[Postfixbuch-users] Server, die nicht übers Greylisting kommen

Mathias Jeschke postfixbuch-users at gmj.cjb.net
Fr Sep 9 15:02:48 CEST 2011


Am 09.09.2011 14:32, schrieb Driessen:

> Wer sagt denn das jeder Anschluss wie bei IPv4 nur eine Adresse bekommt?

Weiß ich nicht - ich habe das nicht gesagt.

> IPv6 soll Nat überflüssig machen damit braucht aber jedes Gerät hinter dem
> Router auch eine öffentliche IPv6. erst damit werden END to END Verbindungen
> möglich.

Ja, und - was hat das mit dem Blacklisting zu tun?

> Als kleinste Einheit gibt es /64 für Endkunden (wenn ich nicht irre) =
> 18446744073709600000 Adressen dat ist schon mächtig was. 

Ja eben - es reicht dann halt die ersten 64 Bit der IP-Adresse in der
Blacklist-Datenbank zu speichern.
*Jede* Adresse aus _diesem_ /64-Netz passt dann auf den Präfix, ergo es
bringt dem Botnetzbetreiber rein _gar_nichts_ unterschiedliche Adressen
innerhalb eines solchen Netzes zu benutzen, wenn das ganze /64 (oder
mehr) auf der Blacklist ist.

> Problem auch bei IPv6 wird im Dialin mit großer Wahrscheinlichkeit
> mindestens alle 24 Stunden die Ip bzw. das ganze Subnet gewechselt werden.

Wenn die Dialin-Bereiche bekannt sind, ist das egal. Wie bei IPv4.

> Wer nicht auf reverse oder zumindest stimmigen PTR zu Helo und DNS geprüft
> dann kommen die zumindest mal bis zum Spamassasin oder wenn gut auch ins
> Postfach.
> Das Problem wird dort auftreten wo nicht genau hingeschaut wird wer da
> einliefert.

Das ist doch aber kein Problem der Mailserverbetreiber die
_genau_hinschauen_ und Mails aus dem IPv6-Internet annehmen.
Wer nicht "genau hinschaut" hat auch bei IPv4 Probleme.

Noch einmal: Das Ausgangsproblem war, dass viele Mailadmins glauben,
Blacklisting funktioniert bei IPv6 nicht mehr, weil der Adressraum zu
groß wird. Ich bin davon noch nicht so ganz überzeugt, dass man nicht
ähnliche Regelungen wie momentan bei IPv4 finden wird, um den Raum von
2^64 Präfixen zu "klassizieren". (2^64 weil die kleinste an Endkunden zu
vergebene Einheit /64 sein wird - wegen Autokonfiguration, etc.)

>> Warum soll die Anzahl der IPv6-Netzwerke, die infiziert sind, größer als
>> die Zahl der IPv4-Adressen? Das Problem besteht doch nur, wenn nicht
> 
> Na ganz einfach weil dann jede Maschine auch direkt aus dem Netz ansprechbar
> ist zumindest für den der weis wie.
> Es wird spannend werden und bleiben.

Warum sollte das so sein? Die Firewalls machen (wegen NAT) ja eh schon
Connection Tracking. Warum sollte man diesen Teil - der die Sicherheit
des dahinter liegenden Netzwerks erhöht - aus der Funktion der Router
ausbauen?

>> bekannt ist, wie groß die Netzwerke sind, was die ISPs aber aus
>> Eigeninteresse schon bekannt geben werden, dass gerade die legitimen
>> Systeme nicht geblockt werden, so wie halt bei IPv4 auch.
> 
> Wer gibt seine Dialin netze bekannt? Und wo? Das sind die wenigsten die das
> wirklich tun. (ich auch nicht aber ich habe dafür andere Vorkehrungen
> getroffen das nach Möglichkeit sich die Bots nicht heimisch fühlen. 

Öhm, ich dachte, ich hätte so etwas wie "dialin/dyn/user/..." in den
PTRs und auch entsprechende Kommentare im Whois der IP-Bereiche solcher
Provider gelesen. Aber vielleicht verwechsele ich da jetzt auch was.

> Das Problem ist ein wenig größer wie man in ein paar Zeilen beschreiben kann
> und wie gesagt wir haben noch die Zeit der Vorfreude bis das es soweit ist.

Es wird vieles anders werden, aber per se gewisse Techniken
abzuschreiben, halte ich nicht für sinnvoll.

Gruß,
Mathias



Mehr Informationen über die Mailingliste Postfixbuch-users