Re: Sendmail und Absenderadresse prüfen

Timo Schoeler <timo.schoeler(at)riscworks.net> wrote:
> Matthias Fechner wrote:
> > [...]
> > Aber ich kann bestätigen, greylisting hat auf jeden Fall einen spürbar
> > positiven Effekt.
>
> was mich jetzt ein wenig ueberrascht. wir haben greylisting vor etwa 14
> monaten wieder rausgenommen, weil vor allem spammer mit botnets gerne
> den gesteigerten aufwand in kauf nehmen (sind ja nicht ihre ressourcen).

Das kann ich jetzt wiederum nicht nachvollziehen. Grey-
listing hilft gerade gegen Botnets ganz hervorragend.
Aber vielleicht verstehst Du ja unter »Botnets« etwas
anderes?

Botnets sind ganz normale PCs (häufig von ahnungslosen
Endanwendern, aber auch schlecht administrierte Pools
an Universitäten u.ä.), die durch Schadsoftware (Würmer
oder Trojaner) mit einer einfachen SMTP-Engine und einer
Fernsteuermöglichkeit versehen wurden, wodurch sie zu
Spamschleudern werden. Die SMTP-Engine (die eigentlich
das Attribut »SMTP« gar nicht verdient) ist aber in der
Regel sehr einfach gestrickt und nicht in der Lage, Mails
bei Fehlversuchen zu queuen. Vermutlich ignoriert sie
die Fehlercodes sogar vollkommen. Der Betreiber des Bot-
nets möchte ja, daß seine Software möglichst lange unent-
deckt bleibt, weshalb sie so klein und unauffällig wie
möglich gestaltet wird.

Es gibt sogar bekannte Fälle, wo so eine »Engine« einfach
nur Port 25 aufmacht, dann -- ohne zu warten -- seinen
SMTP-Sermon herunterrasselt (HELO, MAIL FROM, RCPT TO,
DATA) und die Mail raushaut, ohne auch nur auf ein einzi-
ges Byte der Gegenseite zu warten. Für diese Fälle ist
noch nichtmal Greylisting notwendig; diesen Engines kann
man ganz prima mit dem Sendmail-Feature "greet_pause" den
Hals umdrehen: Wenn man es einschaltet, wartet Sendmail
nach dem Connect erstmal kurz (z.B. 5 Sekunden), bevor es
sein SMTP-Greeting schickt. Kommt in dieser Zeitspanne
_irgendwas_ von der Gegenseite, wird keine Mail von dieser
Verbindung angenommen. Resourcenverbrauch quasi null.
Als ich vor ein paar Monaten mal Statistiken machte, hat
das "greet_pause"-Feature bereits rund 10 Prozent des Spams
im Keim erstickt.

> umso besser, falls es sich wieder mehr 'lohnt'... was mich ein wenig
> stoert, ist die erhoehte last, die greylisting auch auf unschuldigen
> kisten erzeugt.

Last eigentlich nicht, allerdings wird etwas Platz in der
Queue benötigt, aber auch nur für kurze Zeit (typischer-
weise eine halbe Stunde), und das auch nur dann, wenn bis-
her zwischen Absender und Empfänger keine Kommunikation
stattfand. Sobald eine Mail erfolgreich durchgeleitet
wurde, wird automatisch ein Whitelist-Eintrag erzeugt, so
daß weitere E-Mails zwischen beiden Partnern ohne Verzöge-
rung zugestellt werden, so daß keine zusätzlichen Resourcen
belegt werden. Darüberhinaus habe ich die IP-Adressen von
bekannten Mailserver, von denen ich viele Mails erhalte und
von denen ich sicher bin, daß von dort kein Spam kommt,
manuell in die Whitelist eingetragen.

Insgesamt würde ich daher sagen, daß der zusätzlicher Ver-
brauch an Resourcen vernachlässigbar gering ist.

Wenn man Empfänger hat, die sehr häufig Mails von bisher
unbekannten Absendern bekommen (z.B. von neuen oder poten-
tiellen neuen Kunden), kann man diese Empfänger gezielt
vom Greylisting ausnehmen, wenn man möchte. Es mag auch
andere Fälle geben, wo eine Verzögerung nicht akzeptabel
ist, z.B. bei Adressen für Störungsmeldungen. Auch diese
sollte man dann vom Greylisting ausnehmen. Man muß dies
von Fall zu Fall entscheiden.

Gruß
   Olli

-- 
Oliver Fromme,  secnetix GmbH & Co. KG, Marktplatz 29, 85567 Grafing
Dienstleistungen mit Schwerpunkt FreeBSD: http://www.secnetix.de/bsd
Any opinions expressed in this message may be personal to the author
and may not necessarily reflect the opinions of secnetix in any way.
"I made up the term 'object-oriented', and I can tell you
I didn't have C++ in mind."
        -- Alan Kay, OOPSLA '97
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message