[Postfixbuch-users] Relayhost, Reinjektion und erneutes Relaying

Sandy Drobic postfixbuch-users at japantest.homelinux.com
Mi Mai 3 21:02:37 CEST 2006 

Christian Schoepplein wrote:
> Hi Sandy,
> 
> On Wed, May 03, 2006 at 06:01:11PM +0200, Sandy Drobic wrote:
>> Christian Schoepplein wrote:
>>> On Wed, May 03, 2006 at 05:23:18PM +0200, Marc Samendinger wrote:
>>>> On Wed, May 03, 2006 at 04:35:50PM +0200, Andreas Meyer wrote:
>>>>> Christian Schoepplein <chris at schoeppi.net> wrote:
>>>>>
>>>>>> Habe jetzt mal 0/0 in mynetworks eingetragen. Damit sollten ja alle 
>>>>>> zugreifen dürfen, oder? Leider hilft selbst das nicht :(.
>> Vorsicht! Sonst könntest du das gesamte Internet zum Relayen freischalten! 
>> Spammer werden dich lieben.
> 
> Jepp, danke, aber ein Connect von außen wird geblockt. Leider wohl auch 
> der von Postini :(.

Bist du dir da sicher? Siehe unten...

> 
>>>> Meine Erfahrung die ich mit Postini gemacht habe war eben folgende:
>>>> - Du musst das relaying für die Postini Maschinen freigeben
>>>> - Postini Bescheid geben
>>>> - Postini schaut ob Du auch wirklich recht hast ;)
>>>> - Postini schaltet relaying auf ihren Servern frei
>> Das hört sich wenigstens nach einer normalen Vorgehensweise an. (^-^)
>>
>>> Jepp, so sollte es gehen... Da aber mein Server hinter einer FW in 'nem 
>>> Firmennetz hängt, kann postini nix auf meiner Mühle checken, da kein 
>>> Connect auf Port 25 möglich ist :(. Könnte das die Ursache sein?
>> Wie kommen denn die Antworten zu euch zurück? Pollt ihr mit fetchmail bei 
>> eurem ISP? Dann müsstet ihr natürlich entweder euren ISP mailserver 
>> angeben und dessen Admin bitten Postini freizuschalten, oder euren eigenen 
>> Mailserver mit Portforwarding von der Firewall zugänglich machen.
> 
> Man kann bei postini wohl Mailadressen auf bestimmte IPs oder Server 
> routen. D.h. die Mails für meine Kiste wird bei Postini eingeliefert und 
> an meinen SErver weitergegeben. Diese Mails kommen auch komischerweise 
> bei mir an.

WIE kommen die bei dir an? Wenn du nicht aktiv die Mails von einem anderen 
Server abholst, dann muss der einliefernde Server (Postini?) deinen Server 
ja erreichen.

Schau doch einfach mal in /var/log/mail nach, wie die Mail zu dir gekommen 
ist.


>> Postini sollte euch dann eigentlich das Netzwerk genannt haben, welches 
>> von Postini benutzt wird und das in mynetworks (zusätzlich) eingetragen 
>> werden muss.
> 
> OK, da ist was drann. Das muss ich nun genauer in Erfahrung bringen.
> 
>> Bieten die eigentlich an, eine Liste mit gültigen Empfängern zu 
>> hinterlegen? Sonst bekommt man nämlich von denen jeden Müll, auch den für 
>> ungültige Adressen, und muss den eigenen Server konfigurieren, entweder 
>> diesen auf einen luser_relay Catchall zu lenken, oder selbst die Bounces 
>> zu erzeugen. Ohne eine Relay_recipients_maps zu arbeiten ist nicht sauber 
>> möglich.
> 
> Irgendwelche Filter kann man glaube ich schon bei Postini schalten, aber 
> im Endefekt muss man sich glaube ich selbst darum kümmern nicht jeden 
> Mist anzunehmen.

Äh, ich glaube, du hast Postini noch nicht ganz durchschaut. (^-^)
Der einzige Grund, warum die wollen, dass deren IP-Netz das Recht zum 
Relayen auf euren Server bekommt ist, dass die eben keine Lust haben, den 
Mist zu behalten! Die nehmen also Mist an und sagen euch, ihr müßt den 
Mist abnehmen, auch die Mails, die euer Server eigentlich ablehnen würde, 
weil euer Server weiss, diese Empfänger gibt es nicht.

Ansonsten würde es ausreichen, deren Server auf eine Whitelist zu setzen, 
die NACH reject_unauth_destination kommt.

Ich würde auf jeden Fall versuchen, eine Liste der gültigen Emailadressen 
zu hinterlegen und festzulegen, dass Emails für Empfänger außerhalb dieser 
Liste nicht von Postini angenommen werden. Damit stellst du sicher, dass 
alle Mails, die über Postini kommen, auch einem Empfänger auf deinem 
Server zugestellt werden können.

Lasse dir bitte nicht einreden, dass du die ungültigen Empfänger einfach 
löschen sollst. Dann bekommen nämlich auch die Leute, die sich einfach 
vertippt haben beim Eingeben der Empfängeradresse keine Rückmeldung mehr 
und nehmen an, dass die Email angekommen ist. Ist sie ja auch, aber ihr 
habt sie dann auf eigene Verantwortung gelöscht. Das ist, knapp 
ausgedrückt, suboptimal...

Die andere Möglichkeit ist, alle ungültigen Emails zu bouncen. Dummerweise 
ist ein Großteil der Mails mit ungültigen Adressen Spam und Co. Dann 
schickt euer Server jetzt also an mit hoher Wahrscheinlichkeit gefälschte 
Adressen Spam. Das nennt man Backscatter: Mails erst annehmen, dann 
feststellen, dass sie nicht zugestellt werden können, und wieder 
ausspucken und an die wahrscheinlich gefälschten Absenderadressen 
schicken. Die DNS-Blacklist bl.spamcop.net etwa stellt Backscatter-Server 
auf eine Stufe mit Spamservern. Sobald sie ausgenutzt werden, sind sie das 
auch. Auch das ist suboptimal.

Die letzte Möglichkeit ist, einen Mitarbeiter als armes Schwein 
auszulosen, der unter dem vielen Mist von den ungültigen Adressen die 
wenigen Perlen aussortieren und an die korrekten Empfänger schicken muss. 
Das kostet diesen Mitarbeiter Zeit und Nerven, denn Mails dieser Art sind 
nicht gerade angenehm. Dazu ist diese Methode noch recht unzuverlässig, 
denn genau die Perle im Misthaufen wird durchaus häufig übersehen.

Wenn du Mails mit ungültigen Adressen annimmst, hast du also nur die Wahl 
zwischen mehreren sehr widerlichen Übeln. Sei dir darüber im klaren.

Sandy

Mehr Informationen über die Mailingliste Postfixbuch-users