Re: Sendmail und Absenderadresse prüfen

From: Oliver Fromme <olli(at)lurza.secnetix.de>
Date: Mon, 10 Jul 2006 18:55:20 +0200 (CEST)

Matthias Fechner <idefix(at)fechner.net> wrote:
> Oliver Fromme <olli(at)lurza.secnetix.de> [10-07-06 13:26]:
> > Matthias Fechner <idefix(at)fechner.net> wrote:
> > > das habe ich die Woche installiert, aber das hilft Dir auch nichts,
> > > wenn die Mails von eine Adresse kommen, die es nicht gibt.
> >
> > Natürlich hilft es. Ob die Absenderadresse existiert oder
> > nicht, ändert an der eigentlichen Funktion des Greylisting
> > nichts.
>
> hm, das verstehe ich jetzt nicht so ganz.
> Wenn ich Mailserver a misbrauche um über diesen Mail zu schicken mit
> einer Absenderadresse die es nicht gibt, dann klappt das mit
> Greylisting doch wunderbar.
>
> Ich setzte die E-Mail auf Mailserver a ab, der versucht die
> zuzustellen, mein Server sagt, bin gerade beschäftigt, versuch es
> später nochmal und 1 Std später schlägt die bei mir dann doch auf.

Ja, natürlich, aber das hat nichts damit zu tun, ob die
Absenderadresse existiert oder nicht. Wenn die Absender-
adresse gültig ist, passiert doch genau das gleiche.

Der Knackpunkt ist, daß Greylisting genau dann nichts
bringt, wenn der Spammer einen »richtigen« Mailserver
verwendet, der sich an das (E)SMTP-RFC hält, Antworten
parst und Mails queuet. Ob der Spammer selbst so einen
Mailserver betreibt oder einen anderen fremden mißbraucht,
ist unerheblich. Ebenso ist unerheblich, was für Absen-
deradressen er verwendet und ob die existieren oder nicht
(solange er für die Retries jeweils dieselben verwendet).

Aus diesem Grund unterläuft man Greylisting auch durch
Aliase und Forwarding, weil der Spammer dann sozusagen
unbeabsichtigt den weiterleitenden Mailserver verwendet.
Damit Greylisting in solchen Fällen noch hilft, muß es auf
jedem dem Mailserver aktiviert sein, von denen man E-Mails
per Aliase, Forwarding oder ähnliche Mechanismen erhält.

Konkretes Beispiel: Auf den MX-Servern für meine Domain
fromme.com ist Greylisting aktiviert. So weit, so gut.
Ich habe aber noch eine Adresse olli(at)incogni.to, die nur
ein forward an mich ist, und der dortige Admin verwendet
kein Greylisting -- daher bekomme ich von dort Spam, denn
der dortige Mailserver nimmt die Mails sofort an und tut
sie in seine Queue, und meine eigenen MX-Server sehen im
SMTP-Protokoll nicht die ursprüngliche IP-Adresse des
Absenders, sondern nur die des Servers von incogni.to (die
bei mir eh in der Whitelist ist, weil es nutzlos ist, sie
zu greylisten).

In diesem konkreten Fall ist es wurscht, weil ich die
Adresse eh für nichts Wichtiges verwende und daher alles,
was dort aufläuft, ungelesen in die Tonne treten kann.
Es verdeutlicht aber die Problematik mit Greylisting: Es
funktioniert nur für den Fall, wenn der Spammer direkt
einen Mailserver kontaktiert, der Greylisting verwendet.

Der ideale Fall wäre natürlich, wenn _alle_ existierenden
Mailserver (oder zumindest ein großer Teil) Greylisting
verwenden würden. Andererseits ist dann davon auszugehen,
daß die Spammer sich anpassen und eigene RFC-konforme Mail-
Server verwenden (was sie zwar mehr Resourcen kostet, aber
wenn sie dann nennenswert größere Mengen Spam loswerden
können, werden sie sicherlich in den sauren Apfel beißen).

> Hm, aber wahrscheinlich ist es besser, wenn man diesen Absender
> existiert Check nicht macht.

Denke ich auch. Das läßt sich ohnehin nicht verläßlich
prüfen, und kann unter bestimmten Bedingungen zu ganz
üblen Endlosschleifen führen, wenn die Gegenseite eine
ebensolche Absenderprüfung durchführen will (je nachdem,
wie der Check implementiert ist).

Gruß
   Olli

-- 
Oliver Fromme,  secnetix GmbH & Co. KG, Marktplatz 29, 85567 Grafing
Dienstleistungen mit Schwerpunkt FreeBSD: http://www.secnetix.de/bsd
Any opinions expressed in this message may be personal to the author
and may not necessarily reflect the opinions of secnetix in any way.
"[...]  one observation we can make here is that Python makes
an excellent pseudocoding language, with the wonderful attribute
that it can actually be executed."  --  Bruce Eckel
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Mon 10 Jul 2006 - 18:56:56 CEST

search this site