[Postfixbuch-users] policyd-weight und BOGUS_MX

Lars Heide l.heide at fz-juelich.de
Fr Apr 1 15:13:38 CEST 2011 

Hi,

ich hab mal einen Patch gemacht (policyd-weight.patch gegen Version
0.1.14.17, policyd-weight-15.patch gegen Version 0.1.15.1 ), welcher das
Verhalten wie oben besprochen ändert (und ein paar andere kleinere
Änderungen macht).

Änderungen im Verhalten:

1. "list.dsbl.org" entfernt, wie Robert richtig anmerkte ist diese Liste
seit 2 Jahren nicht mehr in Betrieb, der Check erzeugt daher nur
Wartezeit (bei version 0.1.14.17).
2. Wenn gültige MX-Einträge für die FROM Domain gefunden werden, wird
nicht mehr nach A-Records gesucht.
3. In die Variable $addresses fliessen jetzt nur noch IPs aus der
HELO-Domain, nicht mehr welche aus der FROM Domain. Unterschied ist das
damit der check HELO_IP_IN_CL_SUBNET nicht mehr gegen IPs aus der FROM
Domain läuft, wenn er läuft.
4. Falsche MX sind jetzt auch 0.0.0.0/8 und 255.255.255.255.
5. Die Abfrage gegen das DNS fragt jetzt nicht mehr expliziet nach 'A'
Records (oder 'AAAA' bei 01.1.15), weil sonst nie PTRs zurück geliefert
werden und ein Check weiter unten nie erfüllt werden kann. Ohne 'A' ist
der Check der Perl Library impliziet ein 'A' wenn es einen Hostnamen
erkennt und liefert 'PTR' zurück wenn es eine IP ist.

Da sind noch 2 andere kleinere Änderungen, die beeinflussen aber das
Verhalten nicht und bügeln nur Gemecker von Perl aus.

Eine Frage die sich mir aufwirft bei der Betrachtung von policyd-weight
ist, das wenn die client IP ein MX der FROM Domain ist, wird der HELO
nicht dahingehend überprüft ob die HELO Domain irgendwelche IPs liefert,
die mit der clientIP oder dem Subnet übereinstimmt. (wenn clientIP im
DNS der FROM Domain auftaucht wird der HELO nicht mehr betrachtet). Der
Patch bildet dieses Verhalten nach indem er eine andere Variable
abfragt, persönlich würde ich das nicht so durchgehen lassen.

Kurios ist das z.B. bei dieser Kombination von Parametern (in echt so
gesehen):

helo_name=.
sender=english at ublove.com
client_address=119.205.209.108


Orginal: policyd-weight
NOT_IN_SBL_XBL_SPAMHAUS=-1.5 NOT_IN_SPAMCOP=-1.5 NOT_IN_BL_NJABL=-1.5
DSBL_ORG=SKIP(0) HELO_IP_IN_CL_SUBNET=-1.2 (check from: .ublove. - helo:
... - helo-domain: ..)  FROM/MX_MATCHES_NOT_HELO(DOMAIN)=1;
<client=119.205.209.108> <helo=.> <from=english at ublove.com> <to=>; rate:
-4.7

wenn man die client_address wirklich durch die MX-IP der FROM Domain
ersetzt (119.205.209.104) , sieht das Bild sogar noch rosiger aus:

NOT_IN_SBL_XBL_SPAMHAUS=-1.5 NOT_IN_SPAMCOP=-1.5 NOT_IN_BL_NJABL=-1.5
CL_IP_EQ_FROM_MX=-3.1 <helo_ips:  . 119.205.209.104>;
<instance=119.205.209.104english at ublove.com> <client=119.205.209.104>
<helo=.> <from=english at ublove.com> <to=>; rate: -7.6

Wenn man die HELO-IPs einbezieht fliegt das ganze raus:

NOT_IN_SBL_XBL_SPAMHAUS=-1.5 NOT_IN_SPAMCOP=-1.5 NOT_IN_BL_NJABL=-1.5
CL_IP_NE_HELO=1.5 RESOLVED_IP_IS_NOT_HELO=1.5 (check from: .ublove. -
helo: ... - helo-domain: ..)  FROM_NOT_FAILED_HELO(DOMAIN)=3 <helo_ips:
.>; <instance=119.205.209.108english at ublove.com>
<client=119.205.209.108> <helo=.> <from=english at ublove.com> <to=>; rate: 1.5

(für diesen Effekt die Zeile 2204: last if $is_mx; in der gepatchten
Version entfernen)

Lars

--
IT- Services
Forschungszentrum Jülich GmbH
Tel.: +49 2461 61 9237                  Email: l.heide at fz-juelich.de
Fax: +49 2461 61 9209                   Internet: www.fz-juelich.de/its


------------------------------------------------------------------------------------------------
------------------------------------------------------------------------------------------------
Forschungszentrum Juelich GmbH
52425 Juelich
Sitz der Gesellschaft: Juelich
Eingetragen im Handelsregister des Amtsgerichts Dueren Nr. HR B 3498
Vorsitzender des Aufsichtsrats: MinDirig Dr. Karl Eugen Huthmacher
Geschaeftsfuehrung: Prof. Dr. Achim Bachem (Vorsitzender),
Dr. Ulrich Krafft (stellv. Vorsitzender), Prof. Dr.-Ing. Harald Bolt,
Prof. Dr. Sebastian M. Schmidt
------------------------------------------------------------------------------------------------
------------------------------------------------------------------------------------------------

Besuchen Sie uns auf unserem neuen Webauftritt unter www.fz-juelich.de
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : policyd-weight.patch
Dateityp    : text/x-patch
Dateigröße  : 3768 bytes
Beschreibung: nicht verfügbar
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20110401/212d4c38/attachment.patch>
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : policyd-weight-15.patch
Dateityp    : text/x-patch
Dateigröße  : 3653 bytes
Beschreibung: nicht verfügbar
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20110401/212d4c38/attachment-0001.patch>

Mehr Informationen über die Mailingliste Postfixbuch-users