Backscatter vorbeigen bei großen Mailserver

dante
Posts: 128
Joined: 2010-04-20 12:50

Backscatter vorbeigen bei großen Mailserver

Post by dante »

Hi zusammen,

meine Frage bezieht sich auf den "Schutz" gegen Backscatter. Im Prinzip kann ich meinen Mailserver ja so konfigurieren, dass er direkt während der SMTP-Kommunikation dem Gegenüber sagt "Nein, User gibts nicht -> Reject", so ließe sich Backscatter vermeiden.

Wie man das Ganze praktisch umsetzt ist mir (noch) fremd, hier im Board habe ich etwas zum Thema Amavis als SMTP-Proxy gelesen...

Wie gestaltet sich das aber bei großen Mailservern (mehrere 10.000 Mails am Tag)? Kann das zu Performance-Einbußen prüfen? In meinem Verständnis ist es ja erstmal "schneller", alle Mails anzunehmen und dann zu prüfen, als direkt während der SMTP-Kommunikation zu prüfen.

Ein paar Erfahrungsberichte fänd ich ganz interessant ;)

Gruß
dante
Top

User avatar
rudelgurke
Systemtester
Systemtester
Posts: 395
Joined: 2008-03-12 05:36

Re: Backscatter vorbeigen bei großen Mailserver

Post by rudelgurke »

Mag man mich besser belehren, aber da wird nicht viel helfen. Zum "User nicht existent - nicht annehmen" - sollte dass der Mailserver nicht ohnehin machen ?
Zumindest bisher war es hier meist so dass jemand versucht hat Accounts per Bruteforce zu knacken, dann irgendwann entnervt aufgegeben hat und die Mail Adresse, die ja bekannt ist, genommen hat um seinen Werbemüll loszuwerden.
Problem sind dann eher Mailserver die den Return-Path auslesen und mir dann lustige Meldungen schicken wie toll doch ihr Virenscanner / Spamfilter oder was auch immer arbeitet.
Hier könnte man vielleicht filtern, Content bezogen, würde allerdings die Last in die Höhe treiben je nach Anzahl der Mails.
Und meist hat es sich um größere Anbieter gehandelt, die komplett zu sperren bis das Ganze vorrüber ist war daher auch keine Option.
Top

dante
Posts: 128
Joined: 2010-04-20 12:50

Re: Backscatter vorbeigen bei großen Mailserver

Post by dante »

Eben das will ich gerade vermeiden :-)


Jene Bounces von Leuten die Spam bekommen haben, wo meine E-Mail Adressen als Return-Paths eingetragen sind.
Das kann man ja imho direkt bei der SMTP-Kommunikation schon ablehnen, anstatt diese typische NDRs zu verschicken.

Aber da klingelt bei mir wieder die Performance-Lampe.
Bis zum Content-Filtering muss es ja gar nicht mal kommen.
Top

User avatar
Joe User
Project Manager
Project Manager
Posts: 11518
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Backscatter vorbeigen bei großen Mailserver

Post by Joe User »

Backscatter auf existierende Mailadressen sind ohne (erhebliche) Performance-Einbussen kaum möglich, vom Konfigurationsaufwand mal ganz abgesehen (Wie willst Du Backscatter von legitimen Mails unterscheiden? Return-Path reicht nicht).
Backscatter auf nicht-existierende Mailadressen sollte der Mailserver ohnehin selbstständig ablehnen, ausser es gibt Catchall-Adressen.
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Top

dante
Posts: 128
Joined: 2010-04-20 12:50

Re: Backscatter vorbeigen bei großen Mailserver

Post by dante »

Ich glaube, ich habe mich irgendwie verwirrend ausgedrückt. Hier nochmal mein Ansatz in Detailform ;)

Es geht mir nicht explizit um ein "wegfiltern" von Backscatter, sondern eher um Maßnahmen, sowas komplett zu vermeiden.

Folgenden Fall denke ich mir dabei:
Ein Spammer schickt Mail mit Absender dante@dante.de an irgendeine Domain oder E-Mail Adresse, die er mal gekauft/geerntet/[...] hat. Den Empfänger Mailserver gibt es, die Postbox aber nicht (mehr). Der Empfänger MTA sendet doch mir - also dante@dante.de - einen NDR/Bounce.
Oder anders rum, ich bekomme Spam-Mails die an nicht mehr existierende Postboxen gesendet werden.

Die meisten Mailserver (einschließlich meinem) nehmen ja solch eine Mail erstmal an und prüfen dann auf Existenz der Mailbox und senden folglich einen Bounce an den Return-Path (und geht jenem auf die Nerven).

Eleganter wäre es in meinen Augen, gleich während der SMTP-Kommunikation auf Existenz der Mailbox zu prüfen und dem sendenden (Spam-)Mailserver direkt zu sagen "Reject - User unknown", damit würde ich mir den Bounce an den Return-Path doch sparen.
Top

Roger Wilco
Administrator
Administrator
Posts: 6001
Joined: 2004-05-23 12:53

Re: Backscatter vorbeigen bei großen Mailserver

Post by Roger Wilco »

dante wrote:Die meisten Mailserver (einschließlich meinem) nehmen ja solch eine Mail erstmal an und prüfen dann auf Existenz der Mailbox und senden folglich einen Bounce an den Return-Path (und geht jenem auf die Nerven).

Das ist ein kaputter Mailserver. Es sollten nie Mails für Postfächer angenommen werden, die nicht existieren.
Top

dante
Posts: 128
Joined: 2010-04-20 12:50

Re: Backscatter vorbeigen bei großen Mailserver

Post by dante »

Dann lag bei mir wohl ein Denkfehler vor ;)

Also kann ich Backscatter nicht vermeiden - im Sinne von, dass meine Mailserver sowas nicht rausjagen?
Top

Roger Wilco
Administrator
Administrator
Posts: 6001
Joined: 2004-05-23 12:53

Re: Backscatter vorbeigen bei großen Mailserver

Post by Roger Wilco »

Doch, natürlich! Einfach die betreffenden Checks schon während des SMTP-Dialogs ausführen und falls die Mail nicht angenommen werden soll, sofort abweisen. Dadurch generiert dein Mailserver keinen Backscatter und belästigt keine unbeteiligten Dritten.
Top

dante
Posts: 128
Joined: 2010-04-20 12:50

Re: Backscatter vorbeigen bei großen Mailserver

Post by dante »

Ah, genau das meinte ich ursprünglich.

Um den Kreis dann zu schließen, wie sieht es genau bei solchen Checks mit der Performance aus?
Top

Roger Wilco
Administrator
Administrator
Posts: 6001
Joined: 2004-05-23 12:53

Re: Backscatter vorbeigen bei großen Mailserver

Post by Roger Wilco »

Das kommt ganz auf die Prüfungen an, welche dein MTA durchführt, und wieviele Mails verarbeitet werden müssen.

Bei kleineren Aufkommen ist eine Prüfung zur SMTP-Zeit mit sinnvoll dimensionierter Hardware kein Problem. Du solltest ohnehin gestaffelt vorgehen und "teure" Prüfungen (im Sinne von Rechenzeit) zuletzt durchführen.

Also zuerst reine Protokollprüfungen (stimmt der RDNS, existiert ein SPF-Record, existiert ein Eintrag auf ein RBL für den Client, ist es ein "Early-Talker") z. B. mittels postscreen, policyd-weight, postfwd. Danach kannst du prüfen, ob das Empfängerpostfach überhaupt existiert, gefolgt von einer Spam- und/oder Virenprüfung (je nach Einstellungen des Benutzers).

Allein durch die erste Stufe wirst du ~95% aller Verbindungen/Mails abweisen können, so dass nur noch die letzten 5% geprüft werden müssen.

Mit den gängigen MTAs wie Postfix oder Exim lässt sich das problemlos umsetzen.
Top