AW: Header Check funktioniert nicht

Daniel daniel at ist-immer-online.de
Fr Dez 9 13:30:19 CET 2016


Hi Martin,

bisher hatte ich keine Probleme mit unknown hostname, wenn eher mit EHLO/HELO Hostnamen, was ich auch nicht immer prüfe.

Kandidaten waren da ja z.B. EA und Blizzard, scheinen sich nach Jahren wohl mal gebessert zuhaben zumindest EA existieren die HELO inzwischen auch mal.

Einzelne IP blocken bringt wirklich nix, wechseln ständig, und wenn man alles mit yandex.com löscht, wäre mir notfalls auch egal.

Da bekomme ich selbst weniger Spam via Yahoo obwohl die auch wohl teils Anfällig sind oder gehackt wurden ect.

Gruß Daniel

-----Ursprüngliche Nachricht-----
Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Martin Steigerwald
Gesendet: Freitag, 9. Dezember 2016 11:44
An: postfixbuch-users at listen.jpberlin.de
Betreff: Re: Header Check funktioniert nicht

Hallo Daniel, hallo allerseits,

Am Donnerstag, 8. Dezember 2016, 23:57:54 CET schrieb Daniel:
> Wieso brauchst überhaupt noch weitere Regeln?
> 
> Bei mir scheitert der yandex Sapm schon an ersten Prüfungen.
> 
> NOQUEUE: reject: RCPT from unknown[23.95.110.158]: 450 4.7.25 Client host
> rejected: cannot find your hostname, [23.95.110.158];
> from=<caniaday at yandex.com> to=<X> proto=ESMTP helo=<shoyy188w.com>

Du lässt also Mails von Mailservern, für die der Reverse Lookup nicht 
funktioniert, ablehnen. Im Postfix-Buch von Peer lese ich dazu, dass dies eine 
hohe Gefahr von falschen Positiven hat, da es eben doch viele Leute gibt, die 
ihr DNS nicht gescheit konfigurieren.

Peer empfiehlt, wenn überhaupt dann eher den entsprechenden Check dazu in 
policyd-weight zu verwenden, der zumindest gewisse weitere Prüfungen habe, um 
gegen falsche Positive abzusichern.

Allerdings habe ich das wohl auch vor Jahren schon abgeschaltet:

# Siehe Mail von Florian und RFC 5321
#
# Re: [ltp] broken mail server setup for linux-thinkpad mailing list
# Florian Reitmeir […]
#
# http://tools.ietf.org/html/rfc5321

   @client_ip_eq_helo_score         = (0,	0 );
   @helo_from_mx_eq_ip_score   = (0,	0 );
   @helo_numeric_score               = (0,	0 );

Bei mir kommt also zumindest ein Teil von dem Yandex-Spam eben durch, da weder 
policyd-weight noch SpamAssassin, auch mit sa_zmi_at,  sought_rules_yerp_org 
und Heinlein-Regeln, das Teil einkassiert.

> Sollte die IP doch mal nen PTR haben und nen Hostnamen geben, scheitert es
> am HELO der nicht existiert.
> 
> Und sonst würde ich einfach im sender_access nen
> @yandex.com REJECT
> Schreiben und gut ist.

Und auch das hat die Gefahr von falschen Positiven. So wie ich sehe ist Yandex 
so ein Suchmaschinen- und Mail-Provider, so ne Art Yahoo oder Google. Aber die 
Spam-Mails, die bei mir mit From *@yandex.com durchkommen werden von 
irgendwelchen Hosts verschickt, ganz ähnlich wie der Spam von OVH-VMs von vor 
einiger Zeit:

...
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 4867 bytes
Beschreibung: nicht verfügbar
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20161209/dcd394d5/attachment.p7s>


Mehr Informationen über die Mailingliste Postfixbuch-users