[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: Mailserver, MX-Record und Firewalls
[Thread Prev] | [Thread Next]
- Subject: Re: Mailserver, MX-Record und Firewalls
- From: Marc Haber <mh+uugrn@xxxxxxxxxxxx>
- Date: Thu, 4 Aug 2005 19:53:14 +0200
- To: uugrn@xxxxxxxxxxxxxxx
On Thu, Aug 04, 2005 at 07:16:00PM +0200, Markus Hochholdinger wrote: > ich habe gehofft dass Du auch etwas dazu schreibst :-) Ich vermutete sowas. War die letzten Tage im Norden, und per Modem und ssh Mails schreiben nervt, wenn im Hintergrund noch ein News-Poll laeuft. Deswegen die Verzoegerung. > Am Donnerstag, 4. August 2005 18:11 schrieb Marc Haber: > > On Tue, Aug 02, 2005 at 05:18:57PM +0200, Markus Hochholdinger wrote: > > Die RFCs kommen aus einer Zeit vor Spamfiltern und beruecksichtigen das > > nicht. Es ist allerdings IIRC auch nirgendwo festgeschrieben, dass man > > alle Mail annehmen muss. > > OK, das stimmt natuerlich. Ich habe mir halt nur ueberlegt ob es irgendwelche > Regelungen (RFC) gibt, die soetwas vorschreiben. Soweit ich weiss muss ein > Mail-Server aber, NACHDEM er die E-Mail angenommen hat, auch korrekt > zustellen. Ja, das stimmt. > Deswegen dachte ich es koennte auch eine Regelung geben, was VOR > dem Annehmen zu passieren hat, z.B. Fehlerbehandlung. 200, 400 oder 500. Andere Auswahl hat man nach SMTP nicht. > Sehr unschoen finde ich aufjedenfall auf toten Mann zu machen > (TCP/IP-Verbindung unterbrechen). Schoener waere es doch die Gegenstelle sagt > (SMTP-Error), was los ist. Da ist vermutlich eine Blackbox-Firewall davor, die auch noch Spamfilterfunktionen behauptet zu haben. Und wenn die nur auf die Leitung gucken kann, kann sie nix anderes als in beide Richtungen ein RST verschicken. Oder es ist ein IDS auf Steroiden. Krank, dass man sowas kaufen kann. > > Der von Dir beschriebene Filter wird in etwa so akkurat sein wie ein > > Filter, der jede zweite eingehende Mail ablehnt. Also in etwa gar nicht. > > Ja, so habe ich auch das Gefuehl. Es gibt ja auch den Ansatz immer die erste > E-Mail von einer IP abzulehnen, und beim zweiten mal anzunehmen und die IP > auf eine whitelist zu setzen. Das Schluesselwort hier ist, den ersten Versuch mit einem _temporaeren_ Fehler (4xx) abzulehnen. > Aber das finde ich auch sehr unschoen und Spam > bzw. Trojaner werden sich auf soetwas wohl bald eingestellt haben. Davon gehe ich auch aus. Es gibt allerdings auch Leute die sagen, dass ein Queueing dem Spammer viel zu langsam sein wird. > > > Hintergrung: Ein Kunde von mir betreibt einen Mailserver fuer ausgehende > > > E-Mails und einen anderen fuer eingehende E-Mails um zum einen die Last zu > > > verteilen und zum anderen den Mailserver fuer eingehende E-Mails speziell > > > fuer Spam und Virenfilterung zu verwenden. > > Der Kunde hat entweder selbst clue oder einen guten Berater. Die > > Konstellation ist ausserordentlich sinnvoll. > > :-) Ich habe diese Konstellation meinem Kunden empfohlen und auch > umgesetzt. :-) Danke. Das hatte ich vermutet. > Und jetzt war ich natuerlich verunsichert ob ich das richtige empfohlen habe. Hast Du. Mit dem damit verbundenen Aerger mit hirntoten Gegenstellen. Gluecklicherweise haben typischerweise die "groesseren" Sites alle so ein Setup, so dass die Gegenstelle hier _sehr_ viele false positives erzeugen duerfte. > > > Was fuer Erfahrungen habt ihr bei solch einer Konstellation. > > Ich wuerde die Schuld fuer das Nichtfunktionieren der Mailuebertragung > > auf die ungeeignete Spamfilterheuristik auf der Empfaengerseite > > schieben. Da eben gerade ein MX-Record nicht aussagt, dass nur von > > dieser IP-Adresse Mails _ausgehen_ koennen, hat man SPF, DomainKeys, > > RMX und Konsorten entwickelt (die ich nebenbei ebenfalls allesamt fuer > > Rohrkrepierer halte). > > Ja, ich bin jetzt dabei mir diese Geschichten mit SPF usw. genauer > anzuschauen. Es wird wahrscheinlich darauf hinaus laufen, dass man seinen DNS > entsprechend konfigurieren muss und sich bei tausend Stellen registrieren > muss, irgendwelche Schluessel beantragen muss usw. Sprich, ziemlich viel > Verwaltungsaufand. Das gefaellt mir ganz und gar nicht. Das ist es nichtmal. Es zerbrechen seit Jahren funktionierende und wichtige Mechanismen wie Mailforward (automatisch oder manuell) und Mailinglisten. Gruesse Marc -- ----------------------------------------------------------------------------- Marc Haber | "I don't trust Computers. They | Mailadresse im Header Mannheim, Germany | lose things." Winona Ryder | Fon: *49 621 72739834 Nordisch by Nature | How to make an American Quilt | Fax: *49 621 72739835