[Postfixbuch-users] würde gerne Triple Server,Helo,doaminanteil der Mailadresse püfen

Uwe Driessen driessen at fblan.de
Di Mai 1 21:13:42 CEST 2007 

Hallo Liste 

Mal wieder eine Frage an die alten Hasen.

Bei der Überprüfung wer alles greylisted wurde um evtl. Dialin Netze rauszufinden bin ich
auf folgendes gestoßen.

May  1 06:30:43 fblan postfix/smtpd[11410]: connect from
irp4.truemail.co.th[203.144.173.194]
May  1 06:30:44 fblan postfix/smtpd[11410]: NOQUEUE: reject: RCPT from
irp4.truemail.co.th[203.144.173.194]: 450 4.7.1 <xxxxxxx at xxxxxx.net>: Recipient address
rejected: Greylisted, see http://isg.ee.ethz.ch/tools/postgrey/help/fblan.net.html;
from=<yyyyyyyy at yahoo.com> to=<xxxxxx at xxxxx.net> proto=ESMTP helo=<mail.asianet.co.th>
May  1 06:30:50 fblan postfix/smtpd[11410]: disconnect from
irp4.truemail.co.th[203.144.173.194]


May  1 06:38:13 fblan postfix/smtpd[11412]: connect from
irp4.truemail.co.th[203.144.173.194]
May  1 06:38:15 fblan postfix/smtpd[11412]: NOQUEUE:
client=irp4.truemail.co.th[203.144.173.194]
May  1 06:38:20 fblan postfix/smtpd[11420]: connect from localhost.localdomain[127.0.0.1]
May  1 06:38:20 fblan postfix/smtpd[11420]: 5E8204DC531:
client=irp4.truemail.co.th[203.144.173.194]
May  1 06:38:20 fblan postfix/cleanup[11421]: 5E8204DC531:
message-id=<4636C18A.7C20 at yahoo.com>
May  1 06:38:20 fblan postfix/smtpd[11420]: disconnect from
localhost.localdomain[127.0.0.1]
May  1 06:38:20 fblan postfix/qmgr[17906]: 5E8204DC531: from=<yyyyyyy at yahoo.com>,
size=3006, nrcpt=1 (queue active)
May  1 06:38:20 fblan amavis[21397]: (21397-03) Passed, <yyyyyyy at yahoo.com> ->
<krost at fblan.net>, quarantine j3NhaZwiFNJM, Message-ID: <4636C18A.7C20 at yahoo.com>, Hits:
3.728
May  1 06:38:20 fblan postfix/virtual[11422]: 5E8204DC531: to=<xxxxxx at xxxxxxx.net>,
relay=virtual, delay=0.26, delays=0.12/0.03/0/0.1, dsn=2.0.0, status=sent (delivered to
maildir)
May  1 06:38:20 fblan postfix/qmgr[17906]: 5E8204DC531: removed
May  1 06:38:25 fblan postfix/smtpd[11412]: disconnect from
irp4.truemail.co.th[203.144.173.194]

Irgendwie verstehe ich noch nicht so ganz warum solche Mails nicht gefiltert werden.
Evtl. kann mir das ja jemand erklären. 

Yahoo hat den IPbereich 
NetRange: 216.109.112.0-216.109.127.255 CIDR: 216.109.112.0/20

Das helo=<mail.asianet.co.th> hat die  203.144.222.203

Der server der versendet hat 203.144.222.203 das ist das einzige was stimmt.

Also nach meinem Verständniss hat da jemand mit einer Yahoo Mailadresse (keine Ahnung ob
es die gibt) von einem Helo das nicht zum sendenden Server passt eine Mail eingeliefert.
Wem schicke ich in einem solchen fall den Bounce? Der geht ja dann wohl an Yahoo.

Gibt es eine Möglichkeit diesen Triple zu prüfen? Also Server IP passt zum DNS Eintrag
genauso wie zum Helo und dem Domainanteil der Mailadresse. Für die großen Versender kann
ja dann auch die CIDR Einträge abgefragt werden. 

Das Problem das ich bei solchen Einlieferungen sehe ist das ich da ungewollt zum
Backscatter werden könnte wenn mails erst nach der Annahme durch Spamassasin gebounced
würden. 
Solche Einlieferungen sind zwar selten und der einliefernde Server prüft scheinbar nicht
ob der der angemeldet ist auch der ist der im from steht. Lässt Spamer aber natürlich eine
große Lücke das das triple nicht geprüft werden kann bzw. ich das nicht weis wie.

Auch wenn alle wieder rufen sowas währe zu streng würde das vielen Spamern sofort das
Wasser abgraben und wir wären so manche sorge los.    

Mit freundlichen Grüßen

Drießen

-- 
Software & Computer
Uwe Drießen
Lembergstraße 33
67824 Feilbingert
Tel.: 06708 / 660045   Fax: 06708 / 661397

Mehr Informationen über die Mailingliste Postfixbuch-users