Postscreen Whitelisting mit Domainnamen anstatt CIDR

Previous Topic Next Topic
 
classic Classic list List threaded Threaded
6 messages Options
Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Postscreen Whitelisting mit Domainnamen anstatt CIDR

Joachim Fahrner
Hallo,

wenn ich die Doku richtig verstanden habe, kann man bei
postscreen_access_list nur cidr: Tabellen angeben, keine Tabellen die
Doaminnamen beinhalten.

Ich würde gerne auf die dnswl.org Whitelist verzichten, und die
Mailserver von z.B. GMX explizit erlauben. So wie es aussieht, versenden
nur Server aus der Domain mout.gmx.net die Mails von GMX. Jetzt könnte
ich die IP-Adressen dieser Server aus dem DNS auslesen und in eine
CIDR-Tabelle eintragen, aber die können sich ja auch mal ändern. Lassen
sich im postscreen auch Domains whitelisten?

--
Mit besten Grüßen
Jochen Fahrner


Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: Postscreen Whitelisting mit Domainnamen anstatt CIDR

Patrick Ben Koetter-2
Hi,

* Jochen Fahrner <[hidden email]>:
> wenn ich die Doku richtig verstanden habe, kann man bei
> postscreen_access_list nur cidr: Tabellen angeben, keine Tabellen die
> Doaminnamen beinhalten.

das ist prinzipbedingt so. Ganz am Anfagn, dann wenn postscreen-Regeln
ausgeführt werden, ist Zeit Mangelware. Da muss es so schnell wie
irgendmöglich gehen. Aus diesem Grund hantiert Postfix zu dem Zeitpunkt nur
mit IP-Adressen. Vergleichsweise lange DNS Lookups vermeidet es in dem Moment
wo immer möglich.

    Wäre auch in guter DOS-Vektor. Reverse-Zonen auf NS-Server legen, die
    künstlich gebremst sind. Da kommt die Plattform zum Stillstand, weil alle
    Postfix-Prozesse damit beschäftigt sind, Antworten auf DNS-Abragen
    abzuwarten...


> Ich würde gerne auf die dnswl.org Whitelist verzichten, und die
> Mailserver von z.B. GMX explizit erlauben. So wie es aussieht, versenden
> nur Server aus der Domain mout.gmx.net die Mails von GMX. Jetzt könnte
> ich die IP-Adressen dieser Server aus dem DNS auslesen und in eine

Besser ist, Du baust Dir ein Skript mit dem Du regelmäßig die SPF-Records der
Domain abfrägst. Da steht drin von wo sie legitim kommen:

$ dig TXT gmx.net +short
"v=spf1 ip4:213.165.64.0/23 ip4:74.208.5.64/26 ip4:212.227.126.128/25
ip4:212.227.15.0/25 ip4:212.227.17.0/27 ip4:74.208.4.192/26
ip4:82.165.159.0/24 ip4:217.72.207.0/27 -all"
"google-site-verification=J0NZ2F6kdhXzsguHSKZTm3CWujnrImftkDG3zhz14g0"

Darauf kannst Du auch bauen. Wenn die einen neuen Host/ein neues Netz in Spiel
bringen wollen, dann müssen sie *vorher* den SPF-Eintrag setzen. Andernfalls,
wenn sie den Host vor dem Setzen von SPF in Betrieb nehmen, hätten sie selbst
empfindliche Einbußen in der deliverability bis hin zum Verwerfen von
Nachrichten (-> DMARC).


> CIDR-Tabelle eintragen, aber die können sich ja auch mal ändern. Lassen
> sich im postscreen auch Domains whitelisten?

Nein, sie lassen sich nicht whitelisten. Würde ich auch nicht tun, selbst
wenn es möglich wäre. Bau Dir so ein Skript.

p@rick


--
[*] sys4 AG
 
https://sys4.de, +49 (89) 30 90 46 64
Schleißheimer Straße 26/MG,80333 München
 
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein
 
Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: Postscreen Whitelisting mit Domainnamen anstatt CIDR

Joachim Fahrner
Hallo Patrick,

Am 2016-12-12 09:37, schrieb Patrick Ben Koetter:
> Besser ist, Du baust Dir ein Skript mit dem Du regelmäßig die
> SPF-Records der
> Domain abfrägst. Da steht drin von wo sie legitim kommen:
>
> $ dig TXT gmx.net +short
> "v=spf1 ip4:213.165.64.0/23 ip4:74.208.5.64/26 ip4:212.227.126.128/25
> ip4:212.227.15.0/25 ip4:212.227.17.0/27 ip4:74.208.4.192/26
> ip4:82.165.159.0/24 ip4:217.72.207.0/27 -all"
> "google-site-verification=J0NZ2F6kdhXzsguHSKZTm3CWujnrImftkDG3zhz14g0"

Die Idee mit dem SPF hatte ich ja auch schon, leider hat 1&1 da Mist
gebaut. Der SPF-Record für gmx.de enthält z.B. auch die Adressen von
mout.kundenserver.de, und von da kommt der meiste Müll. Das ist der
Mailserver von den 1&1 Webhosting-Paketen.

Ich mach mir jetzt ein Script, welches die DNS-Records von mout.gmx.net
ausliest.

MfG
Jochen

Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: Postscreen Whitelisting mit Domainnamen anstatt CIDR

Alex JOST
In reply to this post by Patrick Ben Koetter-2
Am 12.12.2016 um 09:37 schrieb Patrick Ben Koetter:
>> CIDR-Tabelle eintragen, aber die können sich ja auch mal ändern. Lassen
>> sich im postscreen auch Domains whitelisten?
>
> Nein, sie lassen sich nicht whitelisten. Würde ich auch nicht tun, selbst
> wenn es möglich wäre. Bau Dir so ein Skript.

Postwhite von Steve Jenkins sollte das können:

   https://github.com/stevejenkins/postwhite

--
Alex JOST
Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: Postscreen Whitelisting mit Domainnamen anstatt CIDR

Joachim Fahrner
Am 12.12.2016 um 11:28 schrieb Alex JOST:
>
> Postwhite von Steve Jenkins sollte das können:
>
>    https://github.com/stevejenkins/postwhite
>

Danke für den Tip. Hört sich interessant an.



--
Mit besten Grüßen
Jochen Fahrner

Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: Postscreen Whitelisting mit Domainnamen anstatt CIDR

Joachim Fahrner
In reply to this post by Alex JOST
Am 12.12.2016 um 11:28 schrieb Alex JOST:
> Postwhite von Steve Jenkins sollte das können:
>    https://github.com/stevejenkins/postwhite
>

Hab mir das Tool grad mal installiert. Klappt gut. Damit kann man ein
aggressives Blacklisting betreiben, ohne sich die Mails von großen
Providern zu blocken. Wobei GMX eine Spezialbehandlung braucht, da die
alle 1&1 Domains im SPF in einen Topf werfen und man den ganzen
kundenserver.de Müll whitelisten würde.

In dem postwhite ist per Default eine Domain enthalten bei der das
Script einen Fehler ausspuckt: sparkpostmail.com.

Da versagt das Tool despf.sh und spuckt ein
"exists:%{i}._spf.sparkpostmail.com" aus. Hat da das Tool eine Schwäche,
oder ist der SPF-Eintrag von sparkpostmail.com kaputt?

(stört mich nicht weiter, ich brauche die Domain nicht. Ist nur
interressehalber)

--
Mit besten Grüßen
Jochen Fahrner


Loading...