[Postfixbuch-users] reject_unknown_client_hostname und reject_unknown_helo_hostname

Steffen Mutter steffen at gnuher.de
Di Dez 23 16:12:16 CET 2014


Hi Frank,

Am 23.12.2014 um 15:10 schrieb Frank Fiene:
> Ich hatte ja vor einiger Zeit diese beiden Filter in unsere 
> Postfix-Config eingetragen.
>
> Viele der Kunden, die da ein Problem hatten, haben das verstanden un 
> waren sehr glücklich über die Hilfe die wir ihnen gegen haben um ihre 
> Konfiguration zu fixen.
Ist ja schön, wenn die Kunden ein Einsehen haben, dass es Standards gibt 
an die man sich halten sollte.
>
> Ein paar haben das natürlich nicht eingesehen, und gerade die 
> Geschäftsleitung in UK hat versucht, Druck auf die IT auszuüben.
>
Da verkneife ich mir lieber jeden Kommentar.
> Merkwürdigerweise war Reverse-DNS nicht das größere Problem,
Das muss man ja bei einem Hoster nur einsetzen.
> aber den Hostnamen korrekt nach RFC einzustellen, anscheinend schon.
Nicht jeder MX hat so sauber durchdachte KonfigurationsTEXTdateien wie 
ein Postfix.
> Das scheint wirklich fast niemand zu überprüfen obwohl das nicht den 
> RFCs entspricht, einen ungültigen Hostnamen im „Helo“ zu senden.
>
> Da erschienen oft .local, .example und ganz wirre Namen ohne 
> irgendeine Domain. Lokale Konfigurationen halt, meistens Exchange, wer 
> hätte das gedacht! ;-)
Wenn ich einen neuen MX aufsetze lasse ich diese rejects erst einmal 
auskommentiert. Dass ich sie wieder in Kraft setzen sollte fällt mir 
meist wieder auf, wenn ich mir die SPAM und HAM Fieberkurve im 
Munin-Graphen anschaue und rejects sehr moderat sind :-)
>
> Macht das reject_unknown_helo_hostname überhaupt Sinn?
Jede E-Mail deren Annahme man verweigert, weil sich der Absender _nicht 
an Standards_ hält ist gut.
Nicht gut ist Mails zu rejecten, die absolut in Ordnung sind, wie das 
größere ISPs machen. Ein Greylisting ist noch immer eine sehr gute 
AntiSPAM Maßnahme gegen DIAL-ups und Blocklists gegen OpenRelays.

Egal, was die geneigte Kundschaft sagt: wenn sie das nicht 
_Standardkonform_ hin bekommen müssen sie jemanden Beauftragen, der das 
hin bekommt, vorzugsweise einen Vertrag machen, dass man ihnen einen 
Mailserver aufsetzt und wartet. Dann hat die Geschäftsleitung wenigstens 
einen Grund zum Meckern, wenn man in Lohn und Brot steht und etwas nicht 
funktioniert.
Aber wegen etwas rumzumösern, das man selbst verbockt hat ist echt erste 
Sahne.
>
> Dann habe ich im Nachgang auch noch ein paar nette Mailserver 
> geblockt, die Mails mit Absendern aus unserer eigenen Domain an uns 
> verschicken wollen (Retarus und eine brasilianische Bude, die auch 
> Maliservices anbieten).
SPF und DKIM sind hier hervorragende Hilfsmittel, auch wenn manche ISPs 
(ich zeige nun bewusst mit dem DICKEN Finger auf die Telekom und 
T-Online) anscheinend noch nicht das System verstanden haben, das 
dahinter steht.
Die Rejecten nämlich Mails von mir, die von MEINEM Mailserver angenommen 
werden, der für die Sammelemailadressen zuständig ist, einen SPF und 
DKIM Eintrag hat, und SRS Umschreibungen im Header vornimmt.
> Retarus wirbt z.B. mit Maliservices und AntiSPAM-Features, die sind 
> schon mal unten durch bei mir. abuse und postmaster kennen die als 
> Mailadresse gar nicht. :-(
Die Telekom hat mir auf meine Frage geantwortet, warum sie meine Mails 
blocken:
Laut ihren Richtlinien ist in dem Fall meiner Mails an Sammeladressen 
das Ablehnen als SPAM in Ordnung.

Äh? Da fällt einem echt nichts mehr ein, ich habe denen dann noch einmal 
eine sehr unfreundliche Mail geschrieben, da hat man mir nicht mehr 
darauf geantwortet, in denen ich was von Standards und richtigem 
indizieren von SPAM erzählt habe.
Allerdings nimmt nun die Telekom die Mails an...

Gruß und schöne Feiertage,

SMut
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20141223/712de1e1/attachment.html>


Mehr Informationen über die Mailingliste Postfixbuch-users