helo_restrictions ja oder nein?

Postfix, QMail, Sendmail, Dovecot, Cyrus, Courier, Anti-Spam
Anonymous

helo_restrictions ja oder nein?

Post by Anonymous » 2004-12-18 23:18

Hi,

ich bin momentan hin und hergerissen ob ich auf den zwei von mir betriebenen Rootservern (SUSE8.1, Postfix) hart gegenüber Mailservern sein soll, die sich beim HELO nicht korrekt ausweisen oder nicht?

Das Thema wurde vor ein paar Monaten hier schon mal diskutiert, ich denke jedoch, daß es auf Grund des massiv gestiegenen Aufkommens an Mail, die offenbar von virenverseuchten Rechnern verschickt werden, schon beinahe ein MUSS ist, diese restrictions anzuwenden.

Sollte man nicht verlangen können, dass sich ein Mailserver in Zeiten von SPAM und Viren korrekt melden kann?

Ich hatte diese restrictions mal testweise für 24 Stunden gesetzt, es wurden ca. 3000 Mails nur auf Grund dieser HELO_restrictions abgewiesen. Ich habe das mal grob überflogen, ca. 5% waren wohl Mails, die erwünscht waren, aber wo eben der Mailserver seinen Namen nicht kannte.

Wie regelt Ihr das bei Euch, bei mir habe ich folgendes in der main.cf:
smtpd_recipient_restrictions = reject_unauth_pipelining,
permit_sasl_authenticated,
permit_mynetworks,
reject_non_fqdn_sender,
reject_non_fqdn_recipient,
reject_non_fqdn_hostname,
reject_invalid_hostname,
# reject_unknown_client,
# reject_unknown_hostname,
reject_unknown_sender_domain,
reject_unknown_recipient_domain,
check_helo_access pcre:/etc/postfix/helo_access,
reject_rbl_client relays.ordb.org,
reject_rbl_client sbl-xbl.spamhaus.org,
reject_rbl_client bl.spamcop.net,
reject_rbl_client blacklist.spambag.org,
reject_rbl_client dnsbl.njabl.org,
reject_rbl_client zombie.dnsbl.sorbs.net,
reject_rbl_client block.dnsbl.sorbs.net,
reject_rbl_client http.dnsbl.sorbs.net,
reject_rbl_client dul.dnsbl.sorbs.net,
reject_rbl_client web.dnsbl.sorbs.net,
reject_rhsbl_client rhsbl.sorbs.net,
reject_rhsbl_client badconf.rhsbl.sorbs.net,
reject_rhsbl_client nomail.rhsbl.sorbs.net,
reject_rhsbl_client blackhole.securitysage.com,
reject_rhsbl_sender blackhole.securitysage.com,
reject_unauth_destination,
permit_mx_backup,
permit
Auf die beiden auskommentierten Zeilen bezieht sich meine Frage ...

Gruß
André

Anonymous

Re: helo_restrictions ja oder nein?

Post by Anonymous » 2004-12-19 15:50

also, ich nochmal:

es geht also z.B. um folgende Versuche, Mail einzuliefern:
Dec 19 15:37:50 p15132xxx postfix/smtpd[23071]: warning: 80.96.73.165: hostname 80-96-73-165.rdsnet.ro verification failed: Host not found
Dec 19 15:37:50 p15132xxx postfix/smtpd[23071]: connect from unknown[80.96.73.165]
Dec 19 15:37:50 p15132xxx postfix/smtpd[23071]: 463914901AF: client=unknown[80.96.73.165]
Dec 19 15:37:50 p15132xxx postfix/smtpd[23071]: 463914901AF: reject: RCPT from unknown[80.96.73.165]: 450 Client host rejected: cannot find your hostname, [80.96.73.165]; from=<xxx@fs3200.all.ro> to=<webmaster@strecke-xxx.de> proto=ESMTP helo=<fs3200.all.ro>
Dec 19 15:37:51 p15132xxx postfix/smtpd[23070]: disconnect from unknown[80.96.73.165]
bzw.:
Dec 19 15:35:20 p15091xxx postfix/smtpd[23518]: 2C8CA49003D: reject: RCPT from pD9F5600E.dip.t-dialin.net[217.245.96.14]: 450 <qkjgpoakw.com>: Helo command rejected: Host not found; from=<Auto-Mail@xxxcorporation.com> to=<Sar@xxx.de> proto=SMTP helo=<qkjgpoakw.com>
Dec 19 15:35:21 p15091xxx postfix/smtpd[23518]: 2C8CA49003D: reject: RCPT from pD9F5600E.dip.t-dialin.net[217.245.96.14]: 450 <qkjgpoakw.com>: Helo command rejected: Host not found; from=<Auto-Mail@xxxcorporation.com> to=<wlzm@xxx.de> proto=SMTP helo=<qkjgpoakw.com>
Dec 19 15:35:22 p15091xxx postfix/smtpd[23518]: 2C8CA49003D: reject: RCPT from pD9F5600E.dip.t-dialin.net[217.245.96.14]: 450 <qkjgpoakw.com>: Helo command rejected: Host not found; from=<Auto-Mail@xxxcorporation.com> to=<yor@xxx.de> proto=SMTP helo=<qkjgpoakw.com>
Dec 19 15:35:23 p15091xxx postfix/smtpd[23518]: 2C8CA49003D: reject: RCPT from pD9F5600E.dip.t-dialin.net[217.245.96.14]: 450 <qkjgpoakw.com>: Helo command rejected: Host not found; from=<Auto-Mail@xxxcorporation.com> to=<webmaser@xxx.de> proto=SMTP helo=<qkjgpoakw.com>
Dec 19 15:35:24 p15091xxx postfix/smtpd[23518]: 2C8CA49003D: reject: RCPT from pD9F5600E.dip.t-dialin.net[217.245.96.14]: 450 <qkjgpoakw.com>: Helo command rejected: Host not found; from=<Auto-Mail@xxxcorporation.com> to=<andreas@xxx.de> proto=SMTP helo=<qkjgpoakw.com>
Letzterer Logauszug ist eindeutig Spam, ersterer ist eine (wahrscheinlich) gewünschte eMail, die aber geblockt wurde durch

Code: Select all

reject_unknown_hostname
hat keiner ne Meinung dazu?

Anonymous

Re: helo_restrictions ja oder nein?

Post by Anonymous » 2004-12-19 17:29

ok, ok,

habe die beiden restrictions wieder auskommentiert, selbst Mails von eBay kommen teilweise nicht mehr durch ...

Code: Select all

Dec 19 17:18:20 p15091xxx postfix/smtpd[25508]: 75202490170: reject: RCPT from mxpool11.ebay.com[66.135.197.17]: 450 <mx21.sjc.ebay.com>: Helo command rejected: Host not found; from=<emailconfirm@ebay.com> to=<familie@xxx.de> proto=ESMTP helo=<mx21.sjc.ebay.com>
...

Gruß
André

mathew
Posts: 50
Joined: 2004-01-11 15:19
Location: Krefeld

Re: helo_restrictions ja oder nein?

Post by mathew » 2004-12-19 22:40

ist auch richtig so. Es bringt nicht viel und über die Hälfte der Mailserver geben eh falsche Informationen. Häufigster Mailserver ist Exchange mit Domain.local ;-)

Gruß
Mathew

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: helo_restrictions ja oder nein?

Post by dodolin » 2004-12-21 00:48

Wie man sieht, ist die FP Rate mit reject_unknown_hostname den meisten Leuten etwas zu hoch. Sinnvoll könnte es daher z.B. sein, diesen Test mit einer DUL zu kombinieren, d.h. nur bei Hosts, die auf einer DUL gelistet sind, wird verifiziert, ob der HELO-Hostname auf die IP auflöst (z.B. via dyndns und Co.) und gegebenenfalls rejected. Vermutlich kann man das aber mit Postfix nicht so feingranular einstellen. In diesem Fall würde ich zu Exim raten. ;)

Statts DUL könnte man sich auch andere Tests überlegen, die mit reject_unknown_hostname zusammen kommen müssen, damit eine Mail abgewiesen wird, sodass reject_unknown_hostname als alleiniges Kriterium keine Mail komplett abweisen kann.

Ist im Prinzip ähnlich wie SA (mehrere Kriterien werden zur Entscheidungen herangezogen und gegebenenfalls sogar noch unterschiedlich gewichtet), nur mit dem Unterschied, dass es schon im MTA und zur SMTP-Zeit gemacht wird. Die Idee ist aber nicht neu... zumindest nicht unter Exim-Usern. :)

lambras
RSAC
Posts: 90
Joined: 2002-05-29 16:35
Location: Frankfurt am Main

Re: helo_restrictions ja oder nein?

Post by lambras » 2004-12-21 07:36

Die einzige HELO-Einschränkung, die ich verwende, die aber auch extrem nützlich ist, ist folgende:

smtpd_helo_restrictions =
permit_sasl_authenticated,
permit_mynetworks,
check_helo_access hash:/etc/postfix.in/heloblock,

/etc/postfix.in/heloblock:
dvdboard.de REJECT this is our domain
217.160.94.124 REJECT that is our IP
localhost REJECT you are not localhost
127.0.0.1 REJECT you are not localhost

Damit fische ich schon nen guten Haufen an spams raus, mit Garantie, dass es auch Spam ist.

Anonymous

Re: helo_restrictions ja oder nein?

Post by Anonymous » 2004-12-23 21:53

super, nun ist ja die Diskussion doch noch in Gang gekommen ...

@LamBras
habe deine Einstellungen mal übernommen, und tatsächlich, da gibt es doch einige Treffer, die sich offenbar mit meinen IPs melden. Werde ich also auf jedenfall so beibehalten.

Nun habe ich aber noch ein wenig in meinen Maillogs geschnüffelt und festgestellt, daß Unmengen an Mails über DialUps eingeliefert werden. Die melden sich im HELO mit irgend-einer-Buchstabenkette vor dem .de(z.B.: ecnfl.de) und senden dann im Sekundentakt Mails an Benutzer des Systems, wobei der Localpart dieser Empfänger offenbar zufällig generiert wird. Ab und an ist aber offenbar dann doch ein Treffer dabei und die Kunden beschweren sich, logisch.

Dem versuche ich nun beizukommen, indem ich noch folgende Zeile in meinen smtpd_recipient_restrictions eingefügt habe:
check_client_access pcre:/etc/postfix/client_access
Die client_access hat erst mal diesen Inhalt:
/.*t-dialin.net/ REJECT dyn mailservers are not allowed
Und wass soll ich sagen, keine Sekunde nach dem rcpostfix restart offenbarte das maillog dutzende geblockte eMails, die eindeutig Spam waren.

Nun meine Fragen:
- gibt es irgendwo ne Liste mit den Namen aller DialUp-Hosts? Hier ist nicht gemeint ne DUL z.B. sorbs.net o.ä.

- was haltet Ihr von der Auffassung, daß ein Mailserver auf einem DialUp prinzipiell verdächtig ist?

Ja sicher, es gibt da das Argument, wenn ich son Teil bei mir zu Hause stehen habe, und nen eigenen Mailserver betreibe, hätte ich keine Chance, die Mails auszuliefern, wenn alle Mailserver alle DialUps sperren. Aber da würde die Authentifizierung des Mailservers per smtp-auth helfen
smtp_sasl_auth_enable = yes
smtp_sasl_password_maps = hash: /etc/postfix/meine_pwd_map

schreibt mal Eure Meinung dazu

Gruß
André

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: helo_restrictions ja oder nein?

Post by dodolin » 2004-12-24 13:00

- gibt es irgendwo ne Liste mit den Namen aller DialUp-Hosts? Hier ist nicht gemeint ne DUL z.B. sorbs.net o.ä.
Warum willst du dann nicht gleich eine DUL nehmen, sondern dir die Arbeit nochmals machen? Ich sehe darin keinen Sinn.
- was haltet Ihr von der Auffassung, daß ein Mailserver auf einem DialUp prinzipiell verdächtig ist?
Nicht meine Ansicht:
http://homepages.tesco.net/~J.deBoynePo ... wrong.html

Ich habe selbst jahrelang per Dialup direkt zugestellt und eigentlich finde ich das auch korrekt. Da aber heute das Nutzen/Rausch-Verhältnis von Dialups extrem ungünstig ist, ist IMHO eine komplette Aussperrung von Dialups zumindest überlegenswert.

Ich selbst mache das allerdings bisher immer noch nicht.

Es gibt Methoden, die DUL trotzdem sehr gut ausbremsen, ohne legitime DUL-Sender komplett zu blocken. Beispiele:

Was von DUL IP kommt, bekommt ein kurzes Greylisting, z.B. 15 Minuten.

Nächste Methode: http://www.tldp.org/HOWTO/Spam-Filterin ... elays.html (das könnte man z.B. auch ganz gezielt nur bei DUL IP Hosts anwenden)

Anonymous

Re: helo_restrictions ja oder nein?

Post by Anonymous » 2004-12-26 18:12

dodolin wrote:Warum willst du dann nicht gleich eine DUL nehmen, sondern dir die Arbeit nochmals machen? Ich sehe darin keinen Sinn.
Ich schon, denn ich habe festgestellt, dass die DULs offenbar und logischer Weise nicht alle Dialups blocken, sondern nur die, die als Spamversender dort gemeldet und damit eingetragen sind. Alle anderen werden ja durchgelassen.
Wenn ich mir mal ansehe, dass allein gestern und heute bisher knapp 1400 Mails von Dialups auf einem meiner Server geblockt wurden (von insgesamt 2100 REJECTs in diesem Zeitraum), dann kann ich nur sagen, diese Maßnahme (Dialups generell blocken) ist nicht nur sinnvoll, sondern offenbar ein Muß. Das kann ich meinen Kunden nicht zumuten, denn in den offenbar durch Zufall generierten Empfängeradressen sind immer wieder auch Treffer, die dann natürlich auch augeliefert werden.

Zwei Drittel der REJECTs kamen also von Dialups, ich habe mir mal die Mühe gemacht, das im Log zu untersuchen, da war keine einzige Mail dabei, die nicht offensichtlich als Spam erkennbar war.

Damit steht für mich fest, dass die Dialups draußen bleiben, nur fehlt mir nun eben immer noch ne Hostnamen-Liste dieser Dialups.


Gruß
André

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: helo_restrictions ja oder nein?

Post by dodolin » 2004-12-26 18:24

Ich schon, denn ich habe festgestellt, dass die DULs offenbar und logischer Weise nicht alle Dialups blocken, sondern nur die, die als Spamversender dort gemeldet und damit eingetragen sind.
Nein. Unter DUL verstehe ich wohl etwas anderes als du. Ich glaube kaum, dass du es schaffen wirst, manuell eine Liste mit DUL-Hostnamen hinzubekommen, die mehr erfasst als gängige DUL-Listen wie dul.dnsbl.sorbs.net oder dynablock.njabl.org. Laut Policy erfassen die nämlich sehr wohl sämtliche dynamischen Adressbereiche (, die ihnen bekannt sind) und nicht nur Spam-Sources wie andere DNS Blocklisten.

Anonymous

Re: helo_restrictions ja oder nein?

Post by Anonymous » 2005-01-03 09:41

@all
ein gesundes und erfolgreiches 2005 !!!

@dodolin
Ich werde es bestimmt nicht schaffen, mehr zu erfassen, als die genannten DULs, aber ich könnte es schaffen, die Dialups, die von diesen Listen durchgelassen werden, doch noch zu blocken.
Ein aktuelles Beispiel:

Durch die bei mir abgecheckten DULs wurden z.B. etliche Hosts aus der Domain pppool.de (m.E. ein Freenet Dialup) geblockt:

Code: Select all

Jan  2 18:37:11 p1509xxxx postfix/smtpd[379]: connect from A4bf8.a.pppool.de[213.6.75.248]
Jan  2 18:37:12 p1509xxxx postfix/smtpd[379]: EF18A490170: client=A4bf8.a.pppool.de[213.6.75.248]
Jan  2 18:37:13 p1509xxxx postfix/smtpd[379]: EF18A490170: reject: RCPT from A4bf8.a.pppool.de[213.6.75.248]: 554 Service unavailable; Client host [213.6.75.248] blocked using dul.dnsbl.sorbs.net; Dynamic IP Address See: http://www.dnsbl.sorbs.net/lookup.shtml?213.6.75.248; from=<Benutzer_Daten@gmx.de> to=<kontakt@xxxxx.de> proto=SMTP helo=<hgxrcw.de>
Jan  2 18:37:15 p1509xxxx postfix/smtpd[379]: disconnect from A4bf8.a.pppool.de[213.6.75.248]
aber eben nicht alle:

Code: Select all

Jan  2 09:43:32 p1509xxxx postfix/smtpd[21314]: connect from B4f94.b.pppool.de[213.7.79.148]
Jan  2 09:43:32 p1509xxxx postfix/smtpd[21314]: E2768490170: client=B4f94.b.pppool.de[213.7.79.148]
Jan  2 09:43:33 p1509xxxx postfix/cleanup[21315]: E2768490170: message-id=<88320c.abca86c4d193@agemis.de>
Jan  2 09:43:44 p1509xxxx postfix/qmgr[27270]: E2768490170: from=<Hostmaster@agemis.de>, size=79501, nrcpt=1 (queue active)
Jan  2 09:43:44 p1509xxxx postfix/local[21318]: E2768490170: to=<webxxpx@xxxx.de>, orig_to=<xxx@xxxxxx.de>, relay=local, delay=12, status=sent (mailbox)
Jan  2 09:43:46 p1509xxxx postfix/smtpd[21314]: disconnect from B4f94.b.pppool.de[213.7.79.148]
wenn ich nun einfach in meiner client_access noch

Code: Select all

/.*t-dialin.net/ REJECT dyn mailservers are not allowed
/.*pppool.de/ REJECT dyn mailservers are not allowed
einfüge, erfasse ich alle Freenet-Dialups und erspare mir auch noch die DUL-Abrage, weil

Code: Select all

check_client_access pcre:/etc/postfix/client_access
vor der DUL-Abfrage in den smtpd_recipient_restrictions steht. Oder ist da n Denkfehler dabei ?

Gruß
André
Last edited by Anonymous on 2005-01-03 21:44, edited 1 time in total.

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: helo_restrictions ja oder nein?

Post by dodolin » 2005-01-03 12:49

aber eben nicht alle

Code: Select all

dominik@trinity:~$ host 148.79.7.213.dynablock.njabl.org
148.79.7.213.dynablock.njabl.org has address 127.0.0.3

Anonymous

Re: helo_restrictions ja oder nein?

Post by Anonymous » 2005-01-03 21:47

... ja, ok, ich war oberflächlich und habe den Quote und Code-Button vermengt, sorry, ich gelobe Besserung ...

Gruß
André