicht die Arbeit gemacht habe die Tabelle auf
doppelte checks zu kontrollieren. Viele der 480 Zeilen werden durch die ersten 8 oder 10
checks miterfasst. Wenn sich mal einer die Arbeit machen möchte gerne *gg

Pro Monat kommen hier evtl. noch eine Zeile dazu.  

> 
> Das ist in der Tat ein sehr harter Check, der mit Sicherheit den einen
> oder anderen echten Mailserver abweist. Logkontrolle ist dabei absolute
> Pflicht.

Außer wenn einer bei Hetzner den PTR nicht umgestellt hat hatte ich noch keine falsch
Erkennungen.(das war einmal von linuxrock *gg)
Je nach Wichtigkeit kann dieser eine PTR oder ein Suchmuster dazu am Anfang der Tabelle
eingetragen und mit dunno versehen werden. 
Logtabelle zu kontrollieren ist immer Pflicht sollte man eigentlich nicht mehr extra
erwähnen müssen.

Weswegen ich die Tabelle auch nicht einfach poste wenn dann übergebe ich die mit den
entsprechenden hinweisen persönlich.
Wer die durch den unabsichtlichen Post den ich irgendwann mal gemacht habe alles im
Einsatz hat weis ich jetzt natürlich nicht.
Persönlich weis ich nur von ca. 6 Servern auf der die in welcher Art auch immer im Einsatz
ist. Ist also eher was für "Freaks".
Diese Map ist auch nur eins von vielen Bausteinen zur Spambekämpfung und kein
Allheilmittel. 
Mit Postgrey und Policyd-weight kommt man fast genauso weit, wenn auch mit einem etwas
höheren Aufwand an Proz und Leitungslast.
Entstanden ist die Tabelle einfach daraus das ich ungern anderen die Last der Entscheidung
überlasse und auch nicht mehr wie nötig an Trafik auf RBL Listen usw. erzeugen möchte.
Was ich schon von vornherein entscheiden kann das entscheide ich einfach zumal wenn es
sich nur um sporadisch auftretende IP's aus Dialinnetzen handelt die RBL's diese entweder
noch nicht oder gar nicht listen. 
Selbst Botnetze ändern sich so schnell das die RBL's keine Chance haben diese zu erfassen
und wenn dann zu spät und diese IP's treten 8 Wochen nicht mehr in Erscheinung.  
RBL's haben Ihre Stärke bei den Servern wo sich IP Adressen nicht ändern oder die kaputte
Formmailer hosten. Der Rest wird irgendwie nicht erfasst.

  
> Uwe, verweist du in deiner Reject-Meldung auf eine Webseite mit einem
> Kontaktformular? Wenn nicht, wäre das bestimmt keine schlechte Idee.

Jap werde ich auch noch machen aber bin noch nicht dazu gekommen.
Aber jeder weis das er an den Postmaster schreiben kann zur Not auch über ein
Freemailkonto.

Das war mal deine Idee Sandy ich habe es nur ein bissel ausgebaut *gg 


Mit freundlichen Grüßen

Drießen

-- 
Software & Computer
Uwe Drießen
Lembergstraße 33
67824 Feilbingert
Tel.: 06708 / 660045   Fax: 06708 / 661397

Mehr Informationen über die Mailingliste Postfixbuch-users