reject bei falschem helo

Postfix, QMail, Sendmail, Dovecot, Cyrus, Courier, Anti-Spam
mathew
Posts: 50
Joined: 2004-01-11 15:19
Location: Krefeld

reject bei falschem helo

Post by mathew » 2004-04-14 00:18

Hallo zusammen,

ich habe postfix 2.x so konfiguriert, das er die Domainnamen und Helo prüft. Klappt auch alles wunderbar und ich konnte ne Menge Schrott abblocken.

Nun stelle ich aber häufiger fest, dass die Mailserver sich nicht richitg mit Helo anmelden und dann auch geblockt werden. Bei einem wichtigen Lieferanten konnte ich erklären wie er sein QMail dazu bringt und es klappte dann auch. Nur kann ich ja nicht alle anrufen und sagen da stimmt was nicht.
1. Frage: Soll man nachgeben oder auf das richtige Helo bestehen ???

Mailserver melden sich an und werden abgeblockt, da Postfix den Namen nicht auflösen kann. Ein tracert (oder traceroute) ergab das er bis zum letzten Hop kommt und dann *. Denke Firewall oder ähnliches. Der Sever existiert, aber er läßt nichts an sich ran, daher blockt Postfix ebenfalls die Mail ab, mit der Begründung, Host not found.
2. Frage: Soll man nachgeben oder es so lassen ???

Danke und Gruß
Mathew

duergner
RSAC
Posts: 976
Joined: 2003-08-20 11:30
Location: Pittsburgh, PA, USA

Re: reject bei falschem helo

Post by duergner » 2004-04-14 01:41

Wenn sich bei dir und deinen Kunden Mailverkehr nicht nur auf ein paar bestimmte Mailserver beschränkt, dann wirst du wohl leider nicht drum rumkommen, diese beiden Checks wieder abzustellen, da leider zu viele Systeme auf die ein oder andere Art verkonfiguriert sind, leider.

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: reject bei falschem helo

Post by captaincrunch » 2004-04-14 08:31

dann wirst du wohl leider nicht drum rumkommen, diese beiden Checks wieder abzustellen, da leider zu viele Systeme auf die ein oder andere Art verkonfiguriert sind, leider.
Durch eine solche Einstellung werden wir das Spam-Problem nie los...
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: reject bei falschem helo

Post by dodolin » 2004-04-14 11:00

Mails wegen falschem HELO String abzulehnen ist ein MUST NOT nach den entsprechenden RFCs. Wer hier also im Unrecht ist, ist klar auf der Hand.
Durch eine solche Einstellung werden wir das Spam-Problem nie los...
Wer mit seinen vielleicht gutgemeinten Anti-Spam Massnahmen aber mehr Schaden als Nutzen anrichtet, trägt jedenfalls mit Sicherheit nicht zur Lösung des Problems bei, sondern verschlimmert es.

compositiv
Posts: 193
Joined: 2003-01-22 14:58
Location: Hamburg

Re: reject bei falschem helo

Post by compositiv » 2004-04-14 11:44

Offengestanden vermag ich gerade auch nicht zu erkennen, wie ein solcher Test Spam vermeiden könnte...

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: reject bei falschem helo

Post by dodolin » 2004-04-14 12:03

Offengestanden vermag ich gerade auch nicht zu erkennen, wie ein solcher Test Spam vermeiden könnte...
Nun, viele Spammer-Tools arbeiten mit kaputten HELO Strings bzw. die ganzen missbrauchten Rechner sind meist so fehlkonfiguriert, dass auch das HELO kaputt ist. Das dumme an dieser Maßnahme ist nur, dass nicht zur Spam reduziert wird, sondern gleichzeitig auch sehr viel erwünschte Mail. Damit ist das Kosten-Nutzen Verhältnis so ziemlich bei Null, wenn nicht sogar negativ.

User avatar
Joe User
Project Manager
Project Manager
Posts: 11583
Joined: 2003-02-27 01:00
Location: Hamburg

Re: reject bei falschem helo

Post by Joe User » 2004-04-14 15:10

@dodolin

Folgendes halte ich dennoch für legitim:

Code: Select all

acl_check_helo:
  deny    message       = HELO/EHLO {$sender_helo_name} not permitted
          condition     = ${if eq{$sender_helo_name}{}{yes}{no}}
  deny    message       = HELO/EHLO {$sender_helo_name} not permitted
          condition     = ${if match{$sender_helo_name}{none}{yes}{no}}
  deny    message       = HELO/EHLO {$sender_helo_name} not permitted
          condition     = ${if match{$sender_helo_name}{localhost}{yes}{no}}
  deny    message       = HELO/EHLO {$sender_helo_name} not permitted
          condition     = ${if match{$sender_helo_name}{MY_IP}{yes}{no}}
  deny    message       = HELO/EHLO {$sender_helo_name} not permitted
          condition     = ${if match{$sender_helo_name}{MY_DOMAIN}{yes}{no}}
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: reject bei falschem helo

Post by dodolin » 2004-04-14 16:48

Folgendes halte ich dennoch für legitim:
Zu MY_IP und MY_DOMAIN, ACK. Zum Rest nicht so ganz, aber das ist Ansichtssache. Ich glaube eh, dass deine 3 anderen Checks kaum Treffer haben. ;)

Wenn man es selektiv macht, dann sind HELO checks ok (IMHO). Aber global geht das auf gar keinen Fall ohne zu viele Kollateralschäden.

Was wohl auch ganz sinnig ist:
Die großen Domains (Yahoo, AOL, ...), deren HELOs besonders oft gefälscht werden zu checken - derart, dass ein HELO yahoo.com nur von einem Host mit RDNS *.yahoo.com kommen darf, etc. Dazu muss man vorher aber genau untersuchen, welche HELOs und RDNS der jeweilige Dienst verwendet.

Diese Checks dürften wesentlich effektiver sein, als deine 3. :) Und nebenbei auch kaum Fehltreffer produzieren.

User avatar
Joe User
Project Manager
Project Manager
Posts: 11583
Joined: 2003-02-27 01:00
Location: Hamburg

Re: reject bei falschem helo

Post by Joe User » 2004-04-14 21:18

dodolin wrote:Zum Rest nicht so ganz, aber das ist Ansichtssache. Ich glaube eh, dass deine 3 anderen Checks kaum Treffer haben. ;)
Stimmt, kein HELO/EHLO beziehungsweise none habe ich lange nicht gesehen, über localhost könnte man nochmals diskutieren ;)
dodolin wrote:Wenn man es selektiv macht, dann sind HELO checks ok (IMHO). Aber global geht das auf gar keinen Fall ohne zu viele Kollateralschäden.
ACK. BTW: In welcher Zonendatei hast Du den IN TXT für SPF gesetzt?
dodolin wrote:Diese Checks dürften wesentlich effektiver sein, als deine 3. :) Und nebenbei auch kaum Fehltreffer produzieren.
ACK, nur sollte man diese regelmässig prüfen/aktualisieren.
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: reject bei falschem helo

Post by dodolin » 2004-04-15 00:22

BTW: In welcher Zonendatei hast Du den IN TXT für SPF gesetzt?
Na in der Zone für dodolin.de, wo sonst? Halt immer die Domain, die man damit schützen will bzw. die man in den Mails als Absender nach dem @ benutzt.

User avatar
Joe User
Project Manager
Project Manager
Posts: 11583
Joined: 2003-02-27 01:00
Location: Hamburg

Re: reject bei falschem helo

Post by Joe User » 2004-04-15 11:33

dodolin wrote:Na in der Zone für dodolin.de, wo sonst?
:oops: Gute Frage, ich sollte die Tabletten absetzen :roll:
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.