Greylisting noch sinnvoll?

Alex JOST jost+lists at dimejo.at
So Sep 3 14:02:39 CEST 2017


Am 03.09.2017 um 12:34 schrieb Martin Steigerwald:
> Peer Heinlein - 09.08.17, 11:23:
>>> ich wollte einmal die Frage in die Runde werfen ob eurer Meinung nach
>>> der Einsatz von Greylisting noch sinnvoll ist. Vielleicht kurz zum
>>> Hintergrund. Wenn ich mir unser Maillog einmal anschaue, habe ich das
>>> Gefühl, dass Spammer die an Postscreen vorbei kommen auch kein Problem
>>> mit Greylisting haben. Vielleicht täuscht mich mein Gefühl an der Stelle
>>> auch etwas.
>>>
>>> Wie sieht es bei euch aus? Seid ihr eher pro oder contra Greylisting?
>>
>> Greylisting ist total und absolut sinnvoll.
>>
>> a) Es gibt Snowshoe-Spam (lange Zeiträume, wenige Mails pro
>> Botnetz-server, unterhalb vom Radar)
>> und derzeit sehr stark wieder
>> b) mailstorms (Kompletter Spam-Aussand in unter 3 Minuten).
>>
>> RBLs wie spamhaus blocken das i.d.R. nach 30 Sekunden schon, Spamhaus
>> hat neue ;echanismen implementiert um neue Daten noch schneller in den
>> Zonen hinzufügen zu können. Greylisting hilft da immens, denn bis er
>> durch kann, ist die IP auf der Blacklist.
> 
> Hmmm, ich frage mich hier doch, inwiefern da zu Postscreen durch Greylisting
> noch was dazu kommt. Der lehnt neue Sender ja auch erstmal ab und die müssen
> wieder kommen. Ist die Mindestzeit fürs Wiederkommen bei Greylisting länger?
> Bei Postscreen ließe sich das nur für über die Dauer des Pregreet-Tests
> konfigurieren (standardmäßig 6 Sekunden, bei Überlastung 2).

Sofern Du keine "deep protocol tests" in Postscreen aktiviert hast (die 
ohnehin fraglich sind) wird in Postscreen nichts temporär abgewiesen. 
Selbst mit "deep protocol tests" gibt es im Gegensatz zu Greylisting 
keine festgelegte Mindestzeit für neue Versuche. Der Client kann es 
sofort wieder probieren, und wird gleich akzeptiert.


> Es ist für mich auch immer ne Abwägung zwischen Effektivität und Komplexität.
> 
> Ich hab derzeit
> 
> - Postscreen
> - policyd-weight (ohne das, was Postscreen schon macht)
> - header checks und noch so einige andere Postfix schecks
> - spampd
> 
> Je mehr ich da dazu stapele, desto fragiler dürfte das Gebilde werden, auch
> wenn ich mittlerweile auch darüber nachdenke, auch ClamAV noch zu integrieren,
> um den statischen header_check auf Dateiendungen wie zip und doc loszuwerden.
> Aber entweder ich würde dann doch amavisd-new verwenden, was ich nicht so mag,
> oder ich müsste den wieder auf eine neue Weise in Postfix integrieren (da gab
> es was, was sich simpel genug anhörte).

Siehe rspamd :)

-- 
Alex JOST



Mehr Informationen über die Mailingliste Postfixbuch-users