PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Postfix: reject_unknown_client



holofloh
13.02.2009, 21:14
Hallo Leute

ich nutze seit knapp zwei Wochen die Direktive reject_unknown_client in unseren Postfix Systemen für rund 20'000 Mailboxen.
Die Direktive bewirkt, dass Mails nur von Servern angenommen werden deren A- und PTR Records einander entsprechen. Bei anständigen Mailservern ist das in der Regel der Fall. Müll von Botnetzen kommt so praktisch nicht mehr durch.

Seither ist die Reject-Rate massiv gestiegen, die CPU Last für Spamassassin massiv gesunken und die User jammern nicht mehr so stark über den Spam.
Der Kollateralschaden hält sich bisher stark in Grenzen, jedenfalls gibt es nur wenige Serverbetreiber die sich melden, sie können uns keine Mails senden. Ebenfalls gibt es kaum User die uns mitteilen eine Mail zu vermissen (und da sind die immer ziemlich schnell mit melden).

Das Ergebnis dieser Massnahme ist fast schon zu gut um nicht irgend einen Haken zu haben. Ich möchte mal eure Meinung zum Thema hören. Nutzt das auch jemand und wie sind die Erfahrungen damit?

Danke
holofloh

carsten.gentsch
13.02.2009, 22:07
Direktive reject_unknown_client in unseren Postfix
Die Direktive bewirkt, dass Mails nur von Servern angenommen werden deren A- und PTR Records einander entsprechen. Bei anständigen Mailservern ist das in der Regel der Fall. Müll von Botnetzen kommt so praktisch nicht mehr durch.
holofloh

Hallo ich hab dazu folgende Fragen:
1.werden die Records Online abgefragt oder errechnet? Den es kommt ja auch vor das über anständige Server Spam verteilt wird und das nicht gleich gemerkt wird?
2. und mussten dazu extra Regeln für den Posteingangserver erstelt werden?
3. komt jeder Server damit zurecht?

danke

holofloh
14.02.2009, 09:28
1.werden die Records Online abgefragt oder errechnet? Den es kommt ja auch vor das über anständige Server Spam verteilt wird und das nicht gleich gemerkt wird?
2. und mussten dazu extra Regeln für den Posteingangserver erstelt werden?
3. komt jeder Server damit zurecht?
1. Die Records kommen vom DNS und werden da jeweils angefragt. Spam über anständige Server kommt damit also trotzdem rein.
2. Der User muss nichts einstellen, das ist eine globale Sache auf dem Posteingangsserver
3. Da die Records nicht am sendenden Server sondern bei seinem Provider konfiguriert werden müssen, könnte man das sogar für das doofste Outlook einrichten (Macht aber natürlich keinen Sinn).

x3y
16.02.2009, 01:13
Also sich nur auf A und PTR zu verlassen mag zwar SPAM draußen halten, es hält aber auch etliche legale Mail. Dies trifft vor allem für kleinere private Systeme zu, die z.B von Vereinen oder Privatleuten oder auch kleinen Firmen betrieben werden.

Wenn sollte dieses eins von vielen Kriterien darstellen, ebenso wie der Test auf eine dynamische IP, beides können Hinweise auf Spam sein, es ist aber beides keine Garantie dafür!

So viele User auszusperren halte ich für eine ganz schlechte Idee, insbesondere wenn z.B die Adresse in einem Impressum auftaucht, könnte es auch rechtlichen Ärger geben (ungültige Angaben, da nicht zustellfähig).

Zudem könnte eine durch den Postfach-User nicht abschaltbare Zensur (Spamfilterung) u.U auch einen Eingriff in das Fernmeldegeheimnis darstellen, also bitte im Zweifelsfall anwaltlichen Rat einholen.

Gruß Jan

holofloh
16.02.2009, 11:40
Danke für deine Einschätzung. Der Haken liegt also offenbar nicht im technischen sondern im rechtlichen. Wobei:
-bin ich verpflichtet Mails anzunehmen, von Systemen die sich nicht an die RFC halten? (RFC 1912 "Make sure your PTR and A records match"). Die Post nimmt ja auch keine Sendungen an die nicht den Vorgaben für Verpackung und Adressierung entsprechen.
-solange ich die Nachricht nicht annehme sondern mit Begründung ablehne (Reject mit Fehlercode) bin ich dann trotzdem für die Nachricht verantwortlich geworden?

Vereine, Privatleute oder auch kleinen Firmen können sich auch an RFCs halten. Klar, die RFC sind kein Gesetz aber im Zweifel doch das beste Mittel um kompatibel zu sein,

Fragen über Fragen... Ach ja, ich bin in CH zu werke, da ist es rechtlich manchmal etwas anders als in D.