Postscreen Whitelisting mit Domainnamen anstatt CIDR

Patrick Ben Koetter p at sys4.de
Mo Dez 12 09:37:17 CET 2016 

Hi,

* Jochen Fahrner <jf at fahrner.name>:
> wenn ich die Doku richtig verstanden habe, kann man bei
> postscreen_access_list nur cidr: Tabellen angeben, keine Tabellen die
> Doaminnamen beinhalten.

das ist prinzipbedingt so. Ganz am Anfagn, dann wenn postscreen-Regeln
ausgeführt werden, ist Zeit Mangelware. Da muss es so schnell wie
irgendmöglich gehen. Aus diesem Grund hantiert Postfix zu dem Zeitpunkt nur
mit IP-Adressen. Vergleichsweise lange DNS Lookups vermeidet es in dem Moment
wo immer möglich.

    Wäre auch in guter DOS-Vektor. Reverse-Zonen auf NS-Server legen, die
    künstlich gebremst sind. Da kommt die Plattform zum Stillstand, weil alle
    Postfix-Prozesse damit beschäftigt sind, Antworten auf DNS-Abragen
    abzuwarten...


> Ich würde gerne auf die dnswl.org Whitelist verzichten, und die
> Mailserver von z.B. GMX explizit erlauben. So wie es aussieht, versenden
> nur Server aus der Domain mout.gmx.net die Mails von GMX. Jetzt könnte
> ich die IP-Adressen dieser Server aus dem DNS auslesen und in eine

Besser ist, Du baust Dir ein Skript mit dem Du regelmäßig die SPF-Records der
Domain abfrägst. Da steht drin von wo sie legitim kommen:

$ dig TXT gmx.net +short
"v=spf1 ip4:213.165.64.0/23 ip4:74.208.5.64/26 ip4:212.227.126.128/25
ip4:212.227.15.0/25 ip4:212.227.17.0/27 ip4:74.208.4.192/26
ip4:82.165.159.0/24 ip4:217.72.207.0/27 -all"
"google-site-verification=J0NZ2F6kdhXzsguHSKZTm3CWujnrImftkDG3zhz14g0"

Darauf kannst Du auch bauen. Wenn die einen neuen Host/ein neues Netz in Spiel
bringen wollen, dann müssen sie *vorher* den SPF-Eintrag setzen. Andernfalls,
wenn sie den Host vor dem Setzen von SPF in Betrieb nehmen, hätten sie selbst
empfindliche Einbußen in der deliverability bis hin zum Verwerfen von
Nachrichten (-> DMARC).


> CIDR-Tabelle eintragen, aber die können sich ja auch mal ändern. Lassen
> sich im postscreen auch Domains whitelisten?

Nein, sie lassen sich nicht whitelisten. Würde ich auch nicht tun, selbst
wenn es möglich wäre. Bau Dir so ein Skript.

p at rick


-- 
[*] sys4 AG
 
https://sys4.de, +49 (89) 30 90 46 64
Schleißheimer Straße 26/MG,80333 München
 
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein

Mehr Informationen über die Mailingliste postfix-users