HELO Access restrictions

Previous Topic Next Topic
 
classic Classic list List threaded Threaded
6 messages Options
Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

HELO Access restrictions

Joachim Fahrner
Hallo,

ich stelle mal eine Frage zur Diskussion: nützen die HELO Access
restrictions heute überhaupt noch was?

Wenn ich so in meinen Logs stöbere, finde ich da kaum abgewiesene Mails.
Und wenn, dann war es kein Spam. Der meiste Spam wird bei mir durch RBL
geblockt.

Die Idee hinter den HELO restrictions war ja, dass Botnet Zombies normal
keinen korrekt konfigurierten Hostnamen und DNS-Einträge haben. Aber die
Spamsoftware wird auch immer schlauer, und es ist ja ein Leichtes mit 2
DNS-Abfragen einen zur IP passenden Hostnamen zu bekommen:

$ host 93.104.124.64
64.124.104.93.in-addr.arpa domain name pointer
ppp-93-104-124-64.dynamic.mnet-online.de.
$ host ppp-93-104-124-64.dynamic.mnet-online.de
ppp-93-104-124-64.dynamic.mnet-online.de has address 93.104.124.64

Und wenn ich mir die Logs so ansehe bestätigt das meine These: da gibt
es sehr viele HELO Namen die ziemlich kryptisch aussehen, so wie die von
DSL-Anschlüssen. Also wären diese Prüfungen ja reine Zeitverschwendung,
und sogar kontraproduktiv.

Jochen
Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: HELO Access restrictions

Robert Schetterer-2
Am 04.07.2017 um 18:09 schrieb Joachim Fahrner:
> Hallo,
>
> ich stelle mal eine Frage zur Diskussion: nützen die HELO Access
> restrictions heute überhaupt noch was?

Ja ,aber eher selten

>
> Wenn ich so in meinen Logs stöbere, finde ich da kaum abgewiesene Mails.
> Und wenn, dann war es kein Spam. Der meiste Spam wird bei mir durch RBL
> geblockt.
>
> Die Idee hinter den HELO restrictions war ja, dass Botnet Zombies normal
> keinen korrekt konfigurierten Hostnamen und DNS-Einträge haben.

was definierst du als korrekt ?

 Aber die

> Spamsoftware wird auch immer schlauer, und es ist ja ein Leichtes mit 2
> DNS-Abfragen einen zur IP passenden Hostnamen zu bekommen:
>
> $ host 93.104.124.64
> 64.124.104.93.in-addr.arpa domain name pointer
> ppp-93-104-124-64.dynamic.mnet-online.de.
> $ host ppp-93-104-124-64.dynamic.mnet-online.de
> ppp-93-104-124-64.dynamic.mnet-online.de has address 93.104.124.64
>
> Und wenn ich mir die Logs so ansehe bestätigt das meine These: da gibt
> es sehr viele HELO Namen die ziemlich kryptisch aussehen, so wie die von
> DSL-Anschlüssen. Also wären diese Prüfungen ja reine Zeitverschwendung,
> und sogar kontraproduktiv.
>
> Jochen

ich fordere dass es "formal" richtig ist
und ich lass mir nicht meinen eigenen hostnamen und/oder ipadresse im
helo praesentieren via access list, das wars aber auch schon, was
anderes hatte ich nie

Best Regards
MfG Robert Schetterer

--
[*] sys4 AG

http://sys4.de, +49 (89) 30 90 46 64
Schleißheimer Straße 26/MG, 80333 München

Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein
Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: HELO Access restrictions

Robert Schetterer-2
Am 04.07.2017 um 22:01 schrieb Robert Schetterer:

> Am 04.07.2017 um 18:09 schrieb Joachim Fahrner:
>> Hallo,
>>
>> ich stelle mal eine Frage zur Diskussion: nützen die HELO Access
>> restrictions heute überhaupt noch was?
>
> Ja ,aber eher selten
>
>>
>> Wenn ich so in meinen Logs stöbere, finde ich da kaum abgewiesene Mails.
>> Und wenn, dann war es kein Spam. Der meiste Spam wird bei mir durch RBL
>> geblockt.
>>
>> Die Idee hinter den HELO restrictions war ja, dass Botnet Zombies normal
>> keinen korrekt konfigurierten Hostnamen und DNS-Einträge haben.
>
> was definierst du als korrekt ?
>
>  Aber die
>> Spamsoftware wird auch immer schlauer, und es ist ja ein Leichtes mit 2
>> DNS-Abfragen einen zur IP passenden Hostnamen zu bekommen:
>>
>> $ host 93.104.124.64
>> 64.124.104.93.in-addr.arpa domain name pointer
>> ppp-93-104-124-64.dynamic.mnet-online.de.
>> $ host ppp-93-104-124-64.dynamic.mnet-online.de
>> ppp-93-104-124-64.dynamic.mnet-online.de has address 93.104.124.64
>>
>> Und wenn ich mir die Logs so ansehe bestätigt das meine These: da gibt
>> es sehr viele HELO Namen die ziemlich kryptisch aussehen, so wie die von
>> DSL-Anschlüssen. Also wären diese Prüfungen ja reine Zeitverschwendung,
>> und sogar kontraproduktiv.
>>
>> Jochen
>
> ich fordere dass es "formal" richtig ist
> und ich lass mir nicht meinen eigenen hostnamen und/oder ipadresse im
> helo praesentieren via access list, das wars aber auch schon, was
> anderes hatte ich nie

localhost , localhost.localdomains kann man auch noch reinschreiben

nicht vergessen mynetworks etc ausnehmen
>
> Best Regards
> MfG Robert Schetterer
>



Best Regards
MfG Robert Schetterer

--
[*] sys4 AG

http://sys4.de, +49 (89) 30 90 46 64
Schleißheimer Straße 26/MG, 80333 München

Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein
Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: HELO Access restrictions

Joachim Fahrner
In reply to this post by Robert Schetterer-2
Am 2017-07-04 22:01, schrieb Robert Schetterer:

>> Die Idee hinter den HELO restrictions war ja, dass Botnet Zombies
>> normal
>> keinen korrekt konfigurierten Hostnamen und DNS-Einträge haben.
>
> was definierst du als korrekt ?

Na dass der Rechner ein passendes Forward- und Reverse-DNS hat.

Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: HELO Access restrictions

Robert Schetterer-2
Am 04.07.2017 um 22:10 schrieb Joachim Fahrner:
> Am 2017-07-04 22:01, schrieb Robert Schetterer:
>
>>> Die Idee hinter den HELO restrictions war ja, dass Botnet Zombies normal
>>> keinen korrekt konfigurierten Hostnamen und DNS-Einträge haben.
>>
>> was definierst du als korrekt ?
>
> Na dass der Rechner ein passendes Forward- und Reverse-DNS hat.
>


gibt die postfix faq so als zwingend nicht her ,nach meiner Lesart

reject_invalid_helo_hostname (with Postfix < 2.3: reject_invalid_hostname)
    Reject the request when the HELO or EHLO hostname is malformed.
Note: specify "smtpd_helo_required = yes" to fully enforce this
restriction (without "smtpd_helo_required = yes", a client can simply
skip reject_invalid_helo_hostname by not sending HELO or EHLO).
    The invalid_hostname_reject_code specifies the response code for
rejected requests (default: 501).

und

reject_non_fqdn_helo_hostname (with Postfix < 2.3: reject_non_fqdn_hostname)
    Reject the request when the HELO or EHLO hostname is not in
fully-qualified domain or address literal form, as required by the RFC
<<<<<<<

im Gegensatz zu

reject_unknown_helo_hostname (with Postfix < 2.3: reject_unknown_hostname)
    Reject the request when the HELO or EHLO hostname has no DNS A or MX
record.
    The reply is specified with the unknown_hostname_reject_code
parameter (default: 450) or unknown_helo_hostname_tempfail_action
(default: defer_if_permit). See the respective parameter descriptions
for details.
    Note: specify "smtpd_helo_required = yes" to fully enforce this
restriction (without "smtpd_helo_required = yes", a client can simply
skip reject_unknown_helo_hostname by not sending HELO or EHLO).





Best Regards
MfG Robert Schetterer

--
[*] sys4 AG

http://sys4.de, +49 (89) 30 90 46 64
Schleißheimer Straße 26/MG, 80333 München

Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein
Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

AW: HELO Access restrictions

Uwe Drießen
In reply to this post by Joachim Fahrner
Im Auftrag von Joachim Fahrner

> Hallo,
>
> ich stelle mal eine Frage zur Diskussion: nützen die HELO Access
> restrictions heute überhaupt noch was?
>
> Wenn ich so in meinen Logs stöbere, finde ich da kaum abgewiesene Mails.
> Und wenn, dann war es kein Spam. Der meiste Spam wird bei mir durch RBL
> geblockt.
>
> Die Idee hinter den HELO restrictions war ja, dass Botnet Zombies normal
> keinen korrekt konfigurierten Hostnamen und DNS-Einträge haben. Aber die
> Spamsoftware wird auch immer schlauer, und es ist ja ein Leichtes mit 2
> DNS-Abfragen einen zur IP passenden Hostnamen zu bekommen:
>
> $ host 93.104.124.64
> 64.124.104.93.in-addr.arpa domain name pointer
> ppp-93-104-124-64.dynamic.mnet-online.de.
> $ host ppp-93-104-124-64.dynamic.mnet-online.de
> ppp-93-104-124-64.dynamic.mnet-online.de has address 93.104.124.64
>
> Und wenn ich mir die Logs so ansehe bestätigt das meine These: da gibt
> es sehr viele HELO Namen die ziemlich kryptisch aussehen, so wie die von
> DSL-Anschlüssen. Also wären diese Prüfungen ja reine Zeitverschwendung,
> und sogar kontraproduktiv.

Diese PTR sind Goldwert :-)
Anhand dieser erkenn ich ob es DIAL-in ist
Aus Dialin kann keine legitime Mail kommen
Wer dort einen Mailserver betreibt muss einen eindeutigen keinen generischen PTR haben

check_client_access pcre:/etc/postfix/maps/dynip

filtert alles aus was da so aus Dialin kommt
wobei in der Zwischenzeit viele Große Provider den Port 25 in diesen Netzen zugemacht haben :-)

>
> Jochen



Mit freundlichen Grüßen

Uwe Drießen
--
Software & Computer

Netzwerke, Server.
Wir vernetzen Sie und Ihre Rechner !

Uwe Drießen
Lembergstraße 33
67824 Feilbingert

Tel.: 06708660045


Loading...