[Postfixbuch-users] "best practice" bei Roleaccounts?

Stefan Förster cite at incertum.net
Di Okt 23 20:04:38 CEST 2007


Hallo Welt,

wie handhabt ihr den Mailempfang bei den durch RFC 2142[1]
vorgeschriebenen Roleaccounts wie z.B. "abuse@" oder "postmaster@"?
Auf diesen Adressen _sollten_ wir ja eigentlich alle Mails annehmen -
der RFC bemerkt dazu lediglich trocken:

,----[ 9. SECURITY CONSIDERATIONS ]
| Denial of service attacks (flooding a mailbox with junk) will be
| easier after this document becomes a standard, since more systems
| will support the same set of mailbox names.
`----

Wie man neulich im Usenet z.B. in de.admin.net-abuse.mail nachlesen
konnte[2], werden diese Accounts von Zeit zu Zeit ja auch wirklich
bespammt. Die Frage ist nun, wie man bei diesen Accounts vorgeht: Will
man zu 100% auf der sicheren Seite seien, so müssten diese Adressen
eigentlich von jeglicher Filterung oder Sperrung ausgenommen sein,
d.h. man sollte sie noch vor den ersten Restriktionen in eine
Whitelist aufnehmen.

Auf der anderen Seite referenziert der Standard ja eben genau RFC822,
sprich, wir können davon ausgehen, daß es darum geht, daß diese
Mailboxen via SMTP (oder eben ESMTP) erreichbar sein sollen. Von daher
wäre es z.B. denkbar, daß man zumindest Dinge wie ein "HELO/EHLO"
verlangt und prüft, ob der übergebene String ein gültiger String
(nicht aber ein FQDN) ist, oder ob der einliefernde Client das
Kommando "MAIL FROM" benutzt hat. Es wäre vielleicht sogar denkbar,
auf die strikte Einhaltung von RFC(2)822 zu bestehen - wobei ich
selbst nicht so recht daran glaube, daß das für _2_822 gilt.

Neben der Brisanz der Frage, die darin begründet liegt, daß es z.B.
Blacklists wie rfc-ignorant.com gibt (und einige Leute diese wirklich
zum _Blocken_ einsetzen - andere Diskussion), auf denen man eher nicht
landen will, gibt es natürlich auch noch einen praktischen Aspekt:
Eine "postmaster@"-Adresse, die die selben Mails ablehnt wie alle
anderen Adressen, ist zur Kontaktaufnahme, wenn sich wirklich jemand
bei mir melden will, im Zweifelsfalle dann nur via Freemailer zu
erreichen, was ihren Sinn ad absurdum führen dürfte (oder zumindest
der anderen Seite unnötige Kopfstände abverlangt).

Ich für mich verlange derzeit ein gültiges HELO
(reject_invalid_helo_hostname) sowie eine "fully qualified"
Absenderadresse (reject_non_fqdn_sender). Wie schätzt ihr das ein?
Sind diese Hürden zu hoch? Oder vielleicht viel zu niedrig? Welche
Restriktionen wendet ihr auf Roleaccounts an?


[1] http://www.faqs.org/rfcs/rfc2142.html
[2] siehe z.B:
    http://groups.google.com/group/de.admin.net-abuse.mail/browse_thread/thread/4949c73267acc8c2/

Ciao
Stefan

P.S: Ich weiß, daß hier eine Zeile mehr als 80 Zeichen hat. Wenn ich
damit wem auf die Füße gestiegen sein sollte, bitte Mail an mich, dann
verwende ich in Zukunft dieste wie tinyurl o.Ä.
-- 
Stefan Förster     http://www.incertum.net/     Public Key: 0xBBE2A9E9
"In einem Zeitalter relativer Werte ist ein absoluter ganz angenehm."
Weiß jemand den Film, in dem dieses Zitat so oder so ähnlich vorkommt?



Mehr Informationen über die Mailingliste Postfixbuch-users