[Postfixbuch-users] OT: SSH-zugang nach 3 Fehler f.die IPSperren

Andreas Winkelmann ml at awinkelmann.de
Do Sep 21 17:17:31 CEST 2006


Am Thursday 21 September 2006 17:11 schrieb Rainer Wiesenfarth:

> Andreas Winkelmann schrieb:
> > (...)
> > Hört sich nicht wirklich logisch an. Wenn jemand den MTA/Rechner
> > herunterfährt, gehen sofort alle Mails an den Absender zurück?
>
> Ich habe jetzt den Anfang der Diskussion nicht mehr da, aber es kommt
> wohl darauf an, wie Du iptables setzst. Wenn Du die Pakete einfach
> verwirfst (DROP), dann kann ein sendender MTA nicht zwischen
> ausgeschaltet und greylisted unterscheiden. Wenn Du allerdings die
> Pakete hart ablehnst (REJECT), wird er wohl einen Bounce generieren.

Sorry, unsinn.

Greylisting heisst, die Verbindung aufbauen und dem sendenden Server einen 
Temprären Fehler über das SMTP-Protokoll vorzugaukeln. Aber erst nachdem die 
Verbindung aufgebaut wurde.

Wenn Du am tcp/ip-Stack rumfummelst und dafür sorgst, dass gar keine 
Verbindung zustande kommt, egal ob Du Pakete Dropst oder Rejectest, hat das 
nichts mit greylisting zu tun.

> Das führt mich jetzt aber zu der Frage, welches die saubere Lösung ist.
> Nachdem sich die MTAs mittels SMTP unterhalten und dabei die TCP/IP
> Schichten nur als Transport-Layer nutzen und SMTP mit den 4xx Codes
> temporäre Fehler unterstützt sollte Greylisting auch mittels SMTP gelöst
> werden.
>
> Ansonsten suchst Du Dir spätestens dann einen Wolf, wenn ein Anderer die
> iptables Technik verwendet und einer Deiner User anruft, seine
> Nachrichten würden nicht durchkommen. Da steht dann im Log nicht "4xx
> You got greylisted", sondern nur, dass die Verbindung nicht aufgebaut
> wurde.
>
> Mal ganz davon zu schweigen, dass Greylisting nicht im Kernel
> stattfinden sollte, wo die Ressourcen sowieso eher knapp sind. Ich kann
> mir schon DOS Attacken vorstellen, die die iptables Lösung torpedieren.
>
> Best regards / Mit freundlichen Grüßen
> Rainer Wiesenfarth

-- 
	Andreas



Mehr Informationen über die Mailingliste Postfixbuch-users