[Postfixbuch-users] Filtern von dynamischen IP's anhand Ihres DNS eintrages

Sandy Drobic postfixbuch-users at japantest.homelinux.com
Sa Feb 3 19:32:01 CET 2007


Uwe Driessen wrote:

>>> So nachdem ich bei Sandy gesehen habe wie Er / Sie es macht, habe ich mich noch mal an
>>> meinen Ursprünglichen Vorschlag drangesetzt und dabei ist folgendes rausgekommen.

Also, damit das einmal geklärt ist: ich rasiere mich regelmäßig, und damit
meine ich nicht meine Beine oder die Haare auf den Zähnen!

>> Ein kleiner Fehler hier:
>> /[a-zA-Z+-]{2,7}\d+-{1,3}\d+./
> 
> Nun eigentlich wollte ich das auf mindestens 3 mal  höchstens 4 mal xxx- gefiltert wird 
> Wenn ich aber bei der ersten Zahl eine 2 oder 3 reinschreibe dann ist dieser Filter wieder
> wirkungslos nur warum das habe ich noch nicht rausgefunden  

Du musst den Ausdruck, der wiederholt werden soll, in Klammern setzen:
/[a-zA-Z+-]{2,7}(\d+-){3}\d+./

Jetzt würde es auf alles passen, was mindestens zwei Buchstaben plus eine
Reihe von 4 Zahlen, getrennt von Bindestrichen, hat. Dabei ist die
Begrenzung des ersten Ausdruckes auf max. 7 aber wirkungslos, da die
Anfangsbegrenzung fehlt. Ich habe hier noch die Möglichkeit hinzugefügt,
dass der Trenner neben dem Bindestrick auch der Punkt sein kann und am
Ende einen literalen Punkt, nicht ein RE-Ausdruck.

/^[a-zA-Z+-]{2,7}(\d+[-\.]){3}\d+\./


> Nicht haben möchte ich zum Beispiel:
> 
> 191.215.20.81.dynamic.adsl.abo.nordnet.fr
> 217-159-129-222-rdsl.kae.estpak.ee
> 240.119.100-84.rev.gaoland.net
> 246.Red-83-36-47.dynamicIP.rima-tde.net            der fällt aus der Reihe 

Vorsicht, rima-tde.net gibt es auch mit "static" in der Mitte, welches
meistens, aber leider nicht immer, statische IPs sind. Carlos von der
englischen Opensuse-Liste hatte berichtet, dass er ab und zu schon einmal
einen "static" reverse DNS erhalten hat. Der Provider räumt also nicht
sauber auf, wenn er IP-Bereiche anders verwendet.
Auf der anderen Seite habe ich aber schon Mails erhalten von static
rima-tde.net, die erwünscht waren.

> 61-64-108-13-adsl-kao.dynamic.so-net.net.tw
> 80.178.150.83.adsl.012.net.il
> 82-170-165-93.dsl.ip.tiscali.nl
> a82-92-65-43.adsl.xs4all.nl
> adsl-145-45.38-151.net24.it
> adsl-149-87-44.mia.bellsouth.net
> adsl201-245230012.dyn.etb.net.co
> adsl214212.static.invitel.hu
> adsl-33-217-58.lft.bellsouth.net
> adsl-63-197-184-23.dsl.lsan03.pacbell.net
> adsl-ull-70-251.48-151.net24.it
> c189055.adsl.hansenet.de    den bekomme ich nicht damit der hat aber anderen Mist gemacht
> client-82-2-50-88.brnt.adsl.virgin.net
> cm-85-152-136-248.telecable.es
> CPE-72-129-137-143.new.res.rr.com
> dsl-punjab-dynamic-200.193.144.59.airtelbroadband.in
> fl-67-76-10-2.dyn.embarqhsd.net
> ppp-82-84-240-108.cust-adsl.tiscali.it
> triband-mum-59.182.8.20.mtnl.net.in
> 200-112-137-210.bbt.net.ar
> eu85-84-27-186.clientes.euskaltel.es
> 84-72-72-71.dclient.hispeed.ch
> 71-218-37-131.hlrn.qwest.net
> 218-168-140-202.dynamic.hinet.net

Einen guten Teil dieser Clients erfasst meine Liste bereits, und das ohne
falsche Positive. Ich denke, ich werde meine Liste ausbauen über die
nächsten Monate. Wenn ich die übelsten Dialup-Bereiche so rauswerfen kann,
reduziert das die Last des Logprüfens und der Blacklist-Lookups erheblich.

> 
> Jetzt habe ich keine Lust mehr, das waren jetzt nur die Zugriffe der letzten 60 min zum
> Teil mehrfach und auch zum Teil durch das Greylisting durch.
> Abgelehnt wurde dann von Amavis innerhalb der noch offenen Verbindung.
> Ob die auch reverse aufgelöst werden habe ich noch nicht nachgeschaut die meisten sind
> schon am Helo gescheitert. Sehr viele als Absender Domain einen Banknamen in der
> Mailadresse drinne.
> Ein oder 2 andere habe es sogar schon in die Whitelist von Postgrey geschafft. Ist
> irgendwie wie wettlauf von Hase und Igel du ich bin im Moment wohl der Igel der
> hinterherläuft.  

Das ist halt das Los eines Mailadmins, insbesondere, wenn der Server ein
allgemein verwendeter Server ist, der nicht allzu rigide Tests verwenden darf.

>> http://www.arschkrebs.de/postfix/postfix_greylisting.shtml
>>
>> Da sind einige Links zu pcre Mustern, welche dialups erkennen sollen.
> 
> /(^|[0-9.x_-])(abo|br(e|oa)dband|cabel|(hk)?cablep?|catv|cbl|cidr|d?client2?|cust(omer)?s?
> |dhcp|dial?(in|up)?|d[iu]p|[asx]?dsld?|dyn(a(dsl|mic)?)?|home|in-addr|modem(cable)?|(di)?p
> ool|ppp|ptr|rev|static|user|YahooBB[0-9]{12}|c[[:alnum:]]{6,}(\.[a-z]{3})?\.virtua|[1-9]Cu
> st[0-9]+|AC[A-Z][0-9A-F]{5}\.ipt|pcp[0-9]{6,}pcs|S0106[[:alnum:]]{12,}\.[a-z]{2})[0-9.x_-]
> /
> 
> Öhm meinst du diesen Bandwurm ?

Genau. Aber auch die von SQLGrey, die als Link dort stehen.

>> Ich nehme an, dass du alle Hostnamen, die mehrere Nummern, getrennt von
>> ".-", haben, als dynamisch ansiehst. Das ist nicht der Fall! Es gibt sehr
>> viele Hosts, welche statisch sind und dadurch abgelehnt würden.
> 
> Eigentlich will ich alle die nicht haben  die eine IP im Hostnamen führen.
> Die von dir angeführten Host's habe ich bei mir im Log so in der Art noch nicht gesehen.
> Eben deswegen um keinen Fehler zu machen habe ich den Vorschlag in die Liste gestellt.
> (bin irgendwie auf der Suche nach der eierlegendenden Wollmilchsau)
> Möchte davon wegkommen tgl. das Maillog zu prüfen und zu schauen wer da schon wieder was
> versucht hat.

Es gibt eigentlich nur zwei Arten, damit zu leben:

1. Setze Checks ein, die keinen normalen Server abweisen und prüfe das Log
nur dann intensiv, wenn eine Beschwerde kommt. Ansonsten halt normale
kurze Checks, dass die Queue sauber ist, Mails korrekt rein- und
rausfließen und die Serverlast sich im Rahmen hält.

2. Setze rigide Checks ein, aber prüfe das Log scharf auf abgewiesene
Clients, die du trotz der Blödheit der verantwortlichen Admins zulassen
willst und pflege eine mehr oder minder große Whitelist.

Punkt 2 ist nur machbar bei Low-Level-Servern. Sobald du mehr als ein paar
hundert Rejects pro Tag hast, gehst du relativ schnell zu Punkt 1 über. (^-^)

> Was ich auch schon festgestellt habe ist das einige wenige in der Zwischenzeit sich die
> Mühe machen und Error Behandlung in Ihre Software "Mailserver" einbauen. Bei denen wirkt
> das Greylisting schon nicht mehr.
> 
> Auf der anderen Seite sind die DIAL-IN Pools der Hoster sehr wahrscheinlich wesentlich
> Größer wie die welche Ihren Server nicht Müller Maier Schulze .de fr us ..... nennen 
> Jetzt ist dann natürlich die Frage was macht mehr arbeit jeden einzelnen Dialinpool in
> tgl. Kleinarbeit zu erfassen oder eben für die ausnahmen eine weitere Regel zu machen und
> die Bekommen davor ein ok.
> Mir graut davor wenn ich höre das da irgendwann 4K Zeilen zu pflegen sind und auf
> Veränderungen zu prüfen  

Genau deshalb möchte ich spezifische Ausdrücke haben. Wenn ein Ausdruck
nicht mehr greift, dann kann ich ihn herauswerfen. Wenn ein Ausdruck
jedoch auf falsche hosts anschlägt, dann muss ich ständig herumflicken,
bis der Ausdruck nicht mehr auf die erwünschten Hosts passt. Das ist
erheblich mehr Arbeit.

Bei mir habe ich festgestellt, dass inzwischen ein guter Anteil des Spams,
 der durchkommt, von Hosts mit festen IPs kommt. Darunter eine Menge Yahoo
und Hotmail und ähnliche Webmail-Server.

-- 
Sandy

Antworten bitte nur in die Mailingliste!
PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com



Mehr Informationen über die Mailingliste Postfixbuch-users