[Postfixbuch-users] HELO/EHLO-Namen per DNS/IP überprüfen
Shirazi, Goodarz
goodarz.shirazi at stadt-frankfurt.de
Do Feb 3 11:32:08 CET 2011
Hallo zusammen,
wir überlegen auch, ob eine Prüfung der IP Adresse des Absenders eine Option für uns wäre.
Ich habe sogar irgendwo (ct?) gelesen, dass gmx.net, web.de, 1und1 usw. nur Mails von in DNS eingetragenen MTAs annehmen.
Gruß
Goodarz
-----Ursprüngliche Nachricht-----
Von: postfixbuch-users-bounces at listen.jpberlin.de [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Kai Fürstenberg
Gesendet: Donnerstag, 3. Februar 2011 11:15
An: Eine Diskussionsliste rund um das Postfix-Buch von Peer Heinlein.
Betreff: Re: [Postfixbuch-users] HELO/EHLO-Namen per DNS/IP überprüfen
Am 03.02.2011 10:10, schrieb IT-Mailinglists:
> gibt es eine Option die es ermöglicht den übermittelten
> HELO/EHLO-Namen des Servers der die Verbindung zum Postfix aufbaut zu
> überprüfen? Ich möchte also, dass wenn sich ein Server mit zum
> Beispiel mail.gmx.net beim Postfix meldet, dass dann Postfix einen
> reverse Lookup auf mail.gmx.net durchführt und schaut ob die IP der
> rDNS-Abfrage mit dem Server übereinstimmt der sich zum Postfix
> verbunden hat und vorgibt mail.gmx.net zu sein. Soweit ich das
> verstehe leisten das die Optionen reject_invalid_helo_hostname,
> reject_non_fqdn_helo_hostname und reject_unknown_helo_hostname ja
> nicht. Eine andere Option die sowas bewerkstelligen könnte habe ich
> auch nicht gefunden. Nun stellt sich mir die Frage, bin ich blind,
> oder gibt es diesen Check aus gutem Grund nicht - wenn das so ist,
> würde ich natürlich gern den Grund verstehen wollen. :)
>
> Sinn der ganzen Aktion soll sein das Spammer frühzeitig abgewehrt
> werden, auch wenn Sie sich als gültiger Mailserver (wie mail.gmx.net)
> ausgeben.
Dafür sind HELO-Checks aber denkbar ungeeignet. Eine solche Einstellung wäre extrem restriktiv und viele reguläre Anbieter würden gar nicht erst durchkommen.
Beispiel: Die Mailserver bei 1&1 heissen alle mountng.kundenserver.de (zumindest dem HELO nach). Die hatten auch mal das Problem, dass ein paar (wahrscheinlich neu aufgesetzte) Server sich "localhost.localdomain" nannten.
Sinnvolle(re) Tests wären eher, ob sich ein fremder Server nicht als eigener ausgibt (localhost ist eigentlich auch unsinnig, helo_checks) oder einen ungültigen HELO-Namen verwendet
(reject_invalid_helo_hostname) oder gar keinen FQDN verwendet (reject_non_fqdn_hostname).
Du dagegen willst prüfen, ob der HELO auch mit dem Reverse-Namen übereinstimmt und ablehnen, wenn er das nicht macht. Das halte ich für zu riskant und sollte vielleicht eher mit policyd-weight gewichtet und nicht pauschal abgelehnt werden.
--
Kai Fürstenberg
PM an: kai at fuerstenberg punkt ws
--
_______________________________________________
Postfixbuch-users -- http://www.postfixbuch.de Heinlein Professional Linux Support GmbH
Postfixbuch-users at listen.jpberlin.de
https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
Mehr Informationen über die Mailingliste Postfixbuch-users