[postfix-users] Sender-Pruefungen

classic Classic list List threaded Threaded
2 messages Options
Reply | Threaded
Open this post in threaded view
|

[postfix-users] Sender-Pruefungen

Margrit Lottmann
...frueher ...hatten wir einen Kaiser...Scherz...
            aber auch: (in exim) eine strenge Senderpruefung
                zumindest fuer Adressen aus unserem Adressraum (unsere
                Domains...nur wer gelistet war, durfte senden

...jetzt machen wir nur normale Sender-Verifys...d.h. Domain
    muss existieren...reject_unlisted_sender habe ich wieder
    ausdokumentiert...da wir den ganzen Wildwuchs auf unseren
    Uni-Webserervern eh' nicht bewaeltigen koennten...Unser Chef
    sieht das so...dass wir die Freiheit der Wissenschaft
    sichern muessen...mehr dazu nicht...sonst aergere ich mich am fruehen
    Morgen...

...aber:  mal wieder rollt eine Welle von Password-Fischern ueber uns
           hinweg ...von aussen (also nicht aus unserem Netz und bei den
           Adressen der Absender stimmt nur die Domain...)

   Lohnt es, Regeln einzubauen, die zumindest fuer die Aussenwelt
   Sender-Checks wieder "genauer" durchfuehrt ...und wie mache ich das
   dann  ??? Gibt es bedingte Checks der Form
     wenn nicht aus unserem Netz dann reject_unlisted_sender

???
   Lohnt es  ueberhaupt, so was auszudenken ??? Es ist ja nicht so
  schwer, richtige Adresse zu finden ...

--

MfG Margrit Lottmann

Otto-von-Guericke-Universitaet Magdeburg
Abt. Anwendungen

Tel.: 0391 67 58572  Fax:  0391 67 11134
_______________________________________________
postfix-users mailing list
[hidden email]
http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
Reply | Threaded
Open this post in threaded view
|

Re: [postfix-users] Sender-Pruefungen

Robert Schetterer
Am 25.09.2012 10:18, schrieb Margrit Lottmann:

> ...frueher ...hatten wir einen Kaiser...Scherz...
>            aber auch: (in exim) eine strenge Senderpruefung
>                zumindest fuer Adressen aus unserem Adressraum (unsere
>                Domains...nur wer gelistet war, durfte senden
>
> ...jetzt machen wir nur normale Sender-Verifys...d.h. Domain
>    muss existieren...reject_unlisted_sender habe ich wieder
>    ausdokumentiert...da wir den ganzen Wildwuchs auf unseren
>    Uni-Webserervern eh' nicht bewaeltigen koennten...Unser Chef
>    sieht das so...dass wir die Freiheit der Wissenschaft
>    sichern muessen...mehr dazu nicht...sonst aergere ich mich am fruehen
>    Morgen...
>
> ...aber:  mal wieder rollt eine Welle von Password-Fischern ueber uns
>           hinweg ...von aussen (also nicht aus unserem Netz und bei den
>           Adressen der Absender stimmt nur die Domain...)
>
>   Lohnt es, Regeln einzubauen, die zumindest fuer die Aussenwelt
>   Sender-Checks wieder "genauer" durchfuehrt ...und wie mache ich das
>   dann  ??? Gibt es bedingte Checks der Form
>     wenn nicht aus unserem Netz dann reject_unlisted_sender
>
> ???
>   Lohnt es  ueberhaupt, so was auszudenken ??? Es ist ja nicht so
>  schwer, richtige Adresse zu finden ...
>

nun Adressen werden meist auf webseiten oder gehackten Rechnern
in den Adressbuechern gefunden in diesem Fall lohnt es kaum sich
darueber Gedanken zu machen, das kannst du nicht verhindern


http://www.postfix.org/ADDRESS_VERIFICATION_README.html#sender_always

externe sender verification wuerde ich nicht empfehlen,
oder wenn dann nur selektiv, die Absender sind oft gefaelscht du nervst
damit nur Unschuldige die dich vieleicht deshalb sperren, bzw es
funktioniert gar nicht weil die greylisting etc benutzen

ansonsten kannst du natuerlich eine sender verification per policy
auch an zb andere server in deinem Netz machen, wenn du zb fuer die nach
draussen relayen willst etc, dazu muesste man aber mal das ganze setup sehen

reject_unlisted_sender
hat mit dem eigentlichen external sender verify erstmal nichts zu tun

http://www.postfix.org/postconf.5.html#smtpd_reject_unlisted_sender

reject_unlisted_sender
    Reject the request when the MAIL FROM address is not listed in the
list of valid recipients for its domain class


reject_unlisted_recipient (with Postfix version 2.0: check_recipient_maps)
    Reject the request when the RCPT TO address is not listed in the
list of valid recipients for its domain class. See the

das kann man bedenkenlos einsetzen, wenn es zum setup passt

reject_unknown_sender_domain
    Reject the request when Postfix is not final destination for the
sender address, and the MAIL FROM domain has 1) no DNS A or MX record,
or 2) a malformed MX record such as a record with a zero-length MX
hostname (Postfix version 2.3 and later).

ist ebenfalls haeufig, wenn man sich auf sein dns verlassen kann
kann man auch den reject code aendern, achtung bei internen domains etc
will man das vieleicht nicht

ein vernuenftig aufgesetzes Mail behindert niemanden, das Gegenteil
belaestigt aber viele und du stehst in der Gefahr irgendwo gesperrt zu
werden , die Argumente deines Chefs sind voelliger Unfug
--
Best Regards
MfG Robert Schetterer
_______________________________________________
postfix-users mailing list
[hidden email]
http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users