[Postfixbuch-users] greylisting delay

[Peer Heinlein]

Am Freitag, 20. März 2009 schrieb Thomas D.:


> Aber angenommen ein potentieller Neukunde mit eigener Domain ruft die
> Person an.
> Im Telefonat heißt es, "Warten Sie, ich schicke Ihnen die Sache kurz
> per E-Mail, damit Sie sie sehen können", dann würde - sofern unser
> Mailserver binnen der letzen 30 Tage keine Nachricht von dem Mailserver
> des potentiellen Kunden erhalten hat, die erste Nachricht doch erst
> einmal temporär verweigert werden.

Ja, darum nimmt man einzelne (!) spezielle (!) Roleaccounts (!) vom 
Greylisting aus.

support at heinlein-support wird bei uns auch nicht gegreylistet. Aus genau 
diesem Grund.

Aber das ist ja kein Grund gegen Greylisting, sondern lediglich eine Frage 
von richtiger Konfiguration.

> Hier fällt es mir schwer gegen die Person zu argumentieren, weil ich
> ihr hier zustimmen würde, dass in diesem Falle das Telefonat wohl
> zumindest unterbrochen werden muss, sofern man nicht über andere Themen
> sprechen kann.

Richtig. Dann muß der Admin das richtig machen.

> Hat die Person diesbezüglich Angst, der potentielle Kunde würde
> deswegen ihm den Rücken kehren, so kann und will ich ihm diese Angst
> nicht nehmen (ich persönlich glaube, dass das schon möglich sein
> sollte, den potentiellen Kunden zurück zurufen; sollte dies ausreichen,
> um zur Konkurrenz zu gehen, sind die "Angebote" der Person wohl nicht
> für sich sprechend und Greylisting eher ein Störgrund von vielen, aber
> nicht der ausschlaggebende Grund).

Ich würde das als störend und nicht-akzeptabel finden.

Aber, wie gesagt: Dem ist ja nicht so, wenn man es richtig macht.

> > > Selbstverständlich machen auch Ebay und Yahoo keine Probleme. Warum
> > > sollten sie auch.
> >
> > Dann hat sich bei Ebay wohl was geändert, denn die _hatten_
> > "Probleme" mit Greylisting (aus eigener Erfahrung). Ist aber schon 2
> > 3 Jahre her.

Nun ist es stets Definitonsfrage was "Probleme" heißen soll.

a) Die Mails kommen an. Wirklich. Sicher. Ja. Wirklich. Warum auch nicht.

b) Bei einem sehr frischen Greylisting, wo sich noch nicht so viele Server 
im Auto-Whitelisting befinden, kann es ggf. zu Verzögerungen kommen. Aber 
das ist in der Praxis ebenfalls kein Problem, da nach wenigen Tagen (!) 
Trainingsphase (!) alle Server gewhitelistet sind. Auch die von Ebay. Und 
dann sind "Probleme" in Form von "braucht etwas länger" völlig erledigt. 
Darum sage ich: Nein, es gibt keine Probleme.

Man muß hier ein frisch installiertes von einem einige Tage eintrainiertem 
System klar unterscheiden.

Wer keinen Bock auf die Trainingsphase hat, der läßt Greylisting zwei 
Wochen hinter einem "warn_if_reject" versteckt mitlaufen, so daß es 
trainiert, aber nicht ablehnt. Und dann ist die ganze müßige Diskussion 
auch schon wieder obsolet.

Im Gegenzug sind das immer die Setups, wo bei jeder Spamwelle erneut 
pauschale 2 Stunden Mailrückstau auf dem Server sind, so daß ALLE Mails 
verzögert ankommen. Na Gute Nacht.

> Wie will man jemanden überzeugen, der der Meinung ist, "Jede Mail die
> potentiell verloren gehen kann wegen dem Einsatz dieser Technik, ist
> eine Mail zu viel, weswegen diese Technik nicht zum Einsatz kommen
> darf"?

Damit, daß der mensch einen deutlich jeden höheren Fehlerfaktor hat.

Jede Spam-Mail, die den Nutzer nervt, sorgt nur dafür, daß der Nutzer 
Mails entnervt löscht und dabei auch richtige Mails weglöscht.

Du redest hier von einer potentiellen false-positives Rate von 1:1.000.000 
(guter Spamfilter) zu 1:1.000 (Nutzer).

Der MENSCH (!) ist der Risikofaktor. Nicht die Software. Ich rette Mails, 
indem ich den entnervt löschenden Nutzer ausschalte.

> > Mit der Logik darf gar kein Spamschutz zum Eionsatz kommen.
>
> Rate mal... bisher kommt ein Spamfilter zum Einsatz. der lediglich
> markiert.

Sorgt IMHO für Mailverlust, siehe unser aktuelles Logfile.

> Nur Nachrichten die Mittels chckuser als nicht zustellbar, einen SPF
> hard-fail zurückliefern oder laut RBL von einem bösen Sender kommen
> werden geblockt, bzw. die laut ClamAV einen Virus beinhalten, werden

Wer einen SPF-Hardfail ablehnt VERLIERT MAILS.

Piff, paff, peng. SPF funktioniert nicht. SPF darf man nicht als 
Ablehnungsgrund nehmen. IHR VERLIERT MAILS. SPF geht nicht. Man darf 
nicht eine Mail ablehnen, nur weil ein SPF-Fail auftritt, da es genügend 
Szenarien gibt, wo legitime Mails trotzdem einen SPF-Fail auslösen.

Verklicker das Deinem Angsthasen mal.


Ich würde mich immer freuen, wenn die ganzen Anti-Greylisting-Dämagogen 
einfach mal einen Bruchteil Ihrer Angstmacherei-Argumentationszeit in ein 
technisches Verständnis von Greylisting stecken würden. In aller Regel 
haben diese Anti-Stimmungsmacher Greylisting gar nicht richtig 
verstanden, schreien aber umso lauter dagegen. Greylisting ist der 
derzeit beste, effektivste und vor allem nebenwirkungsfreieste 
Anti-Spam-Schutz. Wer Greylisting für gefährlicher als andere 
Anti-Spam-Mechanismen hält, der glaubt auch, daß Kondome an der 
AIDS-Verbreitung schuld sind. Sorry.

Gleichzeitig werden (so wie hier) riskante und im Ansatz her kaputte und 
nicht funktionierende sog. Anti-Spam-Mechanismen wie SPF bedenkenlos 
eingesetzt um Mails zu vernichten. Wobei (man höre und staune) SPF ist ja 
gar kein Anti.Spam-Mechanismus, sondern ein System zur 
Absenderverifizierung, das von Unkundigen lediglich als Anti-Spam-System 
mißverstanden wird. Ist es aber gar nicht. Aber solche Details sind ja 
dann ganz schnell auch egal.

Naja.

Peer


-- 
Heinlein Professional Linux Support GmbH
Linux: Akademie - Support - Hosting

http://www.heinlein-support.de

Zwangsangaben lt. §35a GmbHG:
HRB 93818 B / Amtsgericht Berlin-Charlottenburg, 
Geschäftsführer: Peer Heinlein  -- Sitz: Berlin