[Postfixbuch-users] Spam über www-data

Thomas Gelf thomas at gelf.net
Mi Aug 5 01:04:42 CEST 2009


Uwe Driessen schrieb:
> Prinzipiell sollten im Web nur sichere Formulare genutzt werden die die Formulareingaben
> der User vor der Verarbeitung zu einer Mail auf Gültigkeit prüfen. 

Wenn ich mir bloß aussuchen könnte, was unsere Kunden für einen Mist
hochladen dürfen... Aber die beauftragen ja Profis für diesen Job. Mir
persönlich fehlt tausenden von Webs ehrlich gesagt auch ein wenig der
Überblick über den verwendeten Code ;-)

Naja, und wir sind noch relativ klein. Aber dennoch gilt: jedes Kunden-
web ist grundsätzlich untrusted. Verboten ist alles, was nicht explizit
erlaubt ist, Firewall-Regeln schränken die Hosting-Server auch nach
außen ein, jedes Web ist ein eigener System-User - und das System muss
so sicher sein, dass der Kunde auch als "Profi" mit einem SSH-Login
nichts anstellen könnte... Naja, ist Utopie - aber wir tun was im Rahmen
unserer Ressourcen möglich ist, jedenfalls versuchen wir's.

Zudem: alle Hosting-Server relayen über dedizierte Bulk-Server, direktes
SMTP von Hosting-Servern nach außen ist zwar möglich - allerdings dürfen
nur wenige neue Verbindungen pro Minute nach außen aufgebaut werden: FW.
Ausnahmen? Auf Anfrage. Genehmigung nur nach einem überzeugenden "Ja,
ich weiß was ich tue und Ja, ich weiß dass ihr mir sofort den Stecker
zieht, wenn ich etwas falsch mache."

> Nobody is perfect das mail von dir hatte ich übersehen.

Kein Problem :-)

> Meinen Kunden empfehle ich auch die Bestätigungsmail an den Absender zu unterbinden damit
> kommt die Mail zwar beim Webinhaber an aber es werden keine unbeteiligten Dritten
> tangiert.

> Die Methode erst schießen und dann nach der Parole fragen finde ich auch gut *gg 

Besser als mit irgend einer IP auf 'ner Blacklist zu landen ist es auf
jeden Fall. Außerdem: dass das entsprechende Web etwas Falsches gemacht
hat steht zu diesem Zeitpunkt schon fest. Und Webs die spammen schalte
ich sofort ab, damit habe ich kein Problem und auch keine Angst vor
etwaigen Klagen. Schließlich schütze ich den Kunden nur vor sich selbst,
denn er hat sich in diesem Moment bereits der Mithilfe zu einer Straftat
schuldig gemacht. Wenn man ihnen das klipp und klar verklickert, kommen
sie gaaanz schnell vom "Ich-verklage-euch-wegen-entgangenen-Gewinns-weil
-ihr-meine-Website-abgeschaltet-habt"-Trip wieder runter.

Ist wie Poker spielen. Wer überzeugender wirkt, gewinnt. Sicher kann
sich bei diesen wirren und kranken Gesetzen (bin hier in Italien, ist
noch schlimmer als bei euch) ohnehin keiner sein...

Liebe Grüße
Thomas Gelf




Mehr Informationen über die Mailingliste Postfixbuch-users