[Postfixbuch-users] RFC erzwingen?

[Sandy Drobic]

Wolfgang Zeikat wrote:
> Hallo Torsten,
> 
> On 17.02.2009 15:34, Sandy Drobic wrote:
>> Torsten Weinstein wrote:
> 
>>> ich habe hier auf einem Testserver ein wenig experimentiert und auch mal
>>> die Konfiguration RFC nah gestaltet. Erfolg ist, das fast kein SPAM (ist
>>> eh wenig im Augenblick) auf den Testserver kommt, weil viele Mails mit
>>> "Helo command rejected: need fully-qualified hostname" abgelehnt werden.
>>> Jedoch steht dem blocken die Erreichbarkeit gegenüber und damit die
>>> schlecht konfigurierten Mailserver. Von schlechte Mailsoftware ganz zu
>>> schweigen.
>>>
> 
> Wir benutzen in Postfix bei zur Zeit ca. 1 Million Mails pro Tag, von
> denen wir ca. 200.000 akzeptieren mit gutem Erfolg
> reject_non_fqdn_hostname (alte Config-Syntax)
> ohne False Positives.

Grins! Ich wage zu behaupten, dass dort mit Sicherheit auch False Positives
dabei sind. Aber solange sich niemand beschwert, sollte das kein großes
Problem sein. Da der Client, welcher die Mail verschickt, den HELO-Namen
selbst festlegen kann, sehe ich auch kein Problem damit, diese Anforderung
zustellen.

Ich hatte jedoch auch den Fall, dass eine Firma die Verwaltung der Firewalls
an eine andere Firma outgesourced hatte, und die es nicht fertiggebracht
haben, einen FQDN einzustellen (Firewall1). Das war auch eines der grausamen
Systeme, wo die Mails erst von der Firewall angenommen wurde, natürlich ohne
eine Liste der gültigen Adressen.

> Von reject_unknown_hostname und strict_rfc821_envelopes haben wir wegen
> zuvielen abgelehnten erwünschten Mails vor Jahren Abstand genommen, und
> auch reject_unknown_client setzen wir nur bei bestimmten
> Absender-Adressen ein.
> 
>> Dies kannst du eigentlich anhand der Logdaten schon recht gut
>> nachvollziehen:
>> - Suche alle Hosts, welche nicht richtig aufgelöst werden können
>> ("unknown")
>> und prüfe, wieviele dieser Mails KEIN Spam waren.
> 
> Fully-qualified hostname (im HELO) hat (in Postfix und seinen Logs)
> wenig mit "unknown" zu tun, das sich auf das DNS-Reverse-Lookup (PTR
> Record) für die IP-Adresse bezieht (aber vielleicht meinst du ja
> amavis). Viele Dialup-Rechner (vermutlich Bots) sind nicht "unknown",
> senden aber im HELO keinen FQDN - letzeres wird ja in der
> Mail-/Spam-Software definiert und nicht im DNS.

Völlig korrekt, ich glaube, da hatte die Koffein-Dosis nicht mehr gereicht.

Postfix loggt per Default nur den HELO-Namen, wenn die Mail abgewiesen wird.
Ansonsten sieht man den HELO-Namen leider nicht (nur in den Received-Zeilen
der Mail). Um dies zu ändern muss man im Source das Logging-Format ändern und
selbst kompilieren.

Es wäre vielleicht eine Option, wenn man dies testen möchte, genausogut könnte
man jedoch einfach warn_if_reject davor setzen und mal für eine Zeit laufen
lassen. Dann kannst das Log auswerten und sehen, ob die Option zuviel
gewünschte Mails abweist.


-- 
Sandy

Antworten bitte nur in die Mailingliste!
PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com