© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
Philipp Maihoefer <philipp(at)5711.org> wrote:
> a) Reverse Einträge machst du nicht in der Zone von der domain sonder
> in der ReverseZone von der IP (daher auch Rückwärts). Wie du das
> rausfindest wer die verwaltet, sagt dir RIPE(.net) .
Üblicherweise kann man das bei »Kleinprovidern« per Web-
Interface konfigurieren.
> Ob ein
> ReverseEintrag vorhanden ist überprüfst du mit dem shell command "host".
>
> dig / nslookup -> vorwärts
> Host -> rückwärts
Das ist jetzt Blödsinn (sorry). Man kann mit allen drei
Tools beliebige Records abfragen, also sowohl A-Records
(»vorwärts«) als auch PTR-Records (»rückwärts«). Ich per-
söniche verwende in allen Fällen »host«, weil's schneller
zu tippen ist und die Ausgabe kompakter ist. Aber das mag
Geschmackssache sein.
> b) Die Überprüfung des Reverslookups des eingetragenen "MX'ers" dient
> u.a. als zusätzlich Authentifizierung ob der angegebene Sending
> Mailserver (der das Handshake mit dem POP3 oder IMAP-Server macht)
> wirklich unter der richtigen IP den richtigen Hostname auflöst und
> nicht irgendwo gefälscht wurde. (SPAM Abwehr).
Das ist richtig. Allerdings ist es in der Praxis noch ein
wenig komplizierter. Teilweise werden von Spam-Abwehr-
Mechanismen bis zu vier verschiedene Absender-Angaben für
die Analyse herangezogen:
- Der From:-header aus der Mail.
- Die From-Adresse aus dem SMTP-Protokoll (»Envelope«).
- Der Server-Name aus dem SMTP-Protokoll (HELO/EHLO).
- Die Source-Adresse, die die Verbindung initiierte.
In den meisten Fällen werden aber nur Envelope-From (Punkt
zwei) und Source-IP (Punkt vier) geprüft. Es wird z.B. ge-
prüft, daß die Domain des Envelope-From entweder einen MX-
oder einen A-Record hat -- existiert keins von beiden, wird
die Mail abgelehnt.
Eine striktere Prüfung wird häufig bei der Source-IP durch-
geführt: Ein Reverse-Lookup muß einen Namen liefern, der
wiederum zur selben IP aufgelöst werden kann. Ferner ist
es verbreitete Praxis, die Source-IP gegen eine Liste von
Netzen zu testen, von denen keine Mails angenommen werden,
weil sie überwiegend von Spammern mißbraucht werden; dies
beinhaltet z.B. Pools von Dialup-IPs, aber auch viele
Netze billiger Hosting-Provider.
> AFAIK kannst du einen einzelnen Record nicht reloaden. Du kannst nur
> die TTL von der kompletten Zone runtersetzen, oder jenachdem pro Record.
Man sollte die TLL ohnehin rechtzeitig vor zeitkritischen
Änderungen herabsetzen, und zwar mindestens so lange vor-
her, wie die (alte!) TTL plus die Refresh_Dauer aus der SOA
ergibt. Und selbst dann sollte man damit rechnen, daß die
Auflösungen hier und dort länger gecacht werden. Der Squid
z.B. cacht per Default alle Auflösungen mindestens eine
Stunde, ganz egal was die TTL sagt.
Zusammengefaßt kann man also sagen: Wenn Du E-Mails ver-
schicken willst, sollte Deine Source-IP (unter der Deine
ausgehenden Verbindungen erscheinen) zu einem Namen (rück-)
auflösen, der wiederum zur selben IP auflöst. Bedenke da-
bei, daß DNS-Änderungen eine Weile brauchen, bis sie bei
fremden Systemen sichtbar sind. Außerdem sollte diese IP-
Adresse in keiner der Mail-Blacklists auftauchen (also kei-
ne Dialup-IP o.ä.).
Wenn diese Voraussetzungen nicht einzuhalten sind, dann
bleibt nur noch, Deine Mails per SMTP-Authentisierung bei
einem Provider einzuliefern.
Gruß
Olli
--
Oliver Fromme, secnetix GmbH & Co KG, Marktplatz 29, 85567 Grafing
Any opinions expressed in this message may be personal to the author
and may not necessarily reflect the opinions of secnetix in any way.
"A language that doesn't have everything is actually easier
to program in than some that do."
-- Dennis M. Ritchie
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Tue 19 Jul 2005 - 15:02:30 CEST