* Christian Bricart via postfix-users christian@bricart.de:
Am 2013-10-16 13:01, schrieb Patrick Ben Koetter via postfix-users:
- via postfix-users lst_hoe02@kwsoft.de:
Zitat von Christian Bricart via postfix-users postfix-users@de.postfix.org: [..]
bäääh! das ist wohl ein kaputter MX bei GMX hinter dem (viel zitierten sinnfreien!) Loadbalancer für mx0{0,1}.gmx.net!
Ausschliesslich der 220 gmx.net (mxgmx001) Nemesis ESMTP Service ready antwortet mit dem 550er! alle anderen, die ich durchprobiert habe würden den MAIL FROM durchlassen!
Christian
Von Zeit zu Zeit hatten wir das Problem auch schon das einzelne GMX MXs mit "cannot resolve your domain" und ähnlichem geantwortet haben. Ich nehme an deren DNS resolver cache ist manchmal indisponiert, blöde nur wenn dadurch e-mails abgewiesen werden.
Vielleicht hat der gerade Aua... ;) http://sys4.de/de/blog/2013/10/14/dns-fragment-angriffe-zeit-fur-dnssec/
können wir trotzdem mal bitte festhalten, dass "5xx" als Antwort, wenn man zur Entscheidungsfindung eine nicht-lokale Ressource zu Rate zieht, mal komplett falsch ist?!? ;)
Wer sein DNS im Griff hat, der _kann_ es sich erlauben in solchen Fällen 5xx zurückzugeben. Fragt sich ob das signifikante Verbesserung in der reject rate unerwünschter Kommunikationspartner bringt oder ob es auch viele Falsch Positive generiert.
So oder so ist das was rauskommt "Haus Policy": Man muss sich fragen wie man zu Kommunikation steht - ob man sie im Grunde will und deshalb seine Systeme tendenziell/möglichst permissiv (in dubio pro reo...) konfiguriert oder ob man sie tendenziell/möglichst restriktiv aufbaut.
Ich persönlich bin kein Freund von hostname-Policies, ausser sie beziehen sich auf unlogisches Verhalten, wie z.B. Client sagt im HELO er sei $myhostname oder er kontaktiert mich auf dem public Interface und sagt er sei [::1]. Das ergibt keinen Sinn.
Das Filtern auf Basis symmetrischer Forward/Reverse-Auflösung geht von der Idealsituation aus, dass alle Betreiber eines SMTP-Dienstes auch vollen Durchgriff auf Forward/Reverse-Auflösung ihres Servers haben. Meine persönliche Erfahrung sagt, dass diese Idealsituation im Alltag nicht gegeben ist und solche Filter zu viele Falsch Positive generieren.
Ich denke, das ist denen, die sie einsetzen auch bekannt. Warum sie es dennoch tun, kann ich mir nicht erklären ohne Rechthaberei, Ignoranz oder andere, niedere Beweggründe zu unterstellen.
p@rick