[postfix-users] postscreen eine Art von greylisting?
Hallo Liste,
nachdem ich mich ein wenig in postscreen eingelesen habe, stellt sich mich die Frage, ob es sinnvoll ist zusätzlich zu postscreen noch greylisting zu fahren.
Postscreen zumindest mit den deep_protocol_tests kann nach erfolgreichen Tests die Verbindung nicht an den smtpd weitergeben und weist den client mit nem 4xxer Code ab. Also für mein Verständnis auch eine Art von Greylist, dessen Entscheidung meiner Meinung nach auf besseren Prüfungen beruht als der des Triplets beim greylisting.
Macht es also Sinn wenn man postscreen mit deep_protocol_tests einsetzt auf z.B. postgrey zu verzichten, wie sieht ihr das?
* Tobias Koopmann tobias@koopmann-mail.de:
Macht es also Sinn wenn man postscreen mit deep_protocol_tests einsetzt auf z.B. postgrey zu verzichten, wie sieht ihr das?
Ich setze für meine Account p@state-of-mind.de nur postscreen ein und verzichte auf Greylisting. Gemessen habe ich noch nicht, aber gefühlt habe ich genauso viel/wenig Spam wie vorher. Mails kommen aber schneller an. Das ist schön, denn genau das Delay hat mich an Greylisting schon immer gestört. :)
p@rick
Am 30.06.2011 08:55, schrieb Patrick Ben Koetter:
- Tobias Koopmann tobias@koopmann-mail.de:
Macht es also Sinn wenn man postscreen mit deep_protocol_tests einsetzt auf z.B. postgrey zu verzichten, wie sieht ihr das?
Ich setze für meine Account p@state-of-mind.de nur postscreen ein und verzichte auf Greylisting. Gemessen habe ich noch nicht, aber gefühlt habe ich genauso viel/wenig Spam wie vorher. Mails kommen aber schneller an. Das ist schön, denn genau das Delay hat mich an Greylisting schon immer gestört. :)
p@rick
in der Tat, wehrt postscreen viel ab, ich habe greylisting schon immer nur selectiv eingesetzt und es auch nach dem Einsatz von postscreen so behalten, es kommt nun natuerlich weniger zum Einsatz ist aber nicht voellig ueberfluessig geworden, allegmein muss ich sagen dass greylisting auf meiner Haupt spamdomain schon lange nicht mehr wirklich half, postscreen dagegen und dazu ein fail2ban mit ipset wirkt wirklich krass gut gegen spambots, meine stille Hoffnung, dass diese irgendwann weniger werden, wurde allerdings nicht erfuellt, den spammern ist das schlichtweg egal welche Abwehrmassnahmen man einfuehrt
Zitat von Tobias Koopmann tobias@koopmann-mail.de:
Hallo Liste,
nachdem ich mich ein wenig in postscreen eingelesen habe, stellt sich mich die Frage, ob es sinnvoll ist zusätzlich zu postscreen noch greylisting zu fahren.
Postscreen zumindest mit den deep_protocol_tests kann nach erfolgreichen Tests die Verbindung nicht an den smtpd weitergeben und weist den client mit nem 4xxer Code ab. Also für mein Verständnis auch eine Art von Greylist, dessen Entscheidung meiner Meinung nach auf besseren Prüfungen beruht als der des Triplets beim greylisting.
Macht es also Sinn wenn man postscreen mit deep_protocol_tests einsetzt auf z.B. postgrey zu verzichten, wie sieht ihr das?
Ist ähnlich aber nicht gleich. Postscreen testet ob das SMTP Protokoll eingehalten wird und falls ja lässt den nächsten Versuch passieren *unabhängig* davon wann der nächste Versuch auftritt. Greylisting arbeitet üblicherweise nur zeitbasiert d.h. unabhängig davon ob das Protokoll eingehalten wird, wird die Verbindung erst nach einer gewissen Zeit weiter gereicht.
Postscreen ist wirkungslos gegen Bots die das Protokoll einhalten und Greylisting ist wirkungslos gegen Sender die über einen längeren Zeitraum Retrys machen.
Gruß
Andreas
Postscreen ist wirkungslos gegen Bots die das Protokoll einhalten und Greylisting ist wirkungslos gegen Sender die über einen längeren Zeitraum Retrys machen.
Ich setze postscreen mit deep_... ein. Ich habe Wietses Idee aufgegriffen und einen zweiten MX-RR auf den selben Mailsevrer gesetzt, was grundsätzlich nicht verboten ist. Daher wird ein Client, der durch postscreen ein 4xx erhält sofort auf den 2ten MX wechseln und landet also erneut auf dem Mailserver, der nun den Client passieren lässt.
Ergänzt läuft bei mir ein selektives Greylisting, bei dem alle Toplevel-Domains, die nicht .com, .info, .net, .org, .de sind mit einem Delay von tatsächlich einer Stunde. Warum? Weil mein Server i.d.R. nur deutschsprachig eingesetzt ist.
Vorteil: eine Stunde reicht dann doch aus, damit Clients evtl. bereits anderswo so negativ aufgefallen sind, dass sie auf Blacklisten gelandet sind. Diese kommen dann auch nach der Stunde nicht durch.
Auswertungen des Logs haben gezeigt, dass dies tatsächlich real funktioniert.
Die Idee war übrigens von Uwe ;-) Thx noch mal an dieser Stelle.
LG Christian
Hallo,
angeregt durch den Artikel im Linux-Magazin 08/11 spiele ich grade mit Postscreen auf einem Testserver (Debian Squeeze mit Postfix aus Squeeze Backports) rum.
On Thu, Jun 30, 2011 at 08:49:40AM +0200, Tobias Koopmann wrote:
nachdem ich mich ein wenig in postscreen eingelesen habe, stellt sich mich die Frage, ob es sinnvoll ist zusätzlich zu postscreen noch greylisting zu fahren.
Das habe ich mich auch erstmal gefragt.
Postscreen zumindest mit den deep_protocol_tests kann nach erfolgreichen Tests die Verbindung nicht an den smtpd weitergeben und weist den client mit nem 4xxer Code ab.
Soweit ich die Doku unter http://www.postfix.org/postconf.5.html#postscreen_bare_newline_enable verstehe gilt dies nicht für den Bare Newline Test. Dieser bricht die Verbindung danach _immer_ mit einem 450er ab, egal ob der Test bestanden wurde oder nicht. Wie er sich verhält falls der Test nicht bestanden wurde, hängt dann von postscreen_bare_newline_action ab.
Schön nachvollziehen kann man das mit folgenden (nicht für die Praxis gedachten :-) Settings:
postscreen_bare_newline_enable = yes postscreen_bare_newline_action = drop postscreen_bare_newline_ttl = 1s
Geht man mit Telnet auf Port 25, sendet es immer "richtige" Newlines. Also habe ich nc (netcat) genommen und das HELO mal nur mit Ctrl-M und mal nur mit Ctrl-J beendet. Und bin wie erwartet sofort mit "521 5.5.1 Protocol error" rausgeflogen.
Wenn ich dann aber mit swaks[1] teste (das definitiv korrekte Newlines schickt und ja auch nicht sofort rausfliegt), kommt immer der 450er. Sobald ich aber "postscreen_bare_newline_enable = no" setze, kommt swaks wieder durch und kann Mails versenden.
[1] http://www.jetmore.org/john/code/swaks/
Was ich aber nicht verstehe: Warum endet der Bare Newline Test immer mit einem 450er? Gibt es irgendeinen logischen Grund dafür? (Der sich mir dann aber momentan nicht erschließt. ;-) Oder ist das momentan einfach eine Einschränkung in der Implementation?
Also für mein Verständnis auch eine Art von Greylist, dessen Entscheidung meiner Meinung nach auf besseren Prüfungen beruht als der des Triplets beim greylisting.
Wie die meisten anderen Antworten schon zeigten, gibt es einige Unterschiede zum Greylisting, die es nicht zum vollständigen Ersatz im Sinne des Greylistings machen.
Mit freundlichem Gruss, Axel Beckert
participants (6)
-
Axel Beckert -
Christian Roessner -
lst_hoe02@kwsoft.de -
Patrick Ben Koetter -
Robert Schetterer -
Tobias Koopmann