[Postfixbuch-users] Filtern von dynamischen IP's anhand Ihres DNS eintrages

Fr Feb 2 11:30:42 CET 2007

Uwe Driessen wrote:
> Sandy Schrieb:
>> Uwe Driessen wrote:
>>> Hallo Liste,
>>>
>>> Brüte jetzt schon einige Zeit über dem Problem wie ich nachfolgende und ähnliche
>> Adressen
>>> mit einem check rauswerfen kann.
>>> Immer mehr DSL-Provider gehen hin und tragen diese Adressbereichen auch im DNS ein aus
>>> welchem Grund hat sich mir noch nicht erschlossen.
>>> Das reverse DNS überprüfen funzt da nicht mehr denn es existiert ja ein gültiger DNS
>>> Eintrag.
>>>
>>>
>>> 87.69.29.58.cable.012.net.il
>>> host138-101-static.17-80-b.business.telecomitalia.it
>> Das sieht eher nach statischer Leitung aus, auch wenn diese Hosts oft als
>> Spamrelays auftauchen.
> 
> Genau aus diesem Grund will ich die ja sperren da die zum Teil auch diesen DNS Teil im
> Helo drin haben ist es unwahrscheinlich schwer die finden.  

Ich kann nicht allgemein sprechen, aber zumindest in meinem Fall und
vermutlich auch bei meisten größeren Firmen gibt es erwünschte Clients,
welche keinen sauberen reverse DNS haben. Häufig werden diese dan von
Postfix mit dem reverse dns geloggt, der eben diese IP enthält.

> 
>>> c-71-231-212-141.hsd1.or.comcast.net
>> /c(-\d+){4}\..*\.comcast\.net/	554 dynamic ip range rejected
>>
>>> static-70-108-243-81.res.east.verizon.net
>> ich blocke /\.res\.verizon\.net$/, aber nicht die anderen.
> 
> Das wird dann aber wieder sehr schwierig das aufzubauen da die angeführten Adressen nur
> ein kleiner Teil dessen waren die hier aufschlagen, da kommen dann noch die -DSL.t-com.de
> und *dsl*.pl und com.br und schies mich tot was es noch für Endungen gibt. Was fast alle
> gemeinsam haben ist im DNS Ihre IP mit . oder - getrennt. Ich nehme das dann mal als
> Hinweis dafür das zu diesem Eintrag kein "normaler" Mailserver und oder DNS-Eintrag
> existiert denn wer nennt seine Domain schon mit der IP drin kann sich ja keiner merken *gg

Ich habe auch schon damit angefangen, diese dynamischen Hostnamen zu
untersuchen und bei Dialin-netzen in eine PCRE Client Blacklist
einzutragen. Inzwischen wird bei nur 30 Einträgen bereits ein guter Teil
der Spamclients davon erfasst.

> 
> Zumal es gestern einer mit solch einem DNS trotz Greylisting geschafft hat einen Trojaner
> (von ClamAV erkannt/eliminiert) abzuliefern. Von daher würde ich die Jungs schon gerne
> soweit wie möglich als "billige Überprüfung" rauswerfen.
> 
> Bei einem DynDNS sollte ja die IP eigentlich nicht vorkommen (so was macht denke ich kaum
> einer) 

Gerade bei DynDNS. Auch ein reverse DNS wird von vielen ISPs gesetzt für
Dialin-clients.

> 
>>> Und dann in die main.cf mit
>>>        check_sender_access = Tabelle
>> check_client_access. Ansonsten wirst du einen großen Teil bereits mit
>> zen.spamhaus.org oder anderen dynamischen Listen blocken.
> 
> Diese Listen abzufragen kostet aber sehr wahrscheinlich mehr Zeit wie über den lokalen
> Rechner eine regex abfrage und in den RBL's sind bei weitem nicht alle vorhanden. Des
> weiteren kostet jede Anfrage Die Betreiber der RBL's Geld und so was wie die obigen zu
> fischen kann man im Grunde auf dem eigenen Server machen.

Nein, dafür müsstest du dir die Zeit nehmen, für sämtliche Dialin-Netze
die Bereiche aus den Whois-Informationen zu fischen und zu listen. Die
RBLs gehen nicht nach dem Hostnamen, nur nach der IP.

>> Ich habe einen check_client_access Eintrag, der Clients mit mehreren
>> Zahlen im Hostnamen greylistet:
>>
>> /(\d+-){3,4}/	greylisting
>>
>> Blocken tue ich nur spezifisch dynamische Bereiche.
> 
> Das habe ich auch in einer Liste drin, bin mir aber bei einigen nicht sicher ob ich da
> auch die "offiziellen" Mailserver der Hoster mit erwische oder nur die dyn IP. Im Whois
> geht das leider nicht immer klar hervor da bekomme ich dann meisten nur den kompletten
> Adressblock raus 

Das werden auch einige Hoster mit erfasst, was aber nicht so kritisch ist.
Bei einem harten Reject wäre das eine andere Sache.

> Was haltet Ihr von diesen 
> 
> /^[0-9]{1,3}\[.|-]\[0-9]{1,3}\[.|-]\[0-9]{1,3}\[.|-]\[0-9]{1,3}\[.|-]\+$/  550 no dynIP
> please!
> /^a-zA-Z]{2,7}\[0-9]{1,3}\[.|-]\[0-9]{1,3}\[.|-]\[0-9]{1,3}\[.|-]\[0-9]{1,3}\[.|-]\+$/
> 550 no dynIP please!

Puh, keiner der beiden Ausdrücke wird funktionieren, allein das "\+$" am
Ende wird dafür sorgen. Teste es am besten selbst mit
postmap -q dyn-host.name pcre:/etc/postfix/pcremap

-- 
Sandy

Antworten bitte nur in die Mailingliste!
PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com