Page 1 of 1
reject bei falschem helo
Posted: 2004-04-14 00:18
by mathew
Hallo zusammen,
ich habe postfix 2.x so konfiguriert, das er die Domainnamen und Helo prüft. Klappt auch alles wunderbar und ich konnte ne Menge Schrott abblocken.
Nun stelle ich aber häufiger fest, dass die Mailserver sich nicht richitg mit Helo anmelden und dann auch geblockt werden. Bei einem wichtigen Lieferanten konnte ich erklären wie er sein QMail dazu bringt und es klappte dann auch. Nur kann ich ja nicht alle anrufen und sagen da stimmt was nicht.
1. Frage: Soll man nachgeben oder auf das richtige Helo bestehen ???
Mailserver melden sich an und werden abgeblockt, da Postfix den Namen nicht auflösen kann. Ein tracert (oder traceroute) ergab das er bis zum letzten Hop kommt und dann *. Denke Firewall oder ähnliches. Der Sever existiert, aber er läßt nichts an sich ran, daher blockt Postfix ebenfalls die Mail ab, mit der Begründung, Host not found.
2. Frage: Soll man nachgeben oder es so lassen ???
Danke und Gruß
Mathew
Re: reject bei falschem helo
Posted: 2004-04-14 01:41
by duergner
Wenn sich bei dir und deinen Kunden Mailverkehr nicht nur auf ein paar bestimmte Mailserver beschränkt, dann wirst du wohl leider nicht drum rumkommen, diese beiden Checks wieder abzustellen, da leider zu viele Systeme auf die ein oder andere Art verkonfiguriert sind, leider.
Re: reject bei falschem helo
Posted: 2004-04-14 08:31
by captaincrunch
dann wirst du wohl leider nicht drum rumkommen, diese beiden Checks wieder abzustellen, da leider zu viele Systeme auf die ein oder andere Art verkonfiguriert sind, leider.
Durch eine solche Einstellung werden wir das Spam-Problem nie los...
Re: reject bei falschem helo
Posted: 2004-04-14 11:00
by dodolin
Mails wegen falschem HELO String abzulehnen ist ein MUST NOT nach den entsprechenden RFCs. Wer hier also im Unrecht ist, ist klar auf der Hand.
Durch eine solche Einstellung werden wir das Spam-Problem nie los...
Wer mit seinen vielleicht gutgemeinten Anti-Spam Massnahmen aber mehr Schaden als Nutzen anrichtet, trägt jedenfalls mit Sicherheit nicht zur Lösung des Problems bei, sondern verschlimmert es.
Re: reject bei falschem helo
Posted: 2004-04-14 11:44
by compositiv
Offengestanden vermag ich gerade auch nicht zu erkennen, wie ein solcher Test Spam vermeiden könnte...
Re: reject bei falschem helo
Posted: 2004-04-14 12:03
by dodolin
Offengestanden vermag ich gerade auch nicht zu erkennen, wie ein solcher Test Spam vermeiden könnte...
Nun, viele Spammer-Tools arbeiten mit kaputten HELO Strings bzw. die ganzen missbrauchten Rechner sind meist so fehlkonfiguriert, dass auch das HELO kaputt ist. Das dumme an dieser Maßnahme ist nur, dass nicht zur Spam reduziert wird, sondern gleichzeitig auch sehr viel erwünschte Mail. Damit ist das Kosten-Nutzen Verhältnis so ziemlich bei Null, wenn nicht sogar negativ.
Re: reject bei falschem helo
Posted: 2004-04-14 15:10
by Joe User
@dodolin
Folgendes halte ich dennoch für legitim:
Code: Select all
acl_check_helo:
deny message = HELO/EHLO {$sender_helo_name} not permitted
condition = ${if eq{$sender_helo_name}{}{yes}{no}}
deny message = HELO/EHLO {$sender_helo_name} not permitted
condition = ${if match{$sender_helo_name}{none}{yes}{no}}
deny message = HELO/EHLO {$sender_helo_name} not permitted
condition = ${if match{$sender_helo_name}{localhost}{yes}{no}}
deny message = HELO/EHLO {$sender_helo_name} not permitted
condition = ${if match{$sender_helo_name}{MY_IP}{yes}{no}}
deny message = HELO/EHLO {$sender_helo_name} not permitted
condition = ${if match{$sender_helo_name}{MY_DOMAIN}{yes}{no}}
Re: reject bei falschem helo
Posted: 2004-04-14 16:48
by dodolin
Folgendes halte ich dennoch für legitim:
Zu MY_IP und MY_DOMAIN, ACK. Zum Rest nicht so ganz, aber das ist Ansichtssache. Ich glaube eh, dass deine 3 anderen Checks kaum Treffer haben. ;)
Wenn man es selektiv macht, dann sind HELO checks ok (IMHO). Aber global geht das auf gar keinen Fall ohne zu viele Kollateralschäden.
Was wohl auch ganz sinnig ist:
Die großen Domains (Yahoo, AOL, ...), deren HELOs besonders oft gefälscht werden zu checken - derart, dass ein HELO yahoo.com nur von einem Host mit RDNS *.yahoo.com kommen darf, etc. Dazu muss man vorher aber genau untersuchen, welche HELOs und RDNS der jeweilige Dienst verwendet.
Diese Checks dürften wesentlich effektiver sein, als deine 3. :) Und nebenbei auch kaum Fehltreffer produzieren.
Re: reject bei falschem helo
Posted: 2004-04-14 21:18
by Joe User
dodolin wrote:Zum Rest nicht so ganz, aber das ist Ansichtssache. Ich glaube eh, dass deine 3 anderen Checks kaum Treffer haben. ;)
Stimmt, kein HELO/EHLO beziehungsweise none habe ich lange nicht gesehen, über localhost könnte man nochmals diskutieren ;)
dodolin wrote:Wenn man es selektiv macht, dann sind HELO checks ok (IMHO). Aber global geht das auf gar keinen Fall ohne zu viele Kollateralschäden.
ACK. BTW: In welcher Zonendatei hast Du den IN TXT für SPF gesetzt?
dodolin wrote:Diese Checks dürften wesentlich effektiver sein, als deine 3. :) Und nebenbei auch kaum Fehltreffer produzieren.
ACK, nur sollte man diese regelmässig prüfen/aktualisieren.
Re: reject bei falschem helo
Posted: 2004-04-15 00:22
by dodolin
BTW: In welcher Zonendatei hast Du den IN TXT für SPF gesetzt?
Na in der Zone für dodolin.de, wo sonst? Halt immer die Domain, die man damit schützen will bzw. die man in den Mails als Absender nach dem @ benutzt.
Re: reject bei falschem helo
Posted: 2004-04-15 11:33
by Joe User
dodolin wrote:Na in der Zone für dodolin.de, wo sonst?
:oops: Gute Frage, ich sollte die Tabletten absetzen :roll: