Hallo,
ich stelle mal eine Frage zur Diskussion: nützen die HELO Access restrictions heute überhaupt noch was?
Wenn ich so in meinen Logs stöbere, finde ich da kaum abgewiesene Mails. Und wenn, dann war es kein Spam. Der meiste Spam wird bei mir durch RBL geblockt.
Die Idee hinter den HELO restrictions war ja, dass Botnet Zombies normal keinen korrekt konfigurierten Hostnamen und DNS-Einträge haben. Aber die Spamsoftware wird auch immer schlauer, und es ist ja ein Leichtes mit 2 DNS-Abfragen einen zur IP passenden Hostnamen zu bekommen:
$ host 93.104.124.64 64.124.104.93.in-addr.arpa domain name pointer ppp-93-104-124-64.dynamic.mnet-online.de. $ host ppp-93-104-124-64.dynamic.mnet-online.de ppp-93-104-124-64.dynamic.mnet-online.de has address 93.104.124.64
Und wenn ich mir die Logs so ansehe bestätigt das meine These: da gibt es sehr viele HELO Namen die ziemlich kryptisch aussehen, so wie die von DSL-Anschlüssen. Also wären diese Prüfungen ja reine Zeitverschwendung, und sogar kontraproduktiv.
Jochen
Am 04.07.2017 um 18:09 schrieb Joachim Fahrner:
Hallo,
ich stelle mal eine Frage zur Diskussion: nützen die HELO Access restrictions heute überhaupt noch was?
Ja ,aber eher selten
Wenn ich so in meinen Logs stöbere, finde ich da kaum abgewiesene Mails. Und wenn, dann war es kein Spam. Der meiste Spam wird bei mir durch RBL geblockt.
Die Idee hinter den HELO restrictions war ja, dass Botnet Zombies normal keinen korrekt konfigurierten Hostnamen und DNS-Einträge haben.
was definierst du als korrekt ?
Aber die
Spamsoftware wird auch immer schlauer, und es ist ja ein Leichtes mit 2 DNS-Abfragen einen zur IP passenden Hostnamen zu bekommen:
$ host 93.104.124.64 64.124.104.93.in-addr.arpa domain name pointer ppp-93-104-124-64.dynamic.mnet-online.de. $ host ppp-93-104-124-64.dynamic.mnet-online.de ppp-93-104-124-64.dynamic.mnet-online.de has address 93.104.124.64
Und wenn ich mir die Logs so ansehe bestätigt das meine These: da gibt es sehr viele HELO Namen die ziemlich kryptisch aussehen, so wie die von DSL-Anschlüssen. Also wären diese Prüfungen ja reine Zeitverschwendung, und sogar kontraproduktiv.
Jochen
ich fordere dass es "formal" richtig ist und ich lass mir nicht meinen eigenen hostnamen und/oder ipadresse im helo praesentieren via access list, das wars aber auch schon, was anderes hatte ich nie
Best Regards MfG Robert Schetterer
Am 04.07.2017 um 22:01 schrieb Robert Schetterer:
Am 04.07.2017 um 18:09 schrieb Joachim Fahrner:
Hallo,
ich stelle mal eine Frage zur Diskussion: nützen die HELO Access restrictions heute überhaupt noch was?
Ja ,aber eher selten
Wenn ich so in meinen Logs stöbere, finde ich da kaum abgewiesene Mails. Und wenn, dann war es kein Spam. Der meiste Spam wird bei mir durch RBL geblockt.
Die Idee hinter den HELO restrictions war ja, dass Botnet Zombies normal keinen korrekt konfigurierten Hostnamen und DNS-Einträge haben.
was definierst du als korrekt ?
Aber die
Spamsoftware wird auch immer schlauer, und es ist ja ein Leichtes mit 2 DNS-Abfragen einen zur IP passenden Hostnamen zu bekommen:
$ host 93.104.124.64 64.124.104.93.in-addr.arpa domain name pointer ppp-93-104-124-64.dynamic.mnet-online.de. $ host ppp-93-104-124-64.dynamic.mnet-online.de ppp-93-104-124-64.dynamic.mnet-online.de has address 93.104.124.64
Und wenn ich mir die Logs so ansehe bestätigt das meine These: da gibt es sehr viele HELO Namen die ziemlich kryptisch aussehen, so wie die von DSL-Anschlüssen. Also wären diese Prüfungen ja reine Zeitverschwendung, und sogar kontraproduktiv.
Jochen
ich fordere dass es "formal" richtig ist und ich lass mir nicht meinen eigenen hostnamen und/oder ipadresse im helo praesentieren via access list, das wars aber auch schon, was anderes hatte ich nie
localhost , localhost.localdomains kann man auch noch reinschreiben
nicht vergessen mynetworks etc ausnehmen
Best Regards MfG Robert Schetterer
Best Regards MfG Robert Schetterer
Am 04.07.2017 um 22:10 schrieb Joachim Fahrner:
Am 2017-07-04 22:01, schrieb Robert Schetterer:
Die Idee hinter den HELO restrictions war ja, dass Botnet Zombies normal keinen korrekt konfigurierten Hostnamen und DNS-Einträge haben.
was definierst du als korrekt ?
Na dass der Rechner ein passendes Forward- und Reverse-DNS hat.
gibt die postfix faq so als zwingend nicht her ,nach meiner Lesart
reject_invalid_helo_hostname (with Postfix < 2.3: reject_invalid_hostname) Reject the request when the HELO or EHLO hostname is malformed. Note: specify "smtpd_helo_required = yes" to fully enforce this restriction (without "smtpd_helo_required = yes", a client can simply skip reject_invalid_helo_hostname by not sending HELO or EHLO). The invalid_hostname_reject_code specifies the response code for rejected requests (default: 501).
und
reject_non_fqdn_helo_hostname (with Postfix < 2.3: reject_non_fqdn_hostname) Reject the request when the HELO or EHLO hostname is not in fully-qualified domain or address literal form, as required by the RFC <<<<<<<
im Gegensatz zu
reject_unknown_helo_hostname (with Postfix < 2.3: reject_unknown_hostname) Reject the request when the HELO or EHLO hostname has no DNS A or MX record. The reply is specified with the unknown_hostname_reject_code parameter (default: 450) or unknown_helo_hostname_tempfail_action (default: defer_if_permit). See the respective parameter descriptions for details. Note: specify "smtpd_helo_required = yes" to fully enforce this restriction (without "smtpd_helo_required = yes", a client can simply skip reject_unknown_helo_hostname by not sending HELO or EHLO).
Best Regards MfG Robert Schetterer
Im Auftrag von Joachim Fahrner
Hallo,
ich stelle mal eine Frage zur Diskussion: nützen die HELO Access restrictions heute überhaupt noch was?
Wenn ich so in meinen Logs stöbere, finde ich da kaum abgewiesene Mails. Und wenn, dann war es kein Spam. Der meiste Spam wird bei mir durch RBL geblockt.
Die Idee hinter den HELO restrictions war ja, dass Botnet Zombies normal keinen korrekt konfigurierten Hostnamen und DNS-Einträge haben. Aber die Spamsoftware wird auch immer schlauer, und es ist ja ein Leichtes mit 2 DNS-Abfragen einen zur IP passenden Hostnamen zu bekommen:
$ host 93.104.124.64 64.124.104.93.in-addr.arpa domain name pointer ppp-93-104-124-64.dynamic.mnet-online.de. $ host ppp-93-104-124-64.dynamic.mnet-online.de ppp-93-104-124-64.dynamic.mnet-online.de has address 93.104.124.64
Und wenn ich mir die Logs so ansehe bestätigt das meine These: da gibt es sehr viele HELO Namen die ziemlich kryptisch aussehen, so wie die von DSL-Anschlüssen. Also wären diese Prüfungen ja reine Zeitverschwendung, und sogar kontraproduktiv.
Diese PTR sind Goldwert :-) Anhand dieser erkenn ich ob es DIAL-in ist Aus Dialin kann keine legitime Mail kommen Wer dort einen Mailserver betreibt muss einen eindeutigen keinen generischen PTR haben
check_client_access pcre:/etc/postfix/maps/dynip
filtert alles aus was da so aus Dialin kommt wobei in der Zwischenzeit viele Große Provider den Port 25 in diesen Netzen zugemacht haben :-)
Jochen
Mit freundlichen Grüßen
Uwe Drießen -- Software & Computer
Netzwerke, Server. Wir vernetzen Sie und Ihre Rechner !
Uwe Drießen Lembergstraße 33 67824 Feilbingert
Tel.: 06708660045
participants (3)
-
Joachim Fahrner -
Robert Schetterer -
Uwe Drießen