[Postfixbuch-users] Server, die nicht übers Greylisting kommen

Igor Sverkos igor.sverkos at googlemail.com
Fr Sep 9 17:32:10 CEST 2011


Hi,

Andre Tann schrieb:
>> Wer auf Greylisting setzt, der tut dies also *bewusst*, weil er keine
>> Nachrichten von "Servern" haben möchte, die es nur einmal probieren.
>>
>> Das ist der die Idee hinter Greylisting. :)
> 
> Ja klar.

OK, wir stimmen hier also überein.


> Aber es gibt halt auch ein paar legitime Mailserver, die sich
> in manchen Aspekten komisch verhalten, und es nur einmal probieren. Den
> muß ich also durchwinken.

Mööp. Genau das kann es doch eben nach zurvor dargestellter Idee hinter
Greylisting eben nicht geben. Wer das anders sieht, hat in meinen Augen
das System nicht verstanden und verwendet es missbräuchlich. Noch einmal:

Die Idee hinter Greylisting ist die Beobachtung, dass Spam-Engines in
Malware nur einmal mit einer bestimmten Signatur erscheinen (ein
infizierter Client mag während seiner aktiven Zeit mehrere Angriffe
gegen mein Mailsystem fahren, aber glücklicherweise immer mit einer
neuen Signatur (IP gleich, aber HELO From/To variiert).
Diese Beobachtung wurde bei legitimen Mailservern nicht gemacht - die
verhalten sich anders.

=> Daher hat man das Greylisting-System so gebaut, wie es nun vorliegt.


>> Wenn ich jetzt mit jemanden kommuniziere, dessen Mailserver es *nicht*
>> noch einmal probiert, dann erfüllt dieser Mailserver die Definition
>> eines Servers, von dem ich *keine* Mails möchte.
> 
> Rechthaberei. Alle legitimen Server probieren es öfters? Nein, nicht
> alle - manche nur einmal. Jeder Spammer probiert es nur einmal? Nein,
> nicht jeder, mancher kommt wieder. Also was soll die Diskussion.
> Wenn es so einfach wäre, dann würde Greylisting alleine ja schon
> reichen.

Stop: Nach der Definition die hinter dem Greylisting-Ansatz steckt, ist
das der Fall. Greylisting definiert das so.

Wenn du mit dieser Definition nicht übereinstimmst - was völlig in
Ordnung geht - musst du aber auch die richtigen Konsequenzen ziehen und
darfst Greylisting *nicht* verwenden.

Die Aufgabe von Greylisting ist es, nur bekannte Mailserver
durchzulassen. Für die "Registrierung" missbraucht die Idee eine (zu dem
Zeitpunkt) gängige Konfiguration: Echte Mailserver (=die Mailserver, die
das Projekt nicht blocken möchte!) kommen wieder.

Ob es jetzt sinnvoll ist, dass manche Server absichtlich nicht
wiederkommen - darüber kann man streiten. Ich kann die Sicht auch
umkehren und sagen: Dann betrachtet der Absender die Nachricht selber
nicht als wichtig - wieso soll ich mich um offenbar unwichtige
Nachrichten kümmern?

Wenn mein Unternehmen also bewusst auf Greylisting setzt, dann ist es in
dem Falle auch gewollt, dass Nachrichten von so einem System meine
Nutzer nie erreichen wird. Dafür habe ich dann Rückendeckung von der
Geschäftsleitung.

An der Stelle kann ich mir dann überlegen, ob ich bestimmte Server davon
ausnehme - weil es diese Möglichkeit gibt. Ich persönlich würde dagegen
argumentieren und dann lieber Greylisting komplett abschalten:
Andernfalls würde ich ein Fass ohne Boden aufmachen:

- Mein Gegenüber wird mich garantiert *nie* darüber informieren, wenn
sie etwas an ihrem Mailsystem geändert haben - ich werde also immer
hinterher rennen. Ich persönlich renne nicht gerne ;)

- Selber Whitelist-Einträge auf Grund bisheriger Server zu setzen finde
ich schon riskant. Klar - im Fehlerfalle kann ich dann natürlich den
Eintrag wieder rausnehmen. Oh, ich renne ja schon wieder hinterher ;)


>> Wenn es doch ein Problem ist, stellt sich mir die Frage, ob der Einsatz
>> von Greylisting genehmigt wurde oder ein Administrator, der dies als
>> sinnvoll erachtet hat, einfach einsetzt. Letzteres geht in einem
>> Unternehmen einfach nicht. Dann fehlt die Rückendeckung und vieles mehr.
> 
> Der Admin ist damit beauftragt, ein geiles Mailsystem zu bauen, das
> einfach cool funktioniert. Also macht er, was er dafür für richtig hält.
> Sich für jede Zeile in der main.cf die Rückendeckung der
> Geschäftsleitung zu holen ist weltfremd.

Das sehe ich entschieden anders:
Die Geschäftsleitung muss über solch grundsätzliche Dinge informiert
sein. Es ist die Pflicht der Administration darauf hinzuweisen.

Wenn *du* wirklich der Überzeugung bist, Greylisting ist die *optimale*
Lösung für euch, dann wird es dir absolut nicht schwer fallen dafür zu
argumentieren. Im Gegenzug erhältst du die Absolution.

Im Problemfalle kannst du dann darauf verweisen. Sollte das zu einem
ernsten Problem werden, kommst du als guter Administrator (das erwarte
ich zumindest von einem, der sich als guter Administrator bezeichnen
würde) möglicherweise zu der Erkenntnis Greylisting zu deaktivieren oder
findest irgendeine andere Lösung - sprichst es aufjedenfall an.

...bleibt ihr bei dem Einsatz von Greylisting und beobachtet, dass MAs
auf private Adressen ausweichen, dann sollte asap eine entsprechende
Policy erlassen werden, die dies untersagt.

Aber spätestens so ein Schritt sollte allen beteiligten zeigen: Die Idee
hinter Greylisting mag toll sein, aber nicht für euer Business :)


> Greylisting ist super, weil sehr billig. Bevor ich RBLs mit meinen
> Fragen belästige, sortiere ich über postgrey 80% der Anfragen aus. Dann
> müssen die RBLs nur noch die interessanten Fragen beantworten.

In Ordnung. :)

Aber wer A sagt, muss dann auch B sagen:
Du willst ein System, was nur wiederkehrende Mailserver erlaubt
(Kernidee von Greylisting!). Dann musst du auch damit leben, dass Server
die nicht wiederkommen abgelehnt werden. :)

...oder du pflegst eine Whitelist. In dem Falle wünsche ich dir viel Spaß!


-- 
Ich Grüße,
Igor




Mehr Informationen über die Mailingliste Postfixbuch-users