[Postfixbuch-users] policyd-weight und BOGUS_MX

Lars Heide l.heide at fz-juelich.de
Di Apr 5 15:29:01 CEST 2011


Am 01.04.2011 15:58, schrieb Robert Felber:
> On Fri, Apr 01, 2011 at 03:13:38PM +0200, Lars Heide wrote:

 >> 2. Wenn gültige MX-Einträge für die FROM Domain gefunden werden, wird
 >> nicht mehr nach A-Records gesucht.

Wie genau ist der Unterscheid zwischen BAD_MX und BOGUS_MX eigentlich
definiert? Mir ist aufgefallen, das BAD_MX garnicht greift wenn der
Client auf keiner der DNSBL Listen ist.

>> 3. In die Variable $addresses fliessen jetzt nur noch IPs aus der
>> HELO-Domain, nicht mehr welche aus der FROM Domain. Unterschied ist das
>> damit der check HELO_IP_IN_CL_SUBNET nicht mehr gegen IPs aus der FROM
>> Domain läuft, wenn er läuft.
>
> Hier entsteht das Problem, dass es schon oefters vorgegkommen ist, dass
> die Client IP/24 /16 nicht zum Helo passte, wohl aber zu den MX/A records im
> Sender.

Wenn ich das also richtig verstehe, sollten dann vielleicht die
Variablen und Meldungen anders betitelt werden, da bei
HELO_IP_IN_CL_SUBNET und HELO_IP_IN_CL16_SUBNET nicht bloss die HELO
IPs, sondern auch die FROM IPs geprüft werden. Also eher
HELO/FROM_IP_IN_CL_SUBNET?

Es wird z.B. bei FROM/MX_MATCHES_HELO(DOMAIN) auch überprüft ob die
ClientIP eine IP der FROM Domain ist.

Ich hab auch weiter unten im Code eine Stelle gefunden, an der expliziet
die Abhängigkeit von ClientIP und IPs der FROM-Domain gecheckt wird (
CLIENT/24_NOT_MX/A_FROM_DOMAIN ) für diesen check müsste aber dnsbl_hits
 > 0 stimmen, der Client also auf einer Blacklist stehen.

Nebenbei: es wird überprüft ob DNS Einträge gefunden wurden
($recs_found), derzeit wird $recs_found aber immer einfach gesetzt wenn
eine DNS Antwort zurückgegeben wird, auch wenn dabei 0 'A' records
zurückkommen. Eine leere Antwort ist ja auch eine Antwort, $recs_found
ist also immer wahr solange ein DNS Server erreicht werden kann.

>> Eine Frage die sich mir aufwirft bei der Betrachtung von policyd-weight
>> ist, das wenn die client IP ein MX der FROM Domain ist, wird der HELO
>> nicht dahingehend überprüft ob die HELO Domain irgendwelche IPs liefert,
>
> Der initiale Gedanke war "Spoofed Sender" zu minimieren. Bzw spoofing
> im Generellen. Wenn der Client ein MX ist, interessiert eigentlich
> nur noch das RBL-Listing von wegen UCE.

Hmm, ein kaputter DNS Eintrag wird negativ bewertet, ein kaputtes HELO
wird aber bisher nicht betrachtet wenn ClientIP Element der IP-Adressen
der FROM Domain ist.

Nach meiner persönliche Philosophie würde ich an das HELO gewisse
"qualitative" Ansprüche zu stellen, auch wenn der Client ein SenderMX
ist oder in der FROM-Domain.

>> (für diesen Effekt die Zeile 2204: last if $is_mx; in der gepatchten
>> Version entfernen)

Ich hab nochmal nachgesehen, um einen check der HELO-IPs durchzuführen,
müssen mehr Änderungen durchgeführt werden als nur diese einzelne Zeile
zu löschen, nur falls jemand versucht das nachzuvollziehen.

Lars


--
IT- Services
Forschungszentrum Jülich GmbH
Tel.: +49 2461 61 9237                  Email: l.heide at fz-juelich.de
Fax: +49 2461 61 9209                   Internet: www.fz-juelich.de/its

------------------------------------------------------------------------------------------------
------------------------------------------------------------------------------------------------
Forschungszentrum Juelich GmbH
52425 Juelich
Sitz der Gesellschaft: Juelich
Eingetragen im Handelsregister des Amtsgerichts Dueren Nr. HR B 3498
Vorsitzender des Aufsichtsrats: MinDirig Dr. Karl Eugen Huthmacher
Geschaeftsfuehrung: Prof. Dr. Achim Bachem (Vorsitzender),
Dr. Ulrich Krafft (stellv. Vorsitzender), Prof. Dr.-Ing. Harald Bolt,
Prof. Dr. Sebastian M. Schmidt
------------------------------------------------------------------------------------------------
------------------------------------------------------------------------------------------------

Besuchen Sie uns auf unserem neuen Webauftritt unter www.fz-juelich.de



Mehr Informationen über die Mailingliste Postfixbuch-users