[postfix-users] Alternative zu postgrey

Patrick Ben Koetter p at state-of-mind.de
Mo Jun 14 23:55:46 CEST 2010 

* Christopher Stolzenberg <postfix-users at de.postfix.org>:
> > Ich persönlich mag Greylisting auch nicht, aber "unprofessionell und auf Dauer
> > nicht akzeptabel" würde ich es nicht nennen. Im Gegenteil, die Meisten
> > scheinen bereit die (möglichen) Verzögerungen von Greylisting billigend in
> > Kauf zu nehmen, wenn es ihnen Spam vom Leibe hält.
> >
> > Die Frage ist IMO, ob das Unternehmen Greylisting akkzeptabel für sein
> > Mail-Policy hält.
> 
> Für die ist es leider nicht akzeptabel :( Obwohl die Verzögerung sonst
> immer nur 5-15 Minuten waren. Wenn ich denen garantieren könnte das es
> nie länger wie 15 Minuten dauert darf es weiterlaufen... da sieht man
> mal wieder das die keine Ahnung von IT haben :D
> 
> Da ich die anderen Mailserver nicht beeinflussen kann ist das ja de
> facto unmöglich.

Stimmt, es ist nicht möglich. Wir haben alle keine Einfluss auf das
Sendeverhalten der Clients. Das ist systembedingt. Deshalb kann man
Greylisting nur dann einsetzen, wenn man bereit ist, diese Ohnmacht zu
ertragen. Wer sich das nicht leisten kann/will sollte es nicht einsetzen.


> > Im Prinzip wirst Du mit Greylisting viele Spam-Clients aus Botnetzen los und
> > diese Netze sind es, die Du blocken willst, denn Botnetze sind das
> > Spam-Problem (open relays etc. gibt es auch aber die sind verschwindend
> > verglichen mit den Botnetzen).
> 
> Von denen kommt in dem Fall auch der meiste Spam. Der andere Spam wird
> durch die 2 Blacklists abgefangen.
> 
> > Was Du also willst, sind Methoden um Botnetz-Clients loszuwerden. Mit
> > IP-basierten Blacklisten wird das schwierig, weil die meist auf einzelne Hosts
> > gehen - bei Botnetzen mit mehreren Mio. Clients sind einzelne, gelistete IPs
> > nicht effektiv.
> 
> Jop

Warte mal bis IPv6 kommt. Da kommt man mit blacklisting auch nicht mehr so
weit... ;)

> > Erfolgreicher wirst Du mit einer Policy sein, die nur Nachrichten von
> > statischen IPs aus Business-IP-Ranges annimmt, also alles aus
> > - Dial-In Netze blockt
> > - Dynamischen DSL-Netzen blockt
> > - Annahme ablehnt wenn kein rDNS vorhanden ist
> > - ...
> 
> Wie macht man denn so eine Policy? Woher soll Postfix wissen was eine
> dynamische IP ist? Oder gibt es irgendwo Listen von dynamischen IP
> Ranges die man in Postfix als Map einbaut und komplett blockt?

Im Prinzip entsteht eine Policy durch Verständigung aller beteiligter Gruppen
über die Möglichkeiten und Konsequenzen verschiedener Methoden, die
gesetzlichen Anforderungen und den "Hausstil" des Unternehmens.

Du kannst da als Berater funktionieren, der die Pros & Cons verschiedener
Methoden nennt, Du kannst die gesetzlichen Anforderungen zitieren (darfst aber
nicht beraten wenn Du nicht Anwalt bist) und Du kannst die gewünschten
Methoden anschliessend entsprechend der Policy implementieren.


> > Das ist eine harte Policy und Du kannst Dich darauf gefaßt machen, dass es
> > da auch einige "Gute" treffen wird.
> 
> Das ist dann nicht mein Problem wenn die kein greylisting wollen :)

Naja, auf mir wirkt es so, als wollten sie sofortigen Kontakt für Neugeschäft
und das immer ohne false positives und gleichzeitig keinen Spam. Das ist fast
möglich, aber nicht für lau und nicht im vorbeigehen.

> Wobei ein "guter" Absender ja eine Mail bekommt das er geblockt wurde
> und sich dann trotzdem telefonisch in Verbindung setzen kann.
> 
> > UND... Du kannst Postfix 2.8 development installieren und mit dem neuen
> > postscreen daemon sog. "Earlytalkers" ablehnen. Das "zu frühe Loslabern"
> > scheint auch ein Wesenszug von Bots zu sein.
> 
> Das guck ich mir mal an.
> 
> > Beides sind sehr effektive Listen.
> 
> Die blocken auch wirklich sehr viel wenn ich im Log nachschau.
> 
> > Was hast Du denn sonst so am Start?
> 
> Amavis und policyd.

Und welche policy? Wie sind die restrictions? Was machst Du in welcher
Reihenfolge?

p at rick


-- 
state of mind
Digitale Kommunikation

http://www.state-of-mind.de

Franziskanerstraße 15      Telefon +49 89 3090 4664
81669 München              Telefax +49 89 3090 4666

Amtsgericht München        Partnerschaftsregister PR 563

Mehr Informationen über die Mailingliste postfix-users