[Postfixbuch-users] policyd-weight und BOGUS_MX

Robert Felber robtone at ek-muc.de
Di Apr 5 17:17:46 CEST 2011


On Tue, Apr 05, 2011 at 03:29:01PM +0200, Lars Heide wrote:
> Am 01.04.2011 15:58, schrieb Robert Felber:
> > On Fri, Apr 01, 2011 at 03:13:38PM +0200, Lars Heide wrote:
> 
>  >> 2. Wenn gültige MX-Einträge für die FROM Domain gefunden werden, wird
>  >> nicht mehr nach A-Records gesucht.
> 
> Wie genau ist der Unterscheid zwischen BAD_MX und BOGUS_MX eigentlich
> definiert? Mir ist aufgefallen, das BAD_MX garnicht greift wenn der
> Client auf keiner der DNSBL Listen ist.

BAD_MX bezieht sich NUR auf Sender.
BOGUS_MX kann sich auch auf HELO beziehen.


> >> 3. In die Variable $addresses fliessen jetzt nur noch IPs aus der
> >> HELO-Domain, nicht mehr welche aus der FROM Domain. Unterschied ist das
> >> damit der check HELO_IP_IN_CL_SUBNET nicht mehr gegen IPs aus der FROM
> >> Domain läuft, wenn er läuft.
> >
> > Hier entsteht das Problem, dass es schon oefters vorgegkommen ist, dass
> > die Client IP/24 /16 nicht zum Helo passte, wohl aber zu den MX/A records im
> > Sender.
> 
> Wenn ich das also richtig verstehe, sollten dann vielleicht die
> Variablen und Meldungen anders betitelt werden, da bei

Richtig. Schlug ich schonmal vor. Bzw, werd ich wohl so machen, wenn ich
mal wieder eine Woche Zeit und Motivation habe, mich reinzuarbeiten.

> HELO_IP_IN_CL_SUBNET und HELO_IP_IN_CL16_SUBNET nicht bloss die HELO
> IPs, sondern auch die FROM IPs geprüft werden. Also eher
> HELO/FROM_IP_IN_CL_SUBNET?
> 
> Es wird z.B. bei FROM/MX_MATCHES_HELO(DOMAIN) auch überprüft ob die
> ClientIP eine IP der FROM Domain ist.
> 
> Ich hab auch weiter unten im Code eine Stelle gefunden, an der expliziet
> die Abhängigkeit von ClientIP und IPs der FROM-Domain gecheckt wird (
> CLIENT/24_NOT_MX/A_FROM_DOMAIN ) für diesen check müsste aber dnsbl_hits
>  > 0 stimmen, der Client also auf einer Blacklist stehen.
> 
> Nebenbei: es wird überprüft ob DNS Einträge gefunden wurden
> ($recs_found), derzeit wird $recs_found aber immer einfach gesetzt wenn
> eine DNS Antwort zurückgegeben wird, auch wenn dabei 0 'A' records
> zurückkommen. Eine leere Antwort ist ja auch eine Antwort, $recs_found
> ist also immer wahr solange ein DNS Server erreicht werden kann.

Richtig.


> >> Eine Frage die sich mir aufwirft bei der Betrachtung von policyd-weight
> >> ist, das wenn die client IP ein MX der FROM Domain ist, wird der HELO
> >> nicht dahingehend überprüft ob die HELO Domain irgendwelche IPs liefert,
> >
> > Der initiale Gedanke war "Spoofed Sender" zu minimieren. Bzw spoofing
> > im Generellen. Wenn der Client ein MX ist, interessiert eigentlich
> > nur noch das RBL-Listing von wegen UCE.
> 
> Hmm, ein kaputter DNS Eintrag wird negativ bewertet, ein kaputtes HELO
> wird aber bisher nicht betrachtet wenn ClientIP Element der IP-Adressen
> der FROM Domain ist.

Ob HELO oder Sender - beides sind Argumente die der Client angibt.
Es geht ja genau eben darum, Sender mit kaputtem HELO nicht
zwangslaeufig auszuklammern. Sonst wuerde, wie gesagt, ein
reject_unknown_helo_hostname reichen.



> Nach meiner persönliche Philosophie würde ich an das HELO gewisse
> "qualitative" Ansprüche zu stellen, auch wenn der Client ein SenderMX
> ist oder in der FROM-Domain.

Das wurde alles nach Real-Live Vorkomnissen angepasst. Dort wo
polw zugegebenermaszen ein False-Positive geworfen hat, weil evtl nicht
gruendlich genug, wurde nachgebesert - mit Inkaufnahme der Akezptanz von
mehr UCE.





-- 
	Robert Felber, PGP: D1B2F2E5          http://www.selling-it.de




Mehr Informationen über die Mailingliste Postfixbuch-users