reject bei falschem helo

Post by **mathew** » 2004-04-14 00:18

Hallo zusammen,

ich habe postfix 2.x so konfiguriert, das er die Domainnamen und Helo prüft. Klappt auch alles wunderbar und ich konnte ne Menge Schrott abblocken.

Nun stelle ich aber häufiger fest, dass die Mailserver sich nicht richitg mit Helo anmelden und dann auch geblockt werden. Bei einem wichtigen Lieferanten konnte ich erklären wie er sein QMail dazu bringt und es klappte dann auch. Nur kann ich ja nicht alle anrufen und sagen da stimmt was nicht.
1. Frage: Soll man nachgeben oder auf das richtige Helo bestehen ???

Mailserver melden sich an und werden abgeblockt, da Postfix den Namen nicht auflösen kann. Ein tracert (oder traceroute) ergab das er bis zum letzten Hop kommt und dann *. Denke Firewall oder ähnliches. Der Sever existiert, aber er läßt nichts an sich ran, daher blockt Postfix ebenfalls die Mail ab, mit der Begründung, Host not found.
2. Frage: Soll man nachgeben oder es so lassen ???

Danke und Gruß
Mathew

Post by **duergner** » 2004-04-14 01:41

Wenn sich bei dir und deinen Kunden Mailverkehr nicht nur auf ein paar bestimmte Mailserver beschränkt, dann wirst du wohl leider nicht drum rumkommen, diese beiden Checks wieder abzustellen, da leider zu viele Systeme auf die ein oder andere Art verkonfiguriert sind, leider.

Post by **captaincrunch** » 2004-04-14 08:31

dann wirst du wohl leider nicht drum rumkommen, diese beiden Checks wieder abzustellen, da leider zu viele Systeme auf die ein oder andere Art verkonfiguriert sind, leider.

Durch eine solche Einstellung werden wir das Spam-Problem nie los...

Post by **dodolin** » 2004-04-14 11:00

Mails wegen falschem HELO String abzulehnen ist ein MUST NOT nach den entsprechenden RFCs. Wer hier also im Unrecht ist, ist klar auf der Hand.

Durch eine solche Einstellung werden wir das Spam-Problem nie los...

Wer mit seinen vielleicht gutgemeinten Anti-Spam Massnahmen aber mehr Schaden als Nutzen anrichtet, trägt jedenfalls mit Sicherheit nicht zur Lösung des Problems bei, sondern verschlimmert es.

Post by **compositiv** » 2004-04-14 11:44

Offengestanden vermag ich gerade auch nicht zu erkennen, wie ein solcher Test Spam vermeiden könnte...

Post by **dodolin** » 2004-04-14 12:03

Offengestanden vermag ich gerade auch nicht zu erkennen, wie ein solcher Test Spam vermeiden könnte...

Nun, viele Spammer-Tools arbeiten mit kaputten HELO Strings bzw. die ganzen missbrauchten Rechner sind meist so fehlkonfiguriert, dass auch das HELO kaputt ist. Das dumme an dieser Maßnahme ist nur, dass nicht zur Spam reduziert wird, sondern gleichzeitig auch sehr viel erwünschte Mail. Damit ist das Kosten-Nutzen Verhältnis so ziemlich bei Null, wenn nicht sogar negativ.

Post by **Joe User** » 2004-04-14 15:10

@dodolin

Folgendes halte ich dennoch für legitim:

Code: Select all

acl_check_helo:
  deny    message       = HELO/EHLO {$sender_helo_name} not permitted
          condition     = ${if eq{$sender_helo_name}{}{yes}{no}}
  deny    message       = HELO/EHLO {$sender_helo_name} not permitted
          condition     = ${if match{$sender_helo_name}{none}{yes}{no}}
  deny    message       = HELO/EHLO {$sender_helo_name} not permitted
          condition     = ${if match{$sender_helo_name}{localhost}{yes}{no}}
  deny    message       = HELO/EHLO {$sender_helo_name} not permitted
          condition     = ${if match{$sender_helo_name}{MY_IP}{yes}{no}}
  deny    message       = HELO/EHLO {$sender_helo_name} not permitted
          condition     = ${if match{$sender_helo_name}{MY_DOMAIN}{yes}{no}}

Post by **dodolin** » 2004-04-14 16:48

Folgendes halte ich dennoch für legitim:

Zu MY_IP und MY_DOMAIN, ACK. Zum Rest nicht so ganz, aber das ist Ansichtssache. Ich glaube eh, dass deine 3 anderen Checks kaum Treffer haben. ;)

Wenn man es selektiv macht, dann sind HELO checks ok (IMHO). Aber global geht das auf gar keinen Fall ohne zu viele Kollateralschäden.

Was wohl auch ganz sinnig ist:
Die großen Domains (Yahoo, AOL, ...), deren HELOs besonders oft gefälscht werden zu checken - derart, dass ein HELO yahoo.com nur von einem Host mit RDNS *.yahoo.com kommen darf, etc. Dazu muss man vorher aber genau untersuchen, welche HELOs und RDNS der jeweilige Dienst verwendet.

Diese Checks dürften wesentlich effektiver sein, als deine 3. :) Und nebenbei auch kaum Fehltreffer produzieren.

Post by **Joe User** » 2004-04-14 21:18

dodolin wrote:Zum Rest nicht so ganz, aber das ist Ansichtssache. Ich glaube eh, dass deine 3 anderen Checks kaum Treffer haben. ;)

Stimmt, kein HELO/EHLO beziehungsweise none habe ich lange nicht gesehen, über localhost könnte man nochmals diskutieren ;)

dodolin wrote:Wenn man es selektiv macht, dann sind HELO checks ok (IMHO). Aber global geht das auf gar keinen Fall ohne zu viele Kollateralschäden.

ACK. BTW: In welcher Zonendatei hast Du den IN TXT für SPF gesetzt?

dodolin wrote:Diese Checks dürften wesentlich effektiver sein, als deine 3. :) Und nebenbei auch kaum Fehltreffer produzieren.

ACK, nur sollte man diese regelmässig prüfen/aktualisieren.

Post by **dodolin** » 2004-04-15 00:22

BTW: In welcher Zonendatei hast Du den IN TXT für SPF gesetzt?

Na in der Zone für dodolin.de, wo sonst? Halt immer die Domain, die man damit schützen will bzw. die man in den Mails als Absender nach dem @ benutzt.

Post by **Joe User** » 2004-04-15 11:33

dodolin wrote:Na in der Zone für dodolin.de, wo sonst?

:oops: Gute Frage, ich sollte die Tabletten absetzen :roll:

RootForum Community

reject bei falschem helo

reject bei falschem helo

Re: reject bei falschem helo

Re: reject bei falschem helo

Re: reject bei falschem helo

Re: reject bei falschem helo

Re: reject bei falschem helo

Re: reject bei falschem helo

Re: reject bei falschem helo

Re: reject bei falschem helo

Re: reject bei falschem helo

Re: reject bei falschem helo