[postfix-users] was will denn GMX da von mir..?

Patrick Ben Koetter via postfix-users postfix-users at de.postfix.org
Mi Okt 16 13:37:43 CEST 2013


* Christian Bricart via postfix-users <christian at bricart.de>:
> Am 2013-10-16 13:01, schrieb Patrick Ben Koetter via postfix-users:
> >* via postfix-users <lst_hoe02 at kwsoft.de>:
> >>
> >>Zitat von Christian Bricart via postfix-users
> >><postfix-users at de.postfix.org>:
> >>[..]
> >>>bäääh! das ist wohl ein kaputter MX bei GMX hinter dem (viel
> >>>zitierten sinnfreien!) Loadbalancer für mx0{0,1}.gmx.net!
> >>>
> >>>Ausschliesslich der
> >>>  220 gmx.net (mxgmx001) Nemesis ESMTP Service ready
> >>>antwortet mit dem 550er! alle anderen, die ich durchprobiert habe
> >>>würden den MAIL FROM durchlassen!
> >>>
> >>>Christian
> >>
> >>Von Zeit zu Zeit hatten wir das Problem auch schon das einzelne GMX
> >>MXs mit "cannot resolve your domain" und ähnlichem geantwortet
> >>haben. Ich nehme an deren DNS resolver cache ist manchmal
> >>indisponiert, blöde nur wenn dadurch e-mails abgewiesen werden.
> >
> >Vielleicht hat der gerade Aua... ;)
> ><http://sys4.de/de/blog/2013/10/14/dns-fragment-angriffe-zeit-fur-dnssec/>
> 
> können wir trotzdem mal bitte festhalten, dass "5xx" als Antwort,
> wenn man zur Entscheidungsfindung eine nicht-lokale Ressource zu
> Rate zieht, mal komplett falsch ist?!? ;)

Wer sein DNS im Griff hat, der _kann_ es sich erlauben in solchen Fällen 5xx
zurückzugeben. Fragt sich ob das signifikante Verbesserung in der reject rate
unerwünschter Kommunikationspartner bringt oder ob es auch viele Falsch
Positive generiert.

So oder so ist das was rauskommt "Haus Policy": Man muss sich fragen wie man
zu Kommunikation steht - ob man sie im Grunde will und deshalb seine Systeme
tendenziell/möglichst permissiv (in dubio pro reo...) konfiguriert oder ob man
sie tendenziell/möglichst restriktiv aufbaut.

Ich persönlich bin kein Freund von hostname-Policies, ausser sie beziehen sich
auf unlogisches Verhalten, wie z.B. Client sagt im HELO er sei $myhostname
oder er kontaktiert mich auf dem public Interface und sagt er sei [::1]. Das
ergibt keinen Sinn.

Das Filtern auf Basis symmetrischer Forward/Reverse-Auflösung geht von der
Idealsituation aus, dass alle Betreiber eines SMTP-Dienstes auch vollen
Durchgriff auf Forward/Reverse-Auflösung ihres Servers haben. Meine
persönliche Erfahrung sagt, dass diese Idealsituation im Alltag nicht gegeben
ist und solche Filter zu viele Falsch Positive generieren.

Ich denke, das ist denen, die sie einsetzen auch bekannt. Warum sie es dennoch
tun, kann ich mir nicht erklären ohne Rechthaberei, Ignoranz oder andere,
niedere Beweggründe zu unterstellen.

p at rick

-- 
[*] sys4 AG
 
http://sys4.de, +49 (89) 30 90 46 64
Franziskanerstraße 15, 81669 München
 
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Axel von der Ohe, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein
 


Mehr Informationen über die Mailingliste postfix-users