[Postfixbuch-users] HELO/EHLO-Namen per DNS/IP überprüfen
Kai Fürstenberg
kai_postfix at fuerstenberg.ws
Do Feb 3 11:14:44 CET 2011
Am 03.02.2011 10:10, schrieb IT-Mailinglists:
> gibt es eine Option die es ermöglicht den übermittelten
> HELO/EHLO-Namen des Servers der die Verbindung zum Postfix aufbaut zu
> überprüfen? Ich möchte also, dass wenn sich ein Server mit zum
> Beispiel mail.gmx.net beim Postfix meldet, dass dann Postfix einen
> reverse Lookup auf mail.gmx.net durchführt und schaut ob die IP der
> rDNS-Abfrage mit dem Server übereinstimmt der sich zum Postfix
> verbunden hat und vorgibt mail.gmx.net zu sein. Soweit ich das
> verstehe leisten das die Optionen reject_invalid_helo_hostname,
> reject_non_fqdn_helo_hostname und reject_unknown_helo_hostname ja
> nicht. Eine andere Option die sowas bewerkstelligen könnte habe ich
> auch nicht gefunden. Nun stellt sich mir die Frage, bin ich blind,
> oder gibt es diesen Check aus gutem Grund nicht - wenn das so ist,
> würde ich natürlich gern den Grund verstehen wollen. :)
>
> Sinn der ganzen Aktion soll sein das Spammer frühzeitig abgewehrt
> werden, auch wenn Sie sich als gültiger Mailserver (wie mail.gmx.net)
> ausgeben.
Dafür sind HELO-Checks aber denkbar ungeeignet. Eine solche Einstellung
wäre extrem restriktiv und viele reguläre Anbieter würden gar nicht erst
durchkommen.
Beispiel: Die Mailserver bei 1&1 heissen alle mountng.kundenserver.de
(zumindest dem HELO nach). Die hatten auch mal das Problem, dass ein
paar (wahrscheinlich neu aufgesetzte) Server sich
"localhost.localdomain" nannten.
Sinnvolle(re) Tests wären eher, ob sich ein fremder Server nicht als
eigener ausgibt (localhost ist eigentlich auch unsinnig, helo_checks)
oder einen ungültigen HELO-Namen verwendet
(reject_invalid_helo_hostname) oder gar keinen FQDN verwendet
(reject_non_fqdn_hostname).
Du dagegen willst prüfen, ob der HELO auch mit dem Reverse-Namen
übereinstimmt und ablehnen, wenn er das nicht macht. Das halte ich für
zu riskant und sollte vielleicht eher mit policyd-weight gewichtet und
nicht pauschal abgelehnt werden.
--
Kai Fürstenberg
PM an: kai at fuerstenberg punkt ws
Mehr Informationen über die Mailingliste Postfixbuch-users