Re: Mailserver, MX-Record und Firewalls

Autor: Marc Haber <mh+uugrn_at_zugschlus.de>
Datum: 04.08.2005
On Thu, Aug 04, 2005 at 07:16:00PM +0200, Markus Hochholdinger wrote:
> ich habe gehofft dass Du auch etwas dazu schreibst :-)

Ich vermutete sowas. War die letzten Tage im Norden, und per Modem und
ssh Mails schreiben nervt, wenn im Hintergrund noch ein News-Poll
läuft. Deswegen die Verzögerung.

> Am Donnerstag, 4. August 2005 18:11 schrieb Marc Haber:
> > On Tue, Aug 02, 2005 at 05:18:57PM +0200, Markus Hochholdinger wrote:
> > Die RFCs kommen aus einer Zeit vor Spamfiltern und berücksichtigen das
> > nicht. Es ist allerdings IIRC auch nirgendwo festgeschrieben, dass man
> > alle Mail annehmen muss.
> 
> OK, das stimmt natürlich. Ich habe mir halt nur überlegt ob es irgendwelche 
> Regelungen (RFC) gibt, die soetwas vorschreiben. Soweit ich weiss muss ein 
> Mail-Server aber, NACHDEM er die E-Mail angenommen hat, auch korrekt 
> zustellen.

Ja, das stimmt.

> Deswegen dachte ich es könnte auch eine Regelung geben, was VOR 
> dem Annehmen zu passieren hat, z.B. Fehlerbehandlung.

200, 400 oder 500. Andere Auswahl hat man nach SMTP nicht.

> Sehr unschön finde ich aufjedenfall auf toten Mann zu machen 
> (TCP/IP-Verbindung unterbrechen). Schöner wäre es doch die Gegenstelle sagt 
> (SMTP-Error), was los ist.

Da ist vermutlich eine Blackbox-Firewall davor, die auch noch
Spamfilterfunktionen behauptet zu haben. Und wenn die nur auf die
Leitung gucken kann, kann sie nix anderes als in beide Richtungen ein
RST verschicken. Oder es ist ein IDS auf Steroiden.

Krank, dass man sowas kaufen kann.

> > Der von Dir beschriebene Filter wird in etwa so akkurat sein wie ein
> > Filter, der jede zweite eingehende Mail ablehnt. Also in etwa gar nicht.
> 
> Ja, so habe ich auch das Gefühl. Es gibt ja auch den Ansatz immer die erste 
> E-Mail von einer IP abzulehnen, und beim zweiten mal anzunehmen und die IP 
> auf eine whitelist zu setzen.

Das Schlüsselwort hier ist, den ersten Versuch mit einem _temporären_
Fehler (4xx) abzulehnen.

> Aber das finde ich auch sehr unschön und Spam 
> bzw. Trojaner werden sich auf soetwas wohl bald eingestellt haben.

Davon gehe ich auch aus. Es gibt allerdings auch Leute die sagen, dass
ein Queueing dem Spammer viel zu langsam sein wird.

> > > Hintergrung: Ein Kunde von mir betreibt einen Mailserver für ausgehende
> > > E-Mails und einen anderen für eingehende E-Mails um zum einen die Last zu
> > > verteilen und zum anderen den Mailserver für eingehende E-Mails speziell
> > > für Spam und Virenfilterung zu verwenden.
> > Der Kunde hat entweder selbst clue oder einen guten Berater. Die
> > Konstellation ist ausserordentlich sinnvoll.
> 
> :-) Ich habe diese Konstellation meinem Kunden empfohlen und auch 
> umgesetzt. :-) Danke.

Das hatte ich vermutet.

> Und jetzt war ich natürlich verunsichert ob ich das richtige empfohlen habe.

Hast Du. Mit dem damit verbundenen Ärger mit hirntoten Gegenstellen.
Glücklicherweise haben typischerweise die "größeren" Sites alle so ein
Setup, so dass die Gegenstelle hier _sehr_ viele false positives
erzeugen dürfte.

> > > Was für Erfahrungen habt ihr bei solch einer Konstellation.
> > Ich würde die Schuld für das Nichtfunktionieren der Mailübertragung
> > auf die ungeeignete Spamfilterheuristik auf der Empfängerseite
> > schieben. Da eben gerade ein MX-Record nicht aussagt, dass nur von
> > dieser IP-Adresse Mails _ausgehen_ können, hat man SPF, DomainKeys,
> > RMX und Konsorten entwickelt (die ich nebenbei ebenfalls allesamt für
> > Rohrkrepierer halte).
> 
> Ja, ich bin jetzt dabei mir diese Geschichten mit SPF usw. genauer 
> anzuschauen. Es wird wahrscheinlich darauf hinaus laufen, dass man seinen DNS 
> entsprechend konfigurieren muss und sich bei tausend Stellen registrieren 
> muss, irgendwelche Schlüssel beantragen muss usw. Sprich, ziemlich viel 
> Verwaltungsaufand. Das gefällt mir ganz und gar nicht.

Das ist es nichtmal. Es zerbrechen seit Jahren funktionierende und
wichtige Mechanismen wie Mailforward (automatisch oder manuell) und
Mailinglisten.

Grüße
Marc

-- 
-----------------------------------------------------------------------------
Marc Haber         | "I don't trust Computers. They | Mailadresse im Header
Mannheim, Germany  |  lose things."    Winona Ryder | Fon: *49 621 72739834
Nordisch by Nature |  How to make an American Quilt | Fax: *49 621 72739835
Received on Thu Aug 4 19:54:12 2005

Dieses Archiv wurde generiert von hypermail 2.1.8.
Zurück zur UUGRN-Homepage.