[Postfixbuch-users] "best practice" bei Roleaccounts?

[Patrick Ben Koetter]

* Stefan Förster <cite at incertum.net>:
> wie handhabt ihr den Mailempfang bei den durch RFC 2142[1]
> vorgeschriebenen Roleaccounts wie z.B. "abuse@" oder "postmaster@"?
> Auf diesen Adressen _sollten_ wir ja eigentlich alle Mails annehmen -
> der RFC bemerkt dazu lediglich trocken:
> 
> ,----[ 9. SECURITY CONSIDERATIONS ]
> | Denial of service attacks (flooding a mailbox with junk) will be
> | easier after this document becomes a standard, since more systems
> | will support the same set of mailbox names.
> `----
> 
> Wie man neulich im Usenet z.B. in de.admin.net-abuse.mail nachlesen
> konnte[2], werden diese Accounts von Zeit zu Zeit ja auch wirklich
> bespammt. Die Frage ist nun, wie man bei diesen Accounts vorgeht: Will

Ja. Eine gute Quelle, um Trends wahrzunehmen.


> man zu 100% auf der sicheren Seite seien, so müssten diese Adressen
> eigentlich von jeglicher Filterung oder Sperrung ausgenommen sein,
> d.h. man sollte sie noch vor den ersten Restriktionen in eine
> Whitelist aufnehmen.

Ja. Das empfehle ich auch ausdrücklich.


> Auf der anderen Seite referenziert der Standard ja eben genau RFC822,
> sprich, wir können davon ausgehen, daß es darum geht, daß diese
> Mailboxen via SMTP (oder eben ESMTP) erreichbar sein sollen. Von daher
> wäre es z.B. denkbar, daß man zumindest Dinge wie ein "HELO/EHLO"
> verlangt und prüft, ob der übergebene String ein gültiger String
> (nicht aber ein FQDN) ist, oder ob der einliefernde Client das
> Kommando "MAIL FROM" benutzt hat. Es wäre vielleicht sogar denkbar,
> auf die strikte Einhaltung von RFC(2)822 zu bestehen - wobei ich
> selbst nicht so recht daran glaube, daß das für _2_822 gilt.
> 
> Neben der Brisanz der Frage, die darin begründet liegt, daß es z.B.
> Blacklists wie rfc-ignorant.com gibt (und einige Leute diese wirklich
> zum _Blocken_ einsetzen - andere Diskussion), auf denen man eher nicht

Stimmt. Ist eine Policy-Frage.


> landen will, gibt es natürlich auch noch einen praktischen Aspekt:
> Eine "postmaster@"-Adresse, die die selben Mails ablehnt wie alle
> anderen Adressen, ist zur Kontaktaufnahme, wenn sich wirklich jemand
> bei mir melden will, im Zweifelsfalle dann nur via Freemailer zu
> erreichen, was ihren Sinn ad absurdum führen dürfte (oder zumindest
> der anderen Seite unnötige Kopfstände abverlangt).

abuse und postmaster nehmen wir nach Abprüfung von Mindestkriterien an. Die
Mindestkriterien stellen sich, das wir tatsächlich antworten können, wenn uns
jemand ein Problem meldet - der Absender will ja eine Lösung.

> Ich für mich verlange derzeit ein gültiges HELO
> (reject_invalid_helo_hostname) sowie eine "fully qualified"
> Absenderadresse (reject_non_fqdn_sender). Wie schätzt ihr das ein?
> Sind diese Hürden zu hoch? Oder vielleicht viel zu niedrig? Welche
> Restriktionen wendet ihr auf Roleaccounts an?

Wir fordern von allen den HELO-Namen, weil wir ihn sonst nicht prüfen können.
Dann prüfen wir, ob es die Absender-Domain gibt
Dann ob sie aus einer ROKSO stammt
Dann ob der envelope-sender den Formal-Kriterien einer Mailadresse gerecht
wird.
Dann nehmen wir für postmaster und abuse an.
Danach wird scharf geschossen... ;)

p at rick

-- 
Postfix - Einrichtung, Betrieb und Wartung
<http://www.postfix-buch.com>
saslfinger (debugging SMTP AUTH):
<http://postfix.state-of-mind.de/patrick.koetter/saslfinger/>