[Postfixbuch-users] Hartnäckigen Spammer loswerden?

Robert Schetterer robert at schetterer.org
Do Mär 23 20:26:08 CET 2006 

Hi,
das ist ziemlich einfach, wenn dein sender gefaked ist
probst du jemand der mit der sache nix zu tun hat, wenn du sowas oefter 
machst kann das als Angriff gewertet werden und du findest dich auf 
einer was weiss ich liste wieder, deshalb ist ein sender verify mit 
vorsicht zu geniesen , abgesehen davon das nicht alle server überhaupt 
auf sowas antworten, bzw du mit der antwort was anfangen kannst ( zb 
greylisting gibt dir kein deliverable retur )
reject codes zu veraendern kann nach sich ziehen das irgendjemand dich 
als rfc ignorant einstuft was dich dann wieder
auf eine liste bringen kann usw usw,
ein reject in einer access map geht schnell und dann kannst dort dem 
reject noch was hinzufügen sowas wie hau ab , oder fix this etc.
Leider kann man keine standart Antwort auf das blocken von spam etc 
geben , dafür sind die Möglichkeiten zu vielfaeltig , man muss sich 
seine logs ansehen und dann sehen was die beste methode ist etwas 
abzulehnen, das kann sein das man eine ip adresse blockt , den mail from,
den rcpt to oder vieleicht das helo, wenns ganz übel wird schalte ich 
einfach meine firewall ein auf so einen server ( geht natuerlich nur 
wenns immer derselbe server ist ) dann kann sich dieser halt einfach gar 
nicht mehr mit smtp verbinden, ein sehr maechtiges tool sind auch 
restriction classes wenn irgendwas für bestimmte user oder domains 
abweisen will
wenn die nachricht aus einem bot netz ( also von verschiedenen ips 
)kommt und der sender nicht immer derselbe ist ist ein header check oder 
body check das richtige falls die mail immer mit dem selben subject oder 
body daher kommt, wie gesagt der moeglichlichkeiten sind viele.
MfG

Matthias Haegele schrieb:
> Robert Schetterer schrieb:
>> Robert Felber schrieb:
> [...]
>>>> Jemand nen Tipp wie ich das abstellen kann?
>>>>     
>>> Dein postfix lehnt mit 450 ab. Um daraus einen 550 zu machen las
>>> ich auf google folgendes:
>>> http://www.google.de/search?q=reject_unverified_sender+550
>>>
>>> unverified_sender_reject_code = 550
>>>
>>>
>>>   
>> Hi, unverified sender wuerde ich nicht empfehlen, um schnell jemand zu 
>> blocken entweder mit einer access map
>> und/oder einfach per header,body check
> 
> http://www.postfix.org/postconf.5.html#unverified_sender_reject_code
>   -> "Do not change this unless you have a complete understanding of RFC 
> 821"
> 
> Da ich das glaube ich nicht komplett verstanden habe mache ich das nur 
> temporär,
> handle ich dadurch reject_code = 550 nicht-rfc-konform?.
> Bzw. was macht es für einen Unterschied ob ich einen temporären Fehler 
> generiere (450), oder einen endgültigen (550), imho wird dadurch die 
> Adresse ja nicht "gültiger", was ein "späteres Senden" obsolete machte?.
> 
> Habe es momentan so eingestellt auf ...= 550, werde aber vmtl. eine 
> Restriktion bauen die diese Domain blockt, scheint eh was mit 
> "chinesischen Zeichen" zu sein. Was besseres fällt mir momentan auch 
> nicht ein.
> 
>> MfG
> 
> Grüsse & Danke für eure Hilfe!
> MH
>

Mehr Informationen über die Mailingliste Postfixbuch-users