[Postfixbuch-users] reject_unknown_client

Thomas Klein mailinglist-postfixbuch at online.de
Fr Feb 12 00:30:23 CET 2010


Hallo zusammen,

ich habe bei einem Kunden Postfix Anfang der Woche etwas verschärft, da 
die durchrutschenden SPAMs mehr geworden sind. Ich habe daher die 
"dynip" Liste von Drießen genommen und dementsprechend mit 5xx rejecten 
lassen, was gematched hat. Ebenso habe ich reject_unknown_client mit 
einerm 550er rejectcode mit rein genommen.

Die User waren entsprechend informiert, ich war doch überrascht dass so 
viele Meldungen eingingen, dass Mails von Partnern rejected werden. Es 
wird häufig mit nicht-Europäischen Ausländern kommuniziert, die meisten 
waren Amerikaner, Italiener und Südamerikaner die hängen blieben. Jedoch 
musste ich feststellen, dass auch einige rejects von "unknown clients" 
wohl rejected wurden, weil die DNS-Abfrage zu lange dauerte. Im mail.log 
war die ein oder andere client-IP noch mit unknown zu finden, ein 
manueller nslookup brachte aber den korrekten Hostname zu Tage. Ich 
arbeite auf dieser Maschine lokal mit bind9, der wiederum den DNS-Server 
des Hosters fragt.

Irgendwie ist das ein bißchen Zwickmühle:
Wenn ich die unknown clients mit einem 4xx Code rejecte, um vielleicht 
eine 2. (erfolgreichere) DNS Abfrage zu ermöglichen, und da wirklich 
eine ham-Mail dahinter steckt, bleibt die Möglicherweise ein paar Tage 
in der Versender-Queue, bis eine notification an den Absender kommt, 
falls er wirklich ein unknown client ist => ungünstig. Zumal durch bind 
der DNS Record ja im cache steht, und bind wohl innerhalb des TTL ja eh 
nicht nochmal neu nachfragt, oder wie verhält sich postfix wenn beim 1. 
Zustellversuch die Client-IP als unknown betitelt wurde? Rejecte ich mit 
einem 5xx Code, gehe ich evtl. das Risiko ein Mails zu rejecten die von 
sauber konfigurierten Mailservern kommen, aber ich die DNS-Antwort nicht 
schnell genug bekomme.

Gibt es eine Möglichkeit, den Timeout zu verlängern bis postfix eine 
DNS-antowort hat, bis er den client als unknown identifiziert?
Wie löst ihr denn die Sache bei euch mit den unknown clients? In letzer 
Zeit sind die SPAMs speziell von diesen Hosts mehr geworden.

Danke & Gruss
Thomas



Mehr Informationen über die Mailingliste Postfixbuch-users