[Postfixbuch-users] reject_unknown_client
Thomas Klein
mailinglist-postfixbuch at online.de
Fr Feb 12 23:46:52 CET 2010
Uwe Driessen schrieb:
> On Behalf Of Thomas Klein
>
>
>
>> ich habe bei einem Kunden Postfix Anfang der Woche etwas verschärft, da
>> die durchrutschenden SPAMs mehr geworden sind. Ich habe daher die
>> "dynip" Liste von Drießen genommen und dementsprechend mit 5xx rejecten
>> lassen, was gematched hat. Ebenso habe ich reject_unknown_client mit
>> einerm 550er rejectcode mit rein genommen.
>>
>> Die User waren entsprechend informiert, ich war doch überrascht dass so
>> viele Meldungen eingingen, dass Mails von Partnern rejected werden. Es
>> wird häufig mit nicht-Europäischen Ausländern kommuniziert, die meisten
>> waren Amerikaner, Italiener und Südamerikaner die hängen blieben. Jedoch
>>
>
> Wegen was wurden die rejectet? Dynip oder unknown?
>
> Bei unknown werden bei DNS Fehlern 450 Fehler geworfen.
> Die dynip solltest du bei erstmaligem Einsatz mit warn_if_reject benutzen und schauen ob
> sie für deinen Server überhaupt geeignet ist bzw. solltest du die Liste für deine Zwecke
> anpassen.
>
> Die dynip enthält nur PTR die unangenehm aufgefallen sind und auf DIALIN schließen lassen.
>
>
Die meisten wurden wg. unknown rejected. Ich hatte glaube ich 3 false
positives, denn als ich nochmal manuell einen nslookup auf die ip
gemacht habe, kam der erwartete Hostname raus.
>
>> musste ich feststellen, dass auch einige rejects von "unknown clients"
>> wohl rejected wurden, weil die DNS-Abfrage zu lange dauerte. Im mail.log
>> war die ein oder andere client-IP noch mit unknown zu finden, ein
>> manueller nslookup brachte aber den korrekten Hostname zu Tage. Ich
>> arbeite auf dieser Maschine lokal mit bind9, der wiederum den DNS-Server
>> des Hosters fragt.
>>
>
> Die frage ist ist die DNS Abfrage eindeutig? Ist sie mehrdeutig kommt ebenfalls ein reject
> raus. Prüfe vorwärts und rückwärts ob IP zum PTR und PTR zur IP passt mit host.
>
> Und kommt auch immer wieder die gleiche Antwort oder wechselt diese.
>
>
>
Werde ich nochmal testen. Wie verfahrt ihr denn grundsätzlich, laßt ihr
unknown clients mit 450 oder 550 rejecten?
Gruss
Thomas
Mehr Informationen über die Mailingliste Postfixbuch-users