On Thu, Oct 19, 2006 at 10:43:50AM +0200, Bastian Venthur wrote: > Hi Liste, > > Wie kann ich auf smtp-Ebene am effektivsten Mails rejecten ohne > Kollateralschäden zu erzeugen? > > Ich habe von black/white- und greylisting gehört wobei greylisting > ziemlich effektiv zu sein scheint. An meiner Uni scheinen sie auch die > Absender der Mails zu überprüfen. > > Was gibt es noch so? Gibt es irgendwo eine Auflistung der Möglichkeiten > mit allen Vor- und Nachteilen? > > Wichtig ist mir wirklich dass keine "guten" Mails abgewiesen werden. Und > da ich bisher noch nicht an Exims Innereien herum gedoktort habe, sollte > die Lösung auch möglichst einfach sein. > Du kannst nach vielen verschiedenen Kriterien filtern. Ich nutze Postfix, gehe aber mal davon aus, dass man diese Einstellungen auch in exim einstellen kann. Hier einfach mal ein Beispiel: smtpd_recipient_restrictions =reject_invalid_hostname, # Prüft ob der Hostname der Gegenstelle richtig geschrieben ist reject_non_fqdn_sender, # weist ungültige Sender-Adressen ab reject_non_fqdn_recipient, # weist ungültige Empfänger ab reject_unknown_sender_domain, # weist Mails von einer ungültigen (nicht vorhandenen) Domain ab reject_unknown_recipient_domain, # weist Mails an eine Domain (für die der Host nicht zuständig ist) ab permit_mynetworks, # erlaube Mails, die aus meinem Netzwerk (192.168.0.x) kommen reject_unauth_destination, # verbietet offenes Relaying check_recipient_access regexp:/etc/postfix/recipient_checks.regexp, # ist ein regex, der nochmal die Form der E-Mail-Adresse checkt check_recipient_access hash:/etc/postfix/recipient_checks, # ist die manuelle Whitelist für Mails an abuse@, postmaster@ und Co. check_helo_access hash:/etc/postfix/helo_checks, # dient als manuelle Blacklist / Whitelist für die HELO-Kennungen check_sender_access hash:/etc/postfix/sender_checks, # dient als manuelle Blacklist / Whitelist für Absenderadressen und Domains check_client_access hash:/etc/postfix/client_checks, check_sender_access hash:/etc/postfix/disallow_my_domains, reject_unauth_pipelining, reject_invalid_hostname, reject_non_fqdn_hostname, reject_rbl_client combined.njabl.org, # verschiedene Blacklists reject_rbl_client sbl-xbl.spamhaus.org, reject_rbl_client opm.blitzed.org, reject_rbl_client relays.ordb.org, reject_rbl_client list.dsbl.org, reject_rbl_client cbl.abuseat.org, check_sender_access hash:/etc/postfix/rhsbl_sender_domain_exceptions, # manuelle Whitelist für rfc-ignorant reject_rhsbl_sender dsn.rfc-ignorant.org, # Blacklist wg. rfc-Ignoranz permit Das mal so als kleine Auflistung einer Beispiel-Konfiguration, die ziemlich dicht ist. In den Blacklists liegt natürlich eine Gefahr: Kann eine Liste nicht erreicht werden (z.B. DNS-Probleme), so werden die E-Mail nicht angenommen. Das passiert auf SMTP-Ebene. Paul
Attachment:
signature.asc
Description: Digital signature