Re: Sendmail RBL-Liste und SMTP-Auth

From: Bernd Walter <ticso(at)cicely12.cicely.de>
Date: Fri, 25 Jun 2004 03:04:41 +0200

On Thu, Jun 24, 2004 at 10:25:11PM +0200, Matthias Fechner wrote:
> Hallo Bernd,
>
> * Bernd Walter <ticso(at)cicely12.cicely.de> [24-06-04 17:40]:
> > Mit delay_checks kann man aber auch etwas vergleichbares ereichen,
> > indem die Prüfung in die check_rcpt Phase verzögert wird.
> > Schau mal im Abschnitt »Delay all checks« im
> > /usr/share/sendmail/cf/README.
>
> So, da hört sich ja schon ganz gut an, aber etwas passt mir da noch
> nicht so wirklich:
>
> in the access map, then all e-mail with a sender address of
> <user(at)my.domain> gets through, even if check_relay would reject it
> (e.g., based on the hostname or IP address). This allows spammers
> to get around DNS based blacklist by faking the sender address. To
> a
>
> Aber das sollte doch kein Problem sein, wenn die E-Mail per Milter
> nochmal durch den Spamassassin durchläuft oder?

Das ist auch kein Problem, wenn du solche unspezifizierten Einträge
gar nicht erst aufnimmst.
Der Punkt ist ja, dass du meist einem Relay Eintrag für zwei Varianten
brauchst.
Relayen von local IPs - dann sollte man den Eintrag auch nur auf
solche Fälle spezifizieren - also mit Connect:...
Mit SMTP Auth brauchst du aber vermutlich nur wenige bis gar keine
IPs freischalten - selbst 127.0.0.1/::1 kann entsprechend konfiguriert
mit SMTP AUTH einliefern.
Und Relayen für Zieladressen - auch hier sollte man mit To: eindeutig
definieren wofür der Eintrag gilt.
Solche Einträge braucht man allerding nur für Adressen die tatsächlich
relayed werden und kein lokales Ziel haben.
Letzlich hast du keinen einzigen Eintrag in der access die einen
Absender erlauben könnte.

Meine SLocal_check_rcpt kann ich leider nicht so ohne weiteres
rausgeben, da etliches mehr drinsteckt, wie z.B. die Prüfung des
HELO Statements auf FQDN, sofern keine Authentifizierung erfolgt ist,
oder das ablehnen vom eigenen Hostnamen und der eigenen Domain als
HELO, etc...
Ich bekomme nämlich immer noch so an die 60000 Spambounces pro Tag
rein, weil ein Spammer eine meiner Domains so toll finded und die müssen
zwingend abgelehnt werden bevor der Milter in Spiel kommt.

-- 
B.Walter                   BWCT                http://www.bwct.de
bernd(at)bwct.de                                  info(at)bwct.de
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Fri 25 Jun 2004 - 03:06:59 CEST

search this site