Greylisting noch sinnvoll?

Previous Topic Next Topic
 
classic Classic list List threaded Threaded
20 messages Options
Reply | Threaded
Open this post in threaded view
|

Greylisting noch sinnvoll?

Heinrich Boeder-2
Hallo liebe Postfix-User,
 
ich wollte einmal die Frage in die Runde werfen ob eurer Meinung nach der Einsatz von Greylisting noch sinnvoll ist. Vielleicht kurz zum Hintergrund. Wenn ich mir unser Maillog einmal anschaue, habe ich das Gefühl, dass Spammer die an Postscreen vorbei kommen auch kein Problem mit Greylisting haben. Vielleicht täuscht mich mein Gefühl an der Stelle auch etwas.
 
Wie sieht es bei euch aus? Seid ihr eher pro oder contra Greylisting?
 
LG
 
- heinrich
 
key: 0x9BFD9B5F -- 13E7 8A3A DDA0 3E75 E0A8  BFB5 2C7A 506E 9BFD 9B5F 
Reply | Threaded
Open this post in threaded view
|

Re: Greylisting noch sinnvoll?

Jürgen Gmach
Unabhängig von der Effizienz...

Nach und nach musste ich auf Wunsch meiner Kollegen bei fast jedem das
Greylisting deaktivieren, weil andere Mailserver damit Probleme haben,
und jeder erwartet, dass E-Mails immer sofort zugestellt werden müssen.

Problematisch ist es auch immer, wenn Kunden am Telefon sind und sagen,
sie schicken eben mal eine Datei und dann dauert es je nach Einstellung
bei deren Mailserver 10 min, mal nen Tag, manche E-Mails gehen ganz
verloren.

Ganz witzige Zustände gibt es auch immer wieder, wenn es
Dreierkonferenzen gibt und nebenbei Mails verschickt werden, die der
eine dann bekommt, der andere nicht.

Oder auch wenn größere Firmen mehrere SMTPs haben, und manche E-Mails
über einen bekannten, manche über unbekannte SMTPs reinkommen.

Vom Gefühl her merke ich keinen Unterschied im Spam-Aufkommen abhängig
ob Greylising aktiviert oder deaktiviert ist.

--
Jürgen Gmach . [hidden email] . +49 9482 941545
APIS Informationstechnologien GmbH . http://www.apis.de
Gewerbepark A 13, 93086 Wörth/Donau . Deutschland
Sitz der GmbH: Wörth/Donau, Amtsgericht Regensburg (HRB 6684)
Geschäftsführer: Julia Anna Dietz, Jürgen Eilers, Peter Rosenbeck
Reply | Threaded
Open this post in threaded view
|

Re: Greylisting noch sinnvoll?

André Peters
Mit Rspamd kann man es abhängig von der Reputation/dem Score der Mail machen. Super Sache. 

Beste Grüße 
André 

Am 08.08.2017 um 11:44 schrieb Jürgen Gmach <[hidden email]>:

Unabhängig von der Effizienz...

Nach und nach musste ich auf Wunsch meiner Kollegen bei fast jedem das Greylisting deaktivieren, weil andere Mailserver damit Probleme haben, und jeder erwartet, dass E-Mails immer sofort zugestellt werden müssen.

Problematisch ist es auch immer, wenn Kunden am Telefon sind und sagen, sie schicken eben mal eine Datei und dann dauert es je nach Einstellung bei deren Mailserver 10 min, mal nen Tag, manche E-Mails gehen ganz verloren.

Ganz witzige Zustände gibt es auch immer wieder, wenn es Dreierkonferenzen gibt und nebenbei Mails verschickt werden, die der eine dann bekommt, der andere nicht.

Oder auch wenn größere Firmen mehrere SMTPs haben, und manche E-Mails über einen bekannten, manche über unbekannte SMTPs reinkommen.

Vom Gefühl her merke ich keinen Unterschied im Spam-Aufkommen abhängig ob Greylising aktiviert oder deaktiviert ist.

--
Jürgen Gmach . [hidden email] . +49 9482 941545
APIS Informationstechnologien GmbH . http://www.apis.de
Gewerbepark A 13, 93086 Wörth/Donau . Deutschland
Sitz der GmbH: Wörth/Donau, Amtsgericht Regensburg (HRB 6684)
Geschäftsführer: Julia Anna Dietz, Jürgen Eilers, Peter Rosenbeck
Reply | Threaded
Open this post in threaded view
|

Re: Greylisting noch sinnvoll?

Heinrich Boeder-2
In reply to this post by Jürgen Gmach
 
 
Hi Jürgen,
 
Am 2017-08-08 11:56, Jürgen Gmach <[hidden email]> schrieb:
Nach und nach musste ich auf Wunsch meiner Kollegen bei fast jedem das   
Greylisting deaktivieren, weil andere Mailserver damit Probleme haben,   
und jeder erwartet, dass E-Mails immer sofort zugestellt werden müssen.
Genau das selbe Problem habe ich momentan auch. Natürlich wird der eigene MXer irgendwann eine Menge IPs gelernt haben, doch bis es soweit ist dauert es halt recht lange. Bei uns kommt hinzu, dass unsere Installation sehr klein ist (ca. 15 User). Da ist nicht soooo mega viel Traffic.
 
Oder auch wenn größere Firmen mehrere SMTPs haben, und manche E-Mails   
über einen bekannten, manche über unbekannte SMTPs reinkommen.
Das habe ich auch festgestellt. Ich hatte gerade heute den Fall, das eine E-Mail reingekommen ist, welche bei jedem Zustellversuch von einer anderen IP aus dem Subnetz gesendet wurde. Da die IPs immer rotiert sind und nacheinander "abgearbeitet" wurden, erfolgt die Zustellung mit 4h Verspätung da dann die 1. IP erneut für den Versand benutzt wurde.

Vom Gefühl her merke ich keinen Unterschied im Spam-Aufkommen abhängig   
ob Greylising aktiviert oder deaktiviert ist.
 
Das ist auch mein Gefühl. Ich habe 2008 bereits meine ersten Erfahrungen mit Greylisting gesammelt. Damals haben die meisten Spammer allerdings nach dem "Fire & Forget" Prinzip gehandelt. Daher war Greylisting damals das Mittel der Wahl. Die Vorteile von Greylisting scheinen heute nicht mehr so gravierend zu sein - ganz im Gegenteil.
 
Ist aber mein persönlicher Eindruck.
 
 
- heinrich
 
key: 0x9BFD9B5F -- 13E7 8A3A DDA0 3E75 E0A8  BFB5 2C7A 506E 9BFD 9B5F 
ms
Reply | Threaded
Open this post in threaded view
|

Re: Greylisting noch sinnvoll?

ms
In reply to this post by Heinrich Boeder-2
Am 08.08.2017 um 11:29 schrieb Heinrich Boeder:
> Hallo liebe Postfix-User,
> ich wollte einmal die Frage in die Runde werfen ob eurer Meinung nach
> der Einsatz von Greylisting noch sinnvoll ist. Vielleicht kurz zum
> Hintergrund. Wenn ich mir unser Maillog einmal anschaue, habe ich das
> Gefühl, dass Spammer die an Postscreen vorbei kommen auch kein Problem
> mit Greylisting haben. Vielleicht täuscht mich mein Gefühl an der Stelle
> auch etwas.
> Wie sieht es bei euch aus? Seid ihr eher pro oder contra Greylisting?


Moin,

also ich setze Postscreen mit deep protocol tests ein und habe daher ein
ähnliches Problem wie beim klassischen Greylisting.

In meinem Fall würde es dann nur helfen, die Mailserver zu whitelisten,
oder die deep protocol tests zu deaktivieren.

Um den Bogen zum Greylisting wieder kriegen:

Greylisting ansich finde ich mittlerweile überholt, falls Du es aber
dennoch weiterhin benutzen möchtest, dann kann ich Dir noch den Tipp
mitgeben Postgrey - sofern Du Postgrey einsetzt - nicht direkt
anzusprechen, sondern Postgrey über postfwd2 anzusteuern.

Mit postwd2 kannst Du nämlich durch Regelwerke u.a. auch zeitlich
basiertes Greylisting fahren.

Der Vorteil dabei ist, dass Du Regeln erstellen kannst, die Postgrey
z.B. zu den Kernarbeitszeiten deaktiviert und z.B. ab 20:00 bis 06:00
morgens wieder aktiviert.


Beste Grüße
Michael Seevogel
Reply | Threaded
Open this post in threaded view
|

Re: Greylisting noch sinnvoll?

Peer Heinlein
In reply to this post by Heinrich Boeder-2
Am 08.08.2017 um 11:29 schrieb Heinrich Boeder:

Hallo,

> ich wollte einmal die Frage in die Runde werfen ob eurer Meinung nach
> der Einsatz von Greylisting noch sinnvoll ist. Vielleicht kurz zum
> Hintergrund. Wenn ich mir unser Maillog einmal anschaue, habe ich das
> Gefühl, dass Spammer die an Postscreen vorbei kommen auch kein Problem
> mit Greylisting haben. Vielleicht täuscht mich mein Gefühl an der Stelle
> auch etwas.
>  
> Wie sieht es bei euch aus? Seid ihr eher pro oder contra Greylisting?

Greylisting ist total und absolut sinnvoll.

a) Es gibt Snowshoe-Spam (lange Zeiträume, wenige Mails pro
Botnetz-server, unterhalb vom Radar)
und derzeit sehr stark wieder
b) mailstorms (Kompletter Spam-Aussand in unter 3 Minuten).

RBLs wie spamhaus blocken das i.d.R. nach 30 Sekunden schon, Spamhaus
hat neue ;echanismen implementiert um neue Daten noch schneller in den
Zonen hinzufügen zu können. Greylisting hilft da immens, denn bis er
durch kann, ist die IP auf der Blacklist.

Ich beobachte auch nicht, daß Spammer Greylisting überlegen. Das tun
gehackte Accounst etc. naturgemäß, aber keine Botnetze. eben weil es
8siehe auch eben oben dazu) es für den Spammer keinen Sinn macht. Wird
seit 15 Jahren behauptet das spammer das ja "nur machen müßten" --
richtig -- ändert sich aber auch seit 15 Jahren nichts dran, daß es für
sie viele Nachteile und trotzdem technische Schwierigekeiten gibt.

Für mich ist Greylisting im Bereich Spam, vor allem aber auch
Virenschutz, unverzichtbar und indiskutabel, das wegzulassen.

Peer

Reply | Threaded
Open this post in threaded view
|

Re: Greylisting noch sinnvoll?

Heinrich Boeder-2
Hallo Peer,
 
 
 
Am 2017-08-09 12:50, Peer Heinlein <[hidden email]> schrieb:
Für mich ist Greylisting im Bereich Spam, vor allem aber auch
Virenschutz, unverzichtbar und indiskutabel, das wegzulassen.
Empfiehlst Du "normales" Greylisting oder eine andere Variante wie Postgrey oder ähnliches? Oder anders ... was setzt Du ein?
 
LG
 
- heinrich
 
key: 0x9BFD9B5F -- 13E7 8A3A DDA0 3E75 E0A8  BFB5 2C7A 506E 9BFD 9B5F 
Reply | Threaded
Open this post in threaded view
|

AW: Greylisting noch sinnvoll?

Uwe Drießen
Im Auftrag von Heinrich Boeder

> Hallo Peer,
>
>
>
> Am 2017-08-09 12:50, Peer Heinlein <[hidden email]>
> schrieb:
>
> Für mich ist Greylisting im Bereich Spam, vor allem aber auch
> Virenschutz, unverzichtbar und indiskutabel, das wegzulassen.
>
> Empfiehlst Du "normales" Greylisting oder eine andere Variante wie
> Postgrey oder ähnliches? Oder anders ... was setzt Du ein?

Selektives Greylisting

DE SERVER in der Regel ohne Greylisting
Bzw. alle anderen entsprechend ihrer Toplevel oder aufgrund ihrer generischen PTR je nachdem




Mit freundlichen Grüßen

Uwe Drießen
--
Software & Computer

Netzwerke, Server.
Wir vernetzen Sie und Ihre Rechner !

Uwe Drießen
Lembergstraße 33
67824 Feilbingert

Tel.: 06708660045

Reply | Threaded
Open this post in threaded view
|

Re: Greylisting noch sinnvoll?

Marcus Schopen
In reply to this post by Heinrich Boeder-2
Hi,

Am Dienstag, den 08.08.2017, 12:23 +0200 schrieb Heinrich Boeder:

>  
>  
> Hi Jürgen,
>  
> Am 2017-08-08 11:56, Jürgen Gmach <[hidden email]> schrieb:
>         Nach und nach musste ich auf Wunsch meiner Kollegen bei fast jedem das  
>         Greylisting deaktivieren, weil andere Mailserver damit Probleme haben,  
>         und jeder erwartet, dass E-Mails immer sofort zugestellt werden müssen.
> Genau das selbe Problem habe ich momentan auch. Natürlich wird der
> eigene MXer irgendwann eine Menge IPs gelernt haben, doch bis es
> soweit ist dauert es halt recht lange. Bei uns kommt hinzu, dass
> unsere Installation sehr klein ist (ca. 15 User). Da ist nicht soooo
> mega viel Traffic.

Man kann das Greylisting mittels Whitelists je nach Güte/Level der IP
aufweichen, z.B. mittels dnswl und mailspike, sowie umgekehrt beim
Blacklisting IPs, die einen bestimmten Schwellenwert nicht erreichen, in
ein verlängertes Greylisting laufen lassen. Diese Granulierungen sind
nach meiner Erfahrung sehr hilfreich in beide Richtungen.


>         Oder auch wenn größere Firmen mehrere SMTPs haben, und manche E-Mails  
>         über einen bekannten, manche über unbekannte SMTPs reinkommen.
> Das habe ich auch festgestellt. Ich hatte gerade heute den Fall, das
> eine E-Mail reingekommen ist, welche bei jedem Zustellversuch von
> einer anderen IP aus dem Subnetz gesendet wurde. Da die IPs immer
> rotiert sind und nacheinander "abgearbeitet" wurden, erfolgt die
> Zustellung mit 4h Verspätung da dann die 1. IP erneut für den Versand
> benutzt wurde.

Häufig konzentrieren sich die wechselnden IPs auf dasselbe Subnetz. Hier
hilft es, mit subnetmatches zu arbeiten, so dass z.B. neue IPs aus
demselben Class-C Netz wie die ursprüngliche IP behandelt werden.


>         Vom Gefühl her merke ich keinen Unterschied im Spam-Aufkommen abhängig  
>         ob Greylising aktiviert oder deaktiviert ist.
>  
> Das ist auch mein Gefühl. Ich habe 2008 bereits meine ersten
> Erfahrungen mit Greylisting gesammelt. Damals haben die meisten
> Spammer allerdings nach dem "Fire & Forget" Prinzip gehandelt. Daher
> war Greylisting damals das Mittel der Wahl. Die Vorteile von
> Greylisting scheinen heute nicht mehr so gravierend zu sein - ganz im
> Gegenteil.
>  
> Ist aber mein persönlicher Eindruck.

Ciao!


Reply | Threaded
Open this post in threaded view
|

Re: Greylisting noch sinnvoll?

Michael Köhler
In reply to this post by Uwe Drießen
Hallo Uwe,

Am 09.08.2017 um 14:05 schrieb Uwe Drießen:

Für mich ist Greylisting im Bereich Spam, vor allem aber auch Virenschutz, unverzichtbar und indiskutabel, das wegzulassen. Empfiehlst Du "normales" Greylisting oder eine andere Variante wie Postgrey oder ähnliches? Oder anders ... was setzt Du ein?
Selektives Greylisting DE SERVER in der Regel ohne Greylisting Bzw. alle anderen entsprechend ihrer Toplevel oder aufgrund ihrer generischen PTR je nachdem

Kannst Du kurz (ok, vielleicht nicht zu kurz) beschreiben, wie Du das gelöst hast? Was ich bisher dazu gefunden habe ist das Einbinden von postgrey via smtpd_restriction_classes. Aber als Regexp-Nichtexperte fällt es mir schwer die entsprechende "Nicht-DE"-Regel zu finden.

Normalerweise sollte bei einer eingehenden Mail beim Durchlaufen der smtpd_recipient_restrictions die RegExp-Datei durchsucht werden und nur wenn eine Zeile zutrifft diese die hinterlegte smtpd_restriction_class aufrufen und damit  die Mail an postgrey übergeben. Ich habe aber das Gefühl, dass bei mir immer noch jede Mail an postgrey übergeben wird :(.

Die entsprechende Konfiguration lautet:

smtpd_restriction_classes = check_greylist
check_greylist = check_policy_service inet:127.0.0.1:60000

smtpd_recipient_restrictions =
        check_recipient_access hash:/etc/postfix/roleaccount_exceptions
        permit_mynetworks
        permit_sasl_authenticated
        reject_unauth_destination
        check_client_access hash:/etc/postfix/client_whitelist
        check_helo_access pcre:/etc/postfix/helo_checks
        check_sender_ns_access hash:/etc/postfix/bogus_dns
        check_sender_mx_access cidr:/etc/postfix/bogus_mx
        check_sender_access pcre:/etc/postfix/umlaute
        check_client_access regexp:/etc/postfix/greylist
        warn_if_reject check_policy_service unix:private/policy-spf
        reject_invalid_helo_hostname
        reject_non_fqdn_helo_hostname
        reject_non_fqdn_sender
        reject_non_fqdn_recipient
        reject_unknown_sender_domain
        reject_unknown_recipient_domain
        warn_if_reject reject_unlisted_sender
        reject_unverified_recipient
        reject_unlisted_recipient
        check_policy_service unix:private/quota-status
        permit


Und in der Datei /etc/postfix/greylist steht bisher (in Ermangelung eines RegExp-Eintrag für "Nicht-DE"):

/^unknown$/                                                       check_greylist
/([0-9]{1,3}[.-]){3,4}[^0-9.]+/                                   check_greylist
/^(dhcp|dialup|ppp|adsl|host|static|www|server|client)[^.]*[0-9]/ check_greylist

Wie kann ich kontrollieren, ob das Greylisting nun wirklich selektiv ist?!

Viele Grüße,
Michael
Reply | Threaded
Open this post in threaded view
|

AW: Greylisting noch sinnvoll?

Uwe Drießen
Im Auftrag von Michael Koehler

> Hallo Uwe,
>
> Am 09.08.2017 um 14:05 schrieb Uwe Drießen:
>
>
>
> Für mich ist Greylisting im Bereich Spam, vor allem aber auch
> Virenschutz, unverzichtbar und indiskutabel, das wegzulassen. Empfiehlst Du
> "normales" Greylisting oder eine andere Variante wie Postgrey oder
> ähnliches? Oder anders ... was setzt Du ein?
>
> Selektives Greylisting DE SERVER in der Regel ohne Greylisting Bzw.
> alle anderen entsprechend ihrer Toplevel oder aufgrund ihrer generischen
> PTR je nachdem
>
>
> Kannst Du kurz (ok, vielleicht nicht zu kurz) beschreiben, wie Du das gelöst
> hast? Was ich bisher dazu gefunden habe ist das Einbinden von postgrey via
> smtpd_restriction_classes. Aber als Regexp-Nichtexperte fällt es mir schwer
> die entsprechende "Nicht-DE"-Regel zu finden.
>

Sollte auch im Archiv zu finden sein

https://sys4.de/de/blog/2013/10/09/selektive-rbl-spf-greylisting-checks-mit-smtpd_restriction_classes/


oder noch kompakter

main.cf:
------------------
smtpd_restriction_classes           =   greylisting ,.....

greylisting                         =   check_policy_service inet:127.0.0.1:10023


smtpd_recipient_restrictions =
   check_sender_access  hash:/etc/postfix/adress_maps/kuendigt,
   reject_unknown_recipient_domain,
   permit_mynetworks,
   reject_unknown_sender_domain,
   check_sender_access proxy:mysql:/etc/postfix/sql/mysql-domains.cf,
   reject_unlisted_recipient,
   reject_non_fqdn_sender,
   reject_non_fqdn_recipient,
   reject_unlisted_sender,
   reject_unauth_destination,
   reject_unverified_recipient,
   ......
   check_client_access pcre:/etc/postfix/maps/dialups.grey
........

============================================================


maps/dialups.grey:
--------------------------------
/eu\.blackberry\.com$/  DUNNO
/sipgate\.net$/         DUNNO
/(\-.+){4}$/ greylisting
/(\..+){4}$/ greylisting
# everything with 3 or more dots/hyphens in the hostname

/(^|[0-9.x_-])(abo|br(e|oa)dband|cabel|(hk)?cablep?|catv|cbl|cidr|d?client2?|cust(omer)?s?|dhcp|dial?(in|up)?|d[iu]p|[asx]?dsld?|dyn(a(dsl|mic)?)?|home|in-addr|modem(cable)?|(di)?pool|ppp|ptr|rev|static|user|YahooBB[0-9]{12}|c[[:alnum:]]{6,}(\.[a-z]{3})?\.virtua|[1-9]Cust[0-9]+|AC[A-Z][0-9A-F]{5}\.ipt|pcp[0-9]{6,}pcs|S0106[[:alnum:]]{12,}\.[a-z]{2})[0-9.x_-]/         greylisting
/\.(g.|.u|.z|org|info|si|ru|sk|ro|eg|lv|gr|za|net|com|br|jp|ca|co|cz|cy|in|il|it|mx|pl|pt|ua|ar|th|no|nl|ma|nu|ee|pe|se|ux|lt)$/    greylisting
/clients\.your-server\.de$/ greylisting
/unknown/       greylisting
/agnitas\.de/   greylisting
/google\.com/   greylisting
/gmail\.com/    greylisting
/yahoo\.com/    yahoo.absender






Mit freundlichen Grüßen

Uwe Drießen
--
Software & Computer

Netzwerke, Server.
Wir vernetzen Sie und Ihre Rechner !

Uwe Drießen
Lembergstraße 33
67824 Feilbingert

Tel.: 06708660045



Reply | Threaded
Open this post in threaded view
|

Re: Greylisting noch sinnvoll?

Michael Köhler
Hallo Uwe,

> Am 22.08.2017 um 17:15 schrieb Uwe Drießen <[hidden email]>:
>
>> Kannst Du kurz (ok, vielleicht nicht zu kurz) beschreiben, wie Du das gelöst
>> hast? Was ich bisher dazu gefunden habe ist das Einbinden von postgrey via
>> smtpd_restriction_classes. Aber als Regexp-Nichtexperte fällt es mir schwer
>> die entsprechende "Nicht-DE"-Regel zu finden.
>>
>
> Sollte auch im Archiv zu finden sein
>
> https://sys4.de/de/blog/2013/10/09/selektive-rbl-spf-greylisting-checks-mit-smtpd_restriction_classes/
>
>
> oder noch kompakter
>
> main.cf:
> —————————
> […]

> maps/dialups.grey:
> --------------------------------
> /eu\.blackberry\.com$/  DUNNO
> /sipgate\.net$/         DUNNO
> /(\-.+){4}$/ greylisting
> /(\..+){4}$/ greylisting
> # everything with 3 or more dots/hyphens in the hostname
>
> /(^|[0-9.x_-])(abo|br(e|oa)dband|cabel|(hk)?cablep?|catv|cbl|cidr|d?client2?|cust(omer)?s?|dhcp|dial?(in|up)?|d[iu]p|[asx]?dsld?|dyn(a(dsl|mic)?)?|home|in-addr|modem(cable)?|(di)?pool|ppp|ptr|rev|static|user|YahooBB[0-9]{12}|c[[:alnum:]]{6,}(\.[a-z]{3})?\.virtua|[1-9]Cust[0-9]+|AC[A-Z][0-9A-F]{5}\.ipt|pcp[0-9]{6,}pcs|S0106[[:alnum:]]{12,}\.[a-z]{2})[0-9.x_-]/         greylisting
> /\.(g.|.u|.z|org|info|si|ru|sk|ro|eg|lv|gr|za|net|com|br|jp|ca|co|cz|cy|in|il|it|mx|pl|pt|ua|ar|th|no|nl|ma|nu|ee|pe|se|ux|lt)$/    greylisting
> /clients\.your-server\.de$/ greylisting
> /unknown/       greylisting
> /agnitas\.de/   greylisting
> /google\.com/   greylisting
> /gmail\.com/    greylisting
> /yahoo\.com/    yahoo.absender

Vielen Dank - das hilft mir schon weiter. Nur noch eine kurze Verständnisfrage: Wenn ich Greylisting so einbinde, dann wird Greylisting nur für die Mailserver aktiv, auf die die regex/pcre-Regeln zutreffen, oder? Alle anderen werden nicht ausgebremst, richtig?

Viele Grüße,
Michael
Reply | Threaded
Open this post in threaded view
|

AW: Greylisting noch sinnvoll?

Uwe Drießen
Im Auftrag von Michael Koehler
>
> Vielen Dank - das hilft mir schon weiter. Nur noch eine kurze
> Verständnisfrage: Wenn ich Greylisting so einbinde, dann wird Greylisting
> nur für die Mailserver aktiv, auf die die regex/pcre-Regeln zutreffen, oder?
> Alle anderen werden nicht ausgebremst, richtig?

Genau so


>
> Viele Grüße,
> Michael =



Mit freundlichen Grüßen

Uwe Drießen
--
Software & Computer

Netzwerke, Server.
Wir vernetzen Sie und Ihre Rechner !

Uwe Drießen
Lembergstraße 33
67824 Feilbingert

Tel.: 06708660045



Reply | Threaded
Open this post in threaded view
|

Re: Greylisting noch sinnvoll?

Igor Sverkos-2
In reply to this post by Uwe Drießen
Hallo Uwe,

mehrere Verständnisfrage:

1) Du nutzt aber schon Auto-Whitelisting von Greylisting, oder?
   D.h. wenn einmal ein Tripple durchgekommen ist, steht das
   zumindest für die nächsten Stunden auf einer Whitelist oder
   verzögerst Du *jede* Mail zwangsweise wenn Du für die Absender-
   Domain Greylisting erzwungen hast?

2) Welchen Effekt erhoffst Du Dir durch

   > /google\.com/   greylisting
   > /gmail\.com/    greylisting
   > /yahoo\.com/    yahoo.absender

   ?

   Die Mail von Google & Co. werden so oder so ankommen. Wozu
   also verzögern?


--
Ich Grüße,
Igor
Reply | Threaded
Open this post in threaded view
|

AW: Greylisting noch sinnvoll?

Uwe Drießen
Im Auftrag von Igor Sverkos

>
> Hallo Uwe,
>
> mehrere Verständnisfrage:
>
> 1) Du nutzt aber schon Auto-Whitelisting von Greylisting, oder?
>    D.h. wenn einmal ein Tripple durchgekommen ist, steht das
>    zumindest für die nächsten Stunden auf einer Whitelist oder
>    verzögerst Du *jede* Mail zwangsweise wenn Du für die Absender-
>    Domain Greylisting erzwungen hast?
>
> 2) Welchen Effekt erhoffst Du Dir durch
>
>    > /google\.com/   greylisting
>    > /gmail\.com/    greylisting
>    > /yahoo\.com/    yahoo.absender

Sogenannte freemailer ist schnell ein konto eingerichtet und mal schnell einige 100 Mails rausgeblasen
In der Vergangenheit schon gehabt das plötzlich von einer nicht dagewesen Mail dieser Anbieter  nur noch Spam kam

Die Verzögerung gibt deren Mechanismen Zeit die faulen Äpfel zu finden und zu eliminieren

Und wie immer, wer das nicht möchte der nimmt sowas raus :-)


Mit freundlichen Grüßen

Uwe Drießen
--
Software & Computer

Netzwerke, Server.
Wir vernetzen Sie und Ihre Rechner !

Uwe Drießen
Lembergstraße 33
67824 Feilbingert

Tel.: 06708660045



Reply | Threaded
Open this post in threaded view
|

AW: Greylisting noch sinnvoll?

Uwe Drießen
In reply to this post by Igor Sverkos-2
Im Auftrag von Igor Sverkos

>
> Hallo Uwe,
>
> mehrere Verständnisfrage:
>
> 1) Du nutzt aber schon Auto-Whitelisting von Greylisting, oder?
>    D.h. wenn einmal ein Tripple durchgekommen ist, steht das
>    zumindest für die nächsten Stunden auf einer Whitelist oder
>    verzögerst Du *jede* Mail zwangsweise wenn Du für die Absender-
>    Domain Greylisting erzwungen hast?

Nein Standard wer nach X wiederkommt kommt durch
Die Funktion übergibt das Tripple einfach an den Greylistdienst der dann für das richtige vorgehen sorgt

>
> 2) Welchen Effekt erhoffst Du Dir durch
>
>    > /google\.com/   greylisting
>    > /gmail\.com/    greylisting
>    > /yahoo\.com/    yahoo.absender

Sogenannte freemailer ist schnell ein konto eingerichtet und mal schnell einige 100 Mails rausgeblasen
In der Vergangenheit schon gehabt das plötzlich von einer nicht dagewesen Mail dieser Anbieter  nur noch Spam kam

Die Verzögerung gibt deren Mechanismen Zeit die faulen Äpfel zu finden und zu eliminieren

Und wie immer, wer das nicht möchte der nimmt sowas raus :-)


Mit freundlichen Grüßen

Uwe Drießen
--
Software & Computer

Netzwerke, Server.
Wir vernetzen Sie und Ihre Rechner !

Uwe Drießen
Lembergstraße 33
67824 Feilbingert

Tel.: 06708660045



Reply | Threaded
Open this post in threaded view
|

Re: Greylisting noch sinnvoll?

Heinrich Boeder-2
In reply to this post by Peer Heinlein
Hallo Zusammen,

ich habe nun seit knapp 3 Wochen selektives Greylisting aktiviert (wie
von Uwe beschrieben). Ich habe sogar das von Peer beschriebene Verhalten
(beim ersten Connect Greylist und beim zweiten Connect bereits IP auf
einer Blacklist) mittlerweile im Logfile erkannt.

Vielen Dank an Alle für die wertvollen Tipps!

LG

- heinrich

[hidden email]

key: 0x1E487C9B -- 99ED F375 5F2B DA64 54BC  2CCF A2C0 7E62 1E48 7C9B


Reply | Threaded
Open this post in threaded view
|

Re: Greylisting noch sinnvoll?

Martin Steigerwald
In reply to this post by Peer Heinlein
Peer Heinlein - 09.08.17, 11:23:

> > ich wollte einmal die Frage in die Runde werfen ob eurer Meinung nach
> > der Einsatz von Greylisting noch sinnvoll ist. Vielleicht kurz zum
> > Hintergrund. Wenn ich mir unser Maillog einmal anschaue, habe ich das
> > Gefühl, dass Spammer die an Postscreen vorbei kommen auch kein Problem
> > mit Greylisting haben. Vielleicht täuscht mich mein Gefühl an der Stelle
> > auch etwas.
> >
> > Wie sieht es bei euch aus? Seid ihr eher pro oder contra Greylisting?
>
> Greylisting ist total und absolut sinnvoll.
>
> a) Es gibt Snowshoe-Spam (lange Zeiträume, wenige Mails pro
> Botnetz-server, unterhalb vom Radar)
> und derzeit sehr stark wieder
> b) mailstorms (Kompletter Spam-Aussand in unter 3 Minuten).
>
> RBLs wie spamhaus blocken das i.d.R. nach 30 Sekunden schon, Spamhaus
> hat neue ;echanismen implementiert um neue Daten noch schneller in den
> Zonen hinzufügen zu können. Greylisting hilft da immens, denn bis er
> durch kann, ist die IP auf der Blacklist.

Hmmm, ich frage mich hier doch, inwiefern da zu Postscreen durch Greylisting  
noch was dazu kommt. Der lehnt neue Sender ja auch erstmal ab und die müssen
wieder kommen. Ist die Mindestzeit fürs Wiederkommen bei Greylisting länger?
Bei Postscreen ließe sich das nur für über die Dauer des Pregreet-Tests
konfigurieren (standardmäßig 6 Sekunden, bei Überlastung 2).

Es ist für mich auch immer ne Abwägung zwischen Effektivität und Komplexität.

Ich hab derzeit

- Postscreen
- policyd-weight (ohne das, was Postscreen schon macht)
- header checks und noch so einige andere Postfix schecks
- spampd

Je mehr ich da dazu stapele, desto fragiler dürfte das Gebilde werden, auch
wenn ich mittlerweile auch darüber nachdenke, auch ClamAV noch zu integrieren,
um den statischen header_check auf Dateiendungen wie zip und doc loszuwerden.
Aber entweder ich würde dann doch amavisd-new verwenden, was ich nicht so mag,
oder ich müsste den wieder auf eine neue Weise in Postfix integrieren (da gab
es was, was sich simpel genug anhörte).

Danke,
--
Martin
Reply | Threaded
Open this post in threaded view
|

Re: Greylisting noch sinnvoll?

Alex JOST
Am 03.09.2017 um 12:34 schrieb Martin Steigerwald:

> Peer Heinlein - 09.08.17, 11:23:
>>> ich wollte einmal die Frage in die Runde werfen ob eurer Meinung nach
>>> der Einsatz von Greylisting noch sinnvoll ist. Vielleicht kurz zum
>>> Hintergrund. Wenn ich mir unser Maillog einmal anschaue, habe ich das
>>> Gefühl, dass Spammer die an Postscreen vorbei kommen auch kein Problem
>>> mit Greylisting haben. Vielleicht täuscht mich mein Gefühl an der Stelle
>>> auch etwas.
>>>
>>> Wie sieht es bei euch aus? Seid ihr eher pro oder contra Greylisting?
>>
>> Greylisting ist total und absolut sinnvoll.
>>
>> a) Es gibt Snowshoe-Spam (lange Zeiträume, wenige Mails pro
>> Botnetz-server, unterhalb vom Radar)
>> und derzeit sehr stark wieder
>> b) mailstorms (Kompletter Spam-Aussand in unter 3 Minuten).
>>
>> RBLs wie spamhaus blocken das i.d.R. nach 30 Sekunden schon, Spamhaus
>> hat neue ;echanismen implementiert um neue Daten noch schneller in den
>> Zonen hinzufügen zu können. Greylisting hilft da immens, denn bis er
>> durch kann, ist die IP auf der Blacklist.
>
> Hmmm, ich frage mich hier doch, inwiefern da zu Postscreen durch Greylisting
> noch was dazu kommt. Der lehnt neue Sender ja auch erstmal ab und die müssen
> wieder kommen. Ist die Mindestzeit fürs Wiederkommen bei Greylisting länger?
> Bei Postscreen ließe sich das nur für über die Dauer des Pregreet-Tests
> konfigurieren (standardmäßig 6 Sekunden, bei Überlastung 2).

Sofern Du keine "deep protocol tests" in Postscreen aktiviert hast (die
ohnehin fraglich sind) wird in Postscreen nichts temporär abgewiesen.
Selbst mit "deep protocol tests" gibt es im Gegensatz zu Greylisting
keine festgelegte Mindestzeit für neue Versuche. Der Client kann es
sofort wieder probieren, und wird gleich akzeptiert.


> Es ist für mich auch immer ne Abwägung zwischen Effektivität und Komplexität.
>
> Ich hab derzeit
>
> - Postscreen
> - policyd-weight (ohne das, was Postscreen schon macht)
> - header checks und noch so einige andere Postfix schecks
> - spampd
>
> Je mehr ich da dazu stapele, desto fragiler dürfte das Gebilde werden, auch
> wenn ich mittlerweile auch darüber nachdenke, auch ClamAV noch zu integrieren,
> um den statischen header_check auf Dateiendungen wie zip und doc loszuwerden.
> Aber entweder ich würde dann doch amavisd-new verwenden, was ich nicht so mag,
> oder ich müsste den wieder auf eine neue Weise in Postfix integrieren (da gab
> es was, was sich simpel genug anhörte).

Siehe rspamd :)

--
Alex JOST
Reply | Threaded
Open this post in threaded view
|

Re: Greylisting noch sinnvoll?

Igor Sverkos-2
...außerdem arbeitet postscreen nur auf IP-Ebene. D.h. hat ein Server
einmal postscreen überwunden ist er durch, für unbegrenzt viele
Empfänger. Greylisting arbeitet in der Regel mit "Triplets", also eine
Kombination aus Sender-IP, Absender und Empfänger. Wenn 1.2.3.4 für
"[hidden email]" mit dem Absender "[hidden email]" Greylisting
überwunden hat kann der gleiche Spammer über 1.2.3.4 noch lange nichts
für "[hidden email]" einkippen.


--
Ich Grüße
Igor