Greylisting noch sinnvoll?

Martin Steigerwald martin at lichtvoll.de
So Sep 3 12:34:10 CEST 2017 

Peer Heinlein - 09.08.17, 11:23:
> > ich wollte einmal die Frage in die Runde werfen ob eurer Meinung nach
> > der Einsatz von Greylisting noch sinnvoll ist. Vielleicht kurz zum
> > Hintergrund. Wenn ich mir unser Maillog einmal anschaue, habe ich das
> > Gefühl, dass Spammer die an Postscreen vorbei kommen auch kein Problem
> > mit Greylisting haben. Vielleicht täuscht mich mein Gefühl an der Stelle
> > auch etwas.
> > 
> > Wie sieht es bei euch aus? Seid ihr eher pro oder contra Greylisting?
> 
> Greylisting ist total und absolut sinnvoll.
> 
> a) Es gibt Snowshoe-Spam (lange Zeiträume, wenige Mails pro
> Botnetz-server, unterhalb vom Radar)
> und derzeit sehr stark wieder
> b) mailstorms (Kompletter Spam-Aussand in unter 3 Minuten).
> 
> RBLs wie spamhaus blocken das i.d.R. nach 30 Sekunden schon, Spamhaus
> hat neue ;echanismen implementiert um neue Daten noch schneller in den
> Zonen hinzufügen zu können. Greylisting hilft da immens, denn bis er
> durch kann, ist die IP auf der Blacklist.

Hmmm, ich frage mich hier doch, inwiefern da zu Postscreen durch Greylisting  
noch was dazu kommt. Der lehnt neue Sender ja auch erstmal ab und die müssen 
wieder kommen. Ist die Mindestzeit fürs Wiederkommen bei Greylisting länger? 
Bei Postscreen ließe sich das nur für über die Dauer des Pregreet-Tests 
konfigurieren (standardmäßig 6 Sekunden, bei Überlastung 2).

Es ist für mich auch immer ne Abwägung zwischen Effektivität und Komplexität.

Ich hab derzeit

- Postscreen
- policyd-weight (ohne das, was Postscreen schon macht)
- header checks und noch so einige andere Postfix schecks
- spampd

Je mehr ich da dazu stapele, desto fragiler dürfte das Gebilde werden, auch 
wenn ich mittlerweile auch darüber nachdenke, auch ClamAV noch zu integrieren, 
um den statischen header_check auf Dateiendungen wie zip und doc loszuwerden. 
Aber entweder ich würde dann doch amavisd-new verwenden, was ich nicht so mag, 
oder ich müsste den wieder auf eine neue Weise in Postfix integrieren (da gab 
es was, was sich simpel genug anhörte).

Danke,
-- 
Martin

Mehr Informationen über die Mailingliste Postfixbuch-users