[Postfixbuch-users] policyd-weight: Fehlalarm?

Peer Heinlein p.heinlein at heinlein-support.de
Sa Feb 9 11:49:08 CET 2008


Am Freitag, 8. Februar 2008 schrieb Robert Felber:


> Okay, der Eintrag ist etwas aelter (3. Feb.) und das CL_IP_NE_HELO=1.5
> trifft _heute_ nicht mehr zu.

Dann habe ich den nicht ganz verstanden.

Ich dachte, das würde bedeuten, daß Reverse-Lookup und HELO 
übereinstimmen.

Soll aber wohl heißen, daß der A-Record des HELO nicht auf die Client-IP 
zeigte?

> Ich nehms zum Anlass, die regex massiv zu entschaerfen (Auftauchen von
> IP-nummern in hostnames nicht als Indikator herzunehmen - laesst sich
> einfach nicht sinnvoll generisch scoren).

Naja, wohl dann nur in zusammenhang mit den einschlägigen Stichwörtern 
wie "dsl" oder "dialup" etc.

> > NOK_HELO_SEEMS_DIALUP=5 -- was ist an diesem HELO "not okay"? Einen
> > gefakten kaputten HELO mit Strafpunkten zu belegen, wenn er nach
> > Dialup aussieht, sehe ich ja ein. Aber diese HELO ist doch tipptopp
> > fehlerfrei! Was soll hier nicht okay sein?!
>
> NOK weil nur der reverse hinhaut pluss eben im HELO als dialup
> erscheint.
>
> Warum der reverse kritisch ist, siehst du, wenn du 62.225.182.37
> aufloest. Habe ich eben mal von test.de auf mx.heinlein-support.de
> umgestellt.

Sorry, habe ich noch nicht gerallt.

Okay, Du hast auf der 62.225.182.37 nun eine IPv4-Adresse mit FÜNF 
Oktetten. Kann's nicht geben. Aber soll das hier der Fall gewesen sein?

Und was soll das in Deinem Beispiel it mx.heinlein-support.de?

Logisch, ich kann als PTR setzen, was ich will. Keine Frage. Aber der 
Client HATTE hier doch völlig korrekt seinen Reverse-Lookup, wenn ich die 
Logzeilen richtig verstanden habe. 

> Aufgrund das eben der A record des HELOs Muell _war_ schlugen die

Okay. Macht dann Sinn -- kann man jetzt aber eben nicht mehr richtig 
nachviollziehen. Es wäre sinnvoll, wenn in diesen Fällen dann auch der 
A-Record geloggt wird. Sonst kann man ja gar nichts mehr beweisen oder 
naxhvollziehen.

> Dialup Checks heftiger zu, as konnte eben nur durch nicht
> vertrauenswuerdige reverse records vermutet werden, dass der client zur
> helo, bzw sender domain ghoert.

Okay, verstanden. Auch wenn mich sehr wundert, daß Hosteurope hier keine 
richtigen A-Record gehabt haben soll?!

> Wuerde ich auf jeden Fall bgruessen, ich warte auf Patches. Leider
> kommen nur Patches, die Polw Aggressiver oder SPF-Faehig machen wollen.

Ich kann leider kaum/kein Perl, aber ich kann gerne mal Vorschläge zur 
Umformulierung der Texte machen.

Ein aggressiveres polw würde ich mit *nicht* wünschen. Polw ist am oberen 
Limit der Aggressivität. Es ist schon jetzt der Faktor, der als einziger 
und am meisten Probleme macht. Das nehme ich gerne in Kauf, denn er macht 
eigentlich nur Probleme bei Systemen, denen man auch was vorwerfen kann. 
Insofern ist das ergebnis des polw (abgesehen von diesem Beispiel hier) 
stets korrekt und nachvollziehbar. Aber es ist immerhin der Dienst, wo 
ich alle meine Kunden explizit briefen muß, ob sie das *wirklich* 
einsetzen wollen und das akzeptieren.

Und SPF... ach nö. SPF ist der letzte Schei... und einer der derzeit 
größten Irrtümer der Mailserver-Geschichte. SPF ist Murks und kann nicht 
funktionieren. Das einzige, was gehen kann, wäre Domain Keys, aber das 
kann der polw naturgemäß ja nicht checken.

Peer



-- 
Heinlein Professional Linux Support GmbH
Linux: Akademie - Support - Hosting

http://www.heinlein-support.de

Zwangsangaben lt. §35a GmbHG:
HRB 93818 B / Amtsgericht Berlin-Charlottenburg, 
Geschäftsführer: Peer Heinlein  -- Sitz: Berlin



Mehr Informationen über die Mailingliste Postfixbuch-users