[Postfixbuch-users] Filtern von dynamischen IP's anhand Ihres DNS eintrages

Uwe Driessen driessen at fblan.de
Fr Feb 2 11:10:07 CET 2007 

Sandy Schrieb:
> Uwe Driessen wrote:
> > Hallo Liste,
> >
> > Brüte jetzt schon einige Zeit über dem Problem wie ich nachfolgende und ähnliche
> Adressen
> > mit einem check rauswerfen kann.
> > Immer mehr DSL-Provider gehen hin und tragen diese Adressbereichen auch im DNS ein aus
> > welchem Grund hat sich mir noch nicht erschlossen.
> > Das reverse DNS überprüfen funzt da nicht mehr denn es existiert ja ein gültiger DNS
> > Eintrag.
> >
> >
> > 87.69.29.58.cable.012.net.il
> > host138-101-static.17-80-b.business.telecomitalia.it
> 
> Das sieht eher nach statischer Leitung aus, auch wenn diese Hosts oft als
> Spamrelays auftauchen.

Genau aus diesem Grund will ich die ja sperren da die zum Teil auch diesen DNS Teil im
Helo drin haben ist es unwahrscheinlich schwer die finden.  


> 
> > c-71-231-212-141.hsd1.or.comcast.net
> 
> /c(-\d+){4}\..*\.comcast\.net/	554 dynamic ip range rejected
> 
> > static-70-108-243-81.res.east.verizon.net
> 
> ich blocke /\.res\.verizon\.net$/, aber nicht die anderen.

Das wird dann aber wieder sehr schwierig das aufzubauen da die angeführten Adressen nur
ein kleiner Teil dessen waren die hier aufschlagen, da kommen dann noch die -DSL.t-com.de
und *dsl*.pl und com.br und schies mich tot was es noch für Endungen gibt. Was fast alle
gemeinsam haben ist im DNS Ihre IP mit . oder - getrennt. Ich nehme das dann mal als
Hinweis dafür das zu diesem Eintrag kein "normaler" Mailserver und oder DNS-Eintrag
existiert denn wer nennt seine Domain schon mit der IP drin kann sich ja keiner merken *gg


Zumal es gestern einer mit solch einem DNS trotz Greylisting geschafft hat einen Trojaner
(von ClamAV erkannt/eliminiert) abzuliefern. Von daher würde ich die Jungs schon gerne
soweit wie möglich als "billige Überprüfung" rauswerfen.

Bei einem DynDNS sollte ja die IP eigentlich nicht vorkommen (so was macht denke ich kaum
einer) 

> 
> > Und dann in die main.cf mit
> >        check_sender_access = Tabelle
> 
> check_client_access. Ansonsten wirst du einen großen Teil bereits mit
> zen.spamhaus.org oder anderen dynamischen Listen blocken.

Diese Listen abzufragen kostet aber sehr wahrscheinlich mehr Zeit wie über den lokalen
Rechner eine regex abfrage und in den RBL's sind bei weitem nicht alle vorhanden. Des
weiteren kostet jede Anfrage Die Betreiber der RBL's Geld und so was wie die obigen zu
fischen kann man im Grunde auf dem eigenen Server machen.

RBL bedingte reject's habe ich zur Zeit nur noch 2-3 am Tag und einige der obigen Adressen
kommen immer noch durch alle Filter durch (da stehen scheinbar gut eingerichtete
Mailserver) da passt eigentlich alles und ist dann auch überprüfbar.
Was diesen DNS einträgen fehlt wäre der MX-Record aber das habe ich mir schon sagen lassen
ist nicht unbedingt ein Indiz für einen nicht registrierten Server fällt also als
Prüfkriterium auch aus.  

> 
> 
> Ich habe einen check_client_access Eintrag, der Clients mit mehreren
> Zahlen im Hostnamen greylistet:
> 
> /(\d+-){3,4}/	greylisting
> 
> Blocken tue ich nur spezifisch dynamische Bereiche.

Das habe ich auch in einer Liste drin, bin mir aber bei einigen nicht sicher ob ich da
auch die "offiziellen" Mailserver der Hoster mit erwische oder nur die dyn IP. Im Whois
geht das leider nicht immer klar hervor da bekomme ich dann meisten nur den kompletten
Adressblock raus 


> 
> --   

öhm das macht mich jetzt durcheinander wurde das jetzt mit Leerzeichen-- oder mit
--Leerzeichen  neue Zeile abgetrennt ?


> Sandy


Was haltet Ihr von diesen 

/^[0-9]{1,3}\[.|-]\[0-9]{1,3}\[.|-]\[0-9]{1,3}\[.|-]\[0-9]{1,3}\[.|-]\+$/  550 no dynIP
please!
/^a-zA-Z]{2,7}\[0-9]{1,3}\[.|-]\[0-9]{1,3}\[.|-]\[0-9]{1,3}\[.|-]\[0-9]{1,3}\[.|-]\+$/
550 no dynIP please!




-- 
Uwe Drießen
--

Mehr Informationen über die Mailingliste Postfixbuch-users