[Postfixbuch-users] RFC Reverse DNS

Stefan Förster cite at incertum.net
Do Okt 4 13:39:17 CEST 2007


* Uwe Driessen <driessen at fblan.de> wrote:
> Patrick Ben Koetter schrieb:
>> Prüfen, ob jemand korrektes Reverse-DNS hat mit nur einem PTR und perfekten
>> Match von forward- auf reverse-Adresse ist richtig, aber - aus meiner Sicht -
>> in der Praxis nicht umsetzbar, außer man ist bereit eine SEHR grosse
>> Ausnahmelist zu pflegen.
> 
> Wenn es verpflichten ist dann ist es muß, nicht sollte, dann hat sich jeder daran zu
> halten. Die Ausnahmen dürften dann eher zurück gehen, nach meiner Feststellung halten sich
> schon heute 99 % derer die hier einliefern dran. Dafür kann man aber auch ein kleines
> Script schreiben das die logs auf Ausnahmen prüft und automatisiert eine solche Liste
> schreibt.

Ein solcher Automatismus wäre meiner Meinung nach gut dazu geeignet,
sich selbst in den Fuß zu schießen.

Ich muß Patrick hier zustimmen, es gibt zwar viele Systeme, bei denen
die Namensauflösung "wie nach Lektüre des RFC zu erwarten" stimmige
Ergebnisse liefert, es gibt aber eben leider auch genug Systeme, bei
denen das nicht so ist.

Vor lauter Spam-Bekämpfung sollten wir nicht vergessen, daß wir
Mailserver betreuen. Wir tun das, damit wir oder unsere Kunden Mails
empfangen und verschicken können, sprich, um das Medium Mail zur
Kommunikation zu benutzen.

Es ist uns und unseren Kunden nicht damit geholfen, daß wir die
Daumenschrauben, also die Anforderungen an die Systeme Dritter, immer
fester anlegen. Du selbst hast ein gutes Beispiel dafür gebracht, wie
man es machen kann: Ist der Hostname nicht korrekt "gemapped", wird
Grelisting benutzt. Das ist effektiv und das wird z.B. durch einen
policyd-weight noch effektiver.

Jede fälschlicherweise abgelehnte Mail, jede Mail, die mit großer
Verspätung ankommt macht das Medium "eMail" ein Stückchen mehr kaputt.
Ein Benutzer wird damit leben können, wenn er pro Tag zwei Spam-Mails
in seiner Inbox vorfindet. Womit er nicht leben können wird sind zwei
Mails pro Tag, die ihn nicht erreichen. Es ist nicht unsere Aufgabe,
mit immer mehr Blacklisten, immer mehr Checks und immer mehr
Programmen die Chance, daß auch legitime Mail durchgestellt wird,
Stück für Stück weiter zu verringern. Wir sollten vielmehr umdenken
und uns dazu zwingen, unsere Policy, was wir annehmen und zustellen,
explizit und genauso wohldefiniert zu formulieren, wie wir das z.B.
von Sicherheits- oder Notfallkonzepten in anderen IT-Bereichen kennen.
Nur so bieten wir unseren Benutzern die Möglichkeit, informiert zu
entscheiden, ob sie unseren Service nutzen wollen oder nicht.
Nutzungssicherheit ist viel wichtiger als immer neue Abwehrmaßahmen.

Als Posthamster darf man sich nie und nimmer dazu hinreißen lassen,
mit Maßnahmen gegen UCE/UBE über das Ziel hinauszuschießen. Ich stimme
Dir zu, daß viel "Dreck" über Hosts mit falsch eingestellten
DNS-Informationen eingeliefert wird und daß von solchen Hosts
deutlich mehr Noise als Signal ausgeht. Solange da aber noch Signal
ist, egal wie wenig, darf man nicht einfach ein NOQUEUE rausballern.
Und nötig ist das ganze auch nicht - momentan haben wir noch genug
Mittel und Wege, Spam anderweitig abzulehnen und auszusortieren.

Es heißt "Mail Transfer Agent". Nicht "Botnet Block Service".


Nur meine zwei Euro-Cent
Stefan
-- 
Stefan Förster     http://www.incertum.net/     Public Key: 0xBBE2A9E9
FdI #66: WWW - in bunten Bildern wenig Klarheit, viel Irrtum und ein Fünkchen
Wahrheit (Johann Wolfgang v.  Goethe)



Mehr Informationen über die Mailingliste Postfixbuch-users