[postfix-users] Mails von nicht verifizierbaren Absendern
Hallo,
mich wuerde eure Meinung zu folgendem Problem interessieren:
Ich mache in Ausnahmefaellen Senderverifying (abgebrochener smtp Dialog) Diese Ausnahmen sind: Absender+Server steht noch nicht in der Greylisting Datenbank oder die Mail kommt ueber eine Weiterleitung von einem Server/Freemailer, der keinerlei Spamabwehrmassnahmen kennt, zu uns && der Absender wird noch nicht aus anderen Gruenden abgelehnt. Amavis vor Queue geht nicht, weil Content Filterung (= Zensur!) genehmigt werden muesste.
Problematisch waren folgende Faelle: der MX Record oder A Record der Absenderdomain zeigt auf Server, die keinerlei Mail annehmen -> gibt 4xx unverified address. Der Provider ohne Spamabwehr hat Sendmail und beschwert sich, dass ihm die Queue voll laeuft, wegen 4xx. Die Mails von diesem Provider werden inzwischen alle angenommen und ohne Spamassassin an die Benutzer weitergeleitet.
Der MX Record oder A Record der Absenderdomain zeigt auf einen Webserver, der keinerlei Mail annimmt. Die Mail ist aber ernst gemeint. Der/die Admins sind bekannt. Die (IP)Adresse stand mal in einer Whitelist und ist aus irgendwelchen Gruenden wieder rausgeflogen, passiert halt bei Handarbeit, oder die Hardware und die IP des Webservers haben gewechselt, jedenfalls wird aus irgendeinem Grund mal wieder gefragt: Hallo Apache, gibt's dich ? Das fiel uns bei der pflogsumm Auswertung auf, nicht dem Webadmin. Der hat sich nie beschwert, dass er seine Mails nicht loswurde.
Ich habe den Admin gebeten, fuer den Indianer eine Adresse fuer Bounces einzurichten, nach dem Muster: MX Record fuer Webserver zeigt auf Mailserver. Mailserver leitet Mail an Apache an die Webadmins weiter. So halten wir das, wobei wir nach Moeglichkeit vermeiden, dass Apache ueberhaupt Mails an externe Domains verschickt. Mailman kann auch Newsletter. Die Antwort war sinngemaess, wir sollten gefaelligst auf Senderverifying verzichten. Jetzt frage ich mich, wozu verschickt einer (ernstgemeinte) Mails, wenn es ihn nicht interessiert, ob sie ankommen? Oder anders gefragt: kann man, soll man, darf man erwarten, dass wwwrun, www-data etc. existiert ?
Viele Gruesse, Helga Mayer
* Helga Mayer Helga.Mayer@uni-hohenheim.de:
Hallo,
mich wuerde eure Meinung zu folgendem Problem interessieren:
Ich mache in Ausnahmefaellen Senderverifying (abgebrochener smtp Dialog) Diese Ausnahmen sind: Absender+Server steht noch nicht in der Greylisting Datenbank oder die Mail kommt ueber eine Weiterleitung von einem Server/Freemailer, der keinerlei Spamabwehrmassnahmen kennt, zu uns && der Absender wird noch nicht aus anderen Gruenden abgelehnt. Amavis vor Queue geht nicht, weil Content Filterung (= Zensur!) genehmigt werden muesste.
Problematisch waren folgende Faelle: der MX Record oder A Record der Absenderdomain zeigt auf Server, die keinerlei Mail annehmen -> gibt 4xx unverified address. Der Provider ohne Spamabwehr hat Sendmail und beschwert sich, dass ihm die Queue voll laeuft, wegen 4xx.
Tja, Depp halt. Soll er besser aufpassen was er annimmt :)
Die Mails von diesem Provider werden inzwischen alle angenommen und ohne Spamassassin an die Benutzer weitergeleitet.
Der User ist sicher glücklich.
Der MX Record oder A Record der Absenderdomain zeigt auf einen Webserver, der keinerlei Mail annimmt. Die Mail ist aber ernst gemeint.
Ja, es gibt solche PHP-Skripthelden, die Mail als apache@ccs03ext.sssup.it abschicken und die "-f" Option von sendmail nicht kennen.
Ich habe den Admin gebeten, fuer den Indianer eine Adresse fuer Bounces einzurichten, nach dem Muster:
Wozu? Einfach mit -f absender korrekt setzen (in allen Skripten, ok, viel Aufwand)
MX Record fuer Webserver zeigt auf Mailserver. Mailserver leitet Mail an Apache an die Webadmins weiter. So halten wir das, wobei wir nach Moeglichkeit vermeiden, dass Apache ueberhaupt Mails an externe Domains verschickt. Mailman kann auch Newsletter. Die Antwort war sinngemaess, wir sollten gefaelligst auf Senderverifying verzichten. Jetzt frage ich mich, wozu verschickt einer (ernstgemeinte) Mails, wenn es ihn nicht interessiert, ob sie ankommen?
Deppen halt.
* Ralf Hildebrandt Ralf.Hildebrandt@charite.de:
Deppen halt.
Also um mal meinen Geisteszustand näher zu erläutern:
* Ich sitze hier und habe GENAU Dein Problem, nämlich dass ich selektive Adressüberprüfung mache und die aus Italien da reingefallen sind
* und ich andererseits achte darauf, dass meine User NUR mit validen Absendern rausschicken können. Wie schwer kann es sein?
Wenn ich es kann, dann die doch auch?!
* Ralf Hildebrandt Ralf.Hildebrandt@charite.de:
- Ralf Hildebrandt Ralf.Hildebrandt@charite.de:
Deppen halt.
Also um mal meinen Geisteszustand näher zu erläutern:
Ich sitze hier und habe GENAU Dein Problem, nämlich dass ich selektive Adressüberprüfung mache und die aus Italien da reingefallen sind
und ich andererseits achte darauf, dass meine User NUR mit validen Absendern rausschicken können. Wie schwer kann es sein?
Wenn ich es kann, dann die doch auch?!
Der Kantsche Imperativ für Mailserver! Sende nur raus was Du selber wieder annehmen würdest.
DAS nenne ich Leitkultur.
Ralf Hildebrandt schrieb:
- Ralf Hildebrandt Ralf.Hildebrandt@charite.de:
- Ralf Hildebrandt Ralf.Hildebrandt@charite.de:
Deppen halt.
Also um mal meinen Geisteszustand näher zu erläutern:
Ich sitze hier und habe GENAU Dein Problem, nämlich dass ich selektive Adressüberprüfung mache und die aus Italien da reingefallen sind
und ich andererseits achte darauf, dass meine User NUR mit validen Absendern rausschicken können. Wie schwer kann es sein?
Wenn ich es kann, dann die doch auch?!
Der Kantsche Imperativ für Mailserver! Sende nur raus was Du selber wieder annehmen würdest.
DAS nenne ich Leitkultur.
Hallo Ralf, mal abgesehen davon dass ich dir voellig recht gebe, aber sender verify macht in der Praxis doch ziemlich viel Aerger, selektiv kann man das im Einzelfall schon verwenden aber ich seh das wirklich nur als letzte moegliche Massnahme , besser ist das Zeug mit anderen rules schon vorher abzuschmettern, ich benutze es nicht mehr und ich sehe keinen Nachteil, aber das ist natuerlich sehr speziell auf das jeweilige Setup zu sehen
* Robert Schetterer robert@schetterer.org:
Hallo Ralf, mal abgesehen davon dass ich dir voellig recht gebe, aber sender verify macht in der Praxis doch ziemlich viel Aerger, selektiv kann man das im Einzelfall schon verwenden aber ich seh das wirklich nur als letzte moegliche Massnahme , besser ist das Zeug mit anderen rules schon vorher abzuschmettern, ich benutze es nicht mehr und ich sehe keinen Nachteil, aber das ist natuerlich sehr speziell auf das jeweilige Setup zu sehen
Ich setze es meist nur bei unangenehm aufgefallenen Domains ein :)
Helga Mayer schrieb:
Amavis vor Queue geht nicht, weil Content Filterung (= Zensur!) genehmigt werden muesste.
Was spricht dagegen, den Benutzer in einem Webfrontend das Maß der Filterung selbst festzulegen? Ließe sich per Amavis mit Benutzer-Datenbank realisieren. (Läuft hier testweise mit MySQL und aufgebohrter Amavis-DB-Struktur)
Thomas
On Wed, 14 May 2008, Thomas Schwenski wrote:
Helga Mayer schrieb:
Amavis vor Queue geht nicht, weil Content Filterung (= Zensur!) genehmigt werden muesste.
Was spricht dagegen, den Benutzer in einem Webfrontend das Maß der Filterung selbst festzulegen?
Gibt's was fertiges (ausser maia) was sich an eine beliebige Benutzerverwaltung anpassen laesst ? Authentifizierung ueber PAM? Wir koennten's laengerfristig auch bei Horde/Imp unterbringen.
Ließe sich per Amavis mit Benutzer-Datenbank realisieren. (Läuft hier testweise mit MySQL und aufgebohrter Amavis-DB-Struktur)
Thomas _______________________________________________ postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
*************************************************************************** * Universitaet Hohenheim * Helga Mayer * * Rechenzentrum * Tel. : 0711 -459-23223 * * * Fax : 0711 -459-23827 * * * E-Mail-Adresse : * * 70593 Stuttgart * Helga.Mayer@uni-hohenheim.de * * * *************************************************************************** $ apt-get install nmap Leben Sie in Deutschland (y/N)? Y Sie sind im Begriff, eine Straftat zu begehen. Wollen Sie fortsetzen (y/N)? http://www.heise.de/newsticker/meldung/92334
Helga Mayer schrieb:
On Wed, 14 May 2008, Thomas Schwenski wrote:
Helga Mayer schrieb:
Amavis vor Queue geht nicht, weil Content Filterung (= Zensur!) genehmigt werden muesste.
Was spricht dagegen, den Benutzer in einem Webfrontend das Maß der Filterung selbst festzulegen?
Gibt's was fertiges (ausser maia) was sich an eine beliebige Benutzerverwaltung anpassen laesst ? Authentifizierung ueber PAM? Wir koennten's laengerfristig auch bei Horde/Imp unterbringen.
Ich lass es hier wie geschrieben testweise über die MySQL-Datenbank von Amavis laufen, die ich zusätzlich noch so erweitert habe, dass alle für Postfix relevanten Daten untergebracht sind und auch restriction_classes für postgrey, DynIP-Liste usw. darin untergebracht sind. Das Webfronted baue ich gerade selbst.
Zu fertigen Lösungen können hier die Profis wohl besser was sagen.
Thomas
Thomas Schwenski schrieb:
Helga Mayer schrieb:
Amavis vor Queue geht nicht, weil Content Filterung (= Zensur!) genehmigt werden muesste.
Was spricht dagegen, den Benutzer in einem Webfrontend das Maß der Filterung selbst festzulegen? Ließe sich per Amavis mit Benutzer-Datenbank realisieren. (Läuft hier testweise mit MySQL und aufgebohrter Amavis-DB-Struktur)
Thomas _______________________________________________ postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
Dem User/Domainadmin moeglichst viele Restriktionen selbst zu ueberlassen ist (fast) immer der Koenigsweg allerdings bleibt einem trotzdem nicht erspart dass der User auch dann noch wissen muss was er da tut, also so wirklich kommt man aus dem support Problem nicht raus, abgesehen davon dass die Erweiterungen von zb Squirrelmail bzw div http guis meist nicht alles abdecken was denkbar ist, ausserdem sollte der User/Admin wenn moeglich natuerlich alles unter eine Gui bedienen koennen, wenn man also nicht gerade selber php freak ist wird man da mit den vorhandenen gnu tools an Grenzen stossen ich selbst habe ein spamassasin plugin in squirrelmail mit dem die user zb selbst white und blacklisten koennen, und noch ein paar andere Sachen.
Wenn dovecot die naechste Version herausbringt, lohnt es sich fuer mich wieder einen neuen Server zu installieren in dem ich voraussichtlich mit horde versuchen werden noch mehr als bisher die Filterung an den user zu uebergeben, ausserdem wird die naechste Version von postfixadmin wohl noch ein paar optionen mehr haben und sieve wird einiges erleichtern letztendlich moechte ich dabei auch fuer lightning einen calender und Adressbuch umsetzten, mit kolab waere es wohl einfacher , aber mag maildirs einfach lieber
participants (4)
-
Helga Mayer -
Ralf Hildebrandt -
Robert Schetterer -
Thomas Schwenski