On Thu, Oct 19, 2006 at 10:43:50AM +0200, Bastian Venthur wrote:
> Hi Liste,
>
> Wie kann ich auf smtp-Ebene am effektivsten Mails rejecten ohne
> Kollateralschäden zu erzeugen?
>
> Ich habe von black/white- und greylisting gehört wobei greylisting
> ziemlich effektiv zu sein scheint. An meiner Uni scheinen sie auch die
> Absender der Mails zu überprüfen.
>
> Was gibt es noch so? Gibt es irgendwo eine Auflistung der Möglichkeiten
> mit allen Vor- und Nachteilen?
>
> Wichtig ist mir wirklich dass keine "guten" Mails abgewiesen werden. Und
> da ich bisher noch nicht an Exims Innereien herum gedoktort habe, sollte
> die Lösung auch möglichst einfach sein.
>
Du kannst nach vielen verschiedenen Kriterien filtern. Ich nutze
Postfix, gehe aber mal davon aus, dass man diese Einstellungen auch in
exim einstellen kann.
Hier einfach mal ein Beispiel:
smtpd_recipient_restrictions =reject_invalid_hostname,
# Prüft ob der Hostname der Gegenstelle richtig geschrieben ist
reject_non_fqdn_sender,
# weist ungültige Sender-Adressen ab
reject_non_fqdn_recipient,
# weist ungültige Empfänger ab
reject_unknown_sender_domain,
# weist Mails von einer ungültigen (nicht vorhandenen) Domain ab
reject_unknown_recipient_domain,
# weist Mails an eine Domain (für die der Host nicht zuständig ist) ab
permit_mynetworks,
# erlaube Mails, die aus meinem Netzwerk (192.168.0.x) kommen
reject_unauth_destination,
# verbietet offenes Relaying
check_recipient_access regexp:/etc/postfix/recipient_checks.regexp,
# ist ein regex, der nochmal die Form der E-Mail-Adresse checkt
check_recipient_access hash:/etc/postfix/recipient_checks,
# ist die manuelle Whitelist für Mails an abuse@, postmaster@ und Co.
check_helo_access hash:/etc/postfix/helo_checks,
# dient als manuelle Blacklist / Whitelist für die HELO-Kennungen
check_sender_access hash:/etc/postfix/sender_checks,
# dient als manuelle Blacklist / Whitelist für Absenderadressen und Domains
check_client_access hash:/etc/postfix/client_checks,
check_sender_access hash:/etc/postfix/disallow_my_domains,
reject_unauth_pipelining,
reject_invalid_hostname,
reject_non_fqdn_hostname,
reject_rbl_client combined.njabl.org,
# verschiedene Blacklists
reject_rbl_client sbl-xbl.spamhaus.org,
reject_rbl_client opm.blitzed.org,
reject_rbl_client relays.ordb.org,
reject_rbl_client list.dsbl.org,
reject_rbl_client cbl.abuseat.org,
check_sender_access hash:/etc/postfix/rhsbl_sender_domain_exceptions,
# manuelle Whitelist für rfc-ignorant
reject_rhsbl_sender dsn.rfc-ignorant.org,
# Blacklist wg. rfc-Ignoranz
permit
Das mal so als kleine Auflistung einer Beispiel-Konfiguration, die
ziemlich dicht ist.
In den Blacklists liegt natürlich eine Gefahr:
Kann eine Liste nicht erreicht werden (z.B. DNS-Probleme), so werden
die E-Mail nicht angenommen. Das passiert auf SMTP-Ebene.
Paul
Attachment:
signature.asc
Description: Digital signature