Re: Sendmail Absenderadresse prüfen

Matthias Fechner wrote:
> es geht nicht darum den User zu prüfen sondern nur darum die
> Absenderadresse zu überprüfen ob diese existiert.

Was in der Praxis aber leider nicht immer funktioniert.
Besonders Firmen verschicken oft (legitime) Mails mit
Absendern wie noreply@... oder Ähnliches, die nicht
existieren und/oder keine Mails annehmen. Und umgekehrt
gibt es Fälle, dass vorgeschaltete MTAs (insbesondere
wenn es nicht die Primary-MXe sind) erstmal alle
Adressen als gültig akzeptieren.

Also, mir wäre das insgesamt zu heikel. Spam bekämpfen
ist ja gut und schön, aber legitime Mails sollten unter
allen Umständen zugestellt werden. Selbst eine geringe
Rate an False-Positives finde ich vollkommen inakzeptabel,
ganz besonders dann, wenn man nicht nur für sich selbst
verantwortlich ist, sondern auch für andere Benutzer.

Außerdem muss man tierisch aufpassen, dass keine Loops
erzeugt werden, wenn z.B. der MTA des Absenders bei einem
Connect ebenfalls versucht, den Absender zu prüfen ...

> Sendmail macht im Standard nur ein paar Namensauflösungen (Vorwärts,
> Rückwärts und MX), aber er kontrolliert nicht, ob die Absenderadresse
> existiert.

Ja, aus o.g. Gründen.

Was ich noch für sinnvoll halte, ist eine SPF-Prüfung.
Dafür gibt es auch eine Reihe von Miltern; ich persönlich
empfehle milter-greylist, der neben Greylisting auch SPF,
DKIM, DNSRBL und eine ganze Menge andere Sachen kennt.
Und ich kann mich nicht erinnern, bei milter-greylist
jemals einen Absturz oder Coredump erlebt zu haben.
Der Autor ist auch sehr aktiv; Patches werden schnell
geprüft und eingearbeitet (ich bin dort in der Mailing-
Liste).

> Spam kommt aber meistens genau von solchen Adressen die
> überhaupt nicht existieren.

Nach meiner Erfahrung hat Spam meistens eine existierende
Absenderadresse. Zumindest der Spam, der andere Filter-
Mechanismen (Banner-Delay, Greylisting, Nolisting, ...)
übersteht. Das ist natürlich nicht die echte Adresse des
Spammers, sondern die eines Unbeteiligten -- Gegen dieses
Problem würde der flächendeckende Einsatz von SPF helfen,
was aber leider unrealistisch ist.

> Milter-callback macht genau das, nur hat das einen Bug und macht nach
> 1-2 Stunden einen core-dump, ist also leider nicht brauchbar.

Das lässt ja die Qualität dieser Software nicht besonders
vertrauenerweckend erscheinen ... Da würde ich mir auch
ernsthafte Sorgen machen, ob die eine verlässliche Loop-
Prevention (s.o.) implementiert hat.

Milter selber zu schreiben ist auch nicht schwer; ich habe
selbst einen eigenen gebastelt, der Primary und Secondary
MX synchronisiert (ich weiß, sowas gibt's schon, aber ich
brauchte eine bestimmte Kombination von Features, und
außerdem war ich neugierig, wie man sowas schreibt).

Gruß
   Olli

-- 
Oliver Fromme,  secnetix GmbH & Co. KG,  Marktplatz 29, 85567 Grafing
Handelsregister:  Amtsgericht Muenchen, HRA 74606, Geschäftsfuehrung:
secnetix Verwaltungsgesellsch. mbH, Handelsreg.: Amtsgericht München,
HRB 125758, Geschäftsführer:  Maik Bachmann,  Olaf Erb,  Ralf Gebhart
FreeBSD-Dienstleistungen/-Produkte + mehr: http://www.secnetix.de/bsd
(On the statement print "42 monkeys" + "1 snake":)  By the way,
both perl and Python get this wrong.  Perl gives 43 and Python
gives "42 monkeys1 snake", when the answer is clearly "41 monkeys
and 1 fat snake".        -- Jim Fulton
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message