Neueinrichtung DNS für mein LAN mit DYNDNSDomain ...
Florian Lohoff
flo at rfc822.org
Fri Feb 20 15:00:16 CET 2004
On Fri, Feb 20, 2004 at 01:05:25PM +0100, Stefan Ulrich Hegner wrote:
> From: Stefan Ulrich Hegner <stefan at hegner-online.de>
> Hi Flo,
>
> Am Fr, den 20.02.2004 schrieb Florian Lohoff um 12:27:
> > Ich nehme u.a. auch keine mail an von hosts bei denen forward und
> > reverse DNS nicht zusammenpasst - Verhindert 95% des Spams aus
> > Suedostasien.
>
> Na klasse. D.h. ich habe eigentlich nur die Chance über die Liste mit
> Dir zu kommunizieren, oder ich
> - muss einen ISP finden, der mir die Möglichkeit gibt für Reverse-DNS
> ein Zone-Update durchzuführen
Nein - Wenn du ueber dynamisch zugewiesene ip addressen kommst solltest
du tunlichst die relays deines ISP benutzen - Dafuer sind diese da.
Du scheinst das aber noch nicht zu begreifen - Das DNS auf Dynamischen
ip pools passt doch wenn du bei einem provider bist der sein Handwerk
beherrscht.
flo at touch:~$ host 217.185.4.55
Name: frbg-d9b90437.pool.mediaWays.net
Address: 217.185.4.55
flo at touch:~$ host frbg-d9b90437.pool.mediaWays.net
frbg-d9b90437.pool.mediaWays.net A 217.185.4.55
Den "Helo" zu ueberpruefen ist laut RFC nicht zulaessig (vgl RFC2821)
> - muss mir einen ISP suchen, der mir eine statische IP gibt
Das ist eine alternative.
> Es muss doch eine Möglichkeit geben, dass halbwegs sauber zu lösen, so
> dass jemand der einen "normalen" dynIP dial-up Zugang hat mit einem
> lokalen Postfix vernünftig Mails verschickern kann, die den Regelen
> einer "best practice" (wie auch immer die aussieht) entsprechen.
Dynip ist nicht zum Serverbetrieb und wird es nie sein. Deshalb bekommen
server auch ihre ip addresse im LAN nicht via DHCP sonder nur die
Clients.
> Meine Mails direkt vom MUA per SMTP an den Provider-Relay schicken find'
> ich ist auch keine wirklich sinnvolle Lösung ... wofür hat man denn
> seinen Postfix eingerichtet?
Das ist sinnvoll und so gedacht. Der soll doch dann die retrys machen
bei temporaeren fehlern und dir dann ggfs. die bounces zustellen. Was
ist bitte der mehrwert von lokaler queue auf einer dynamischen ip
addresse. Wenn du einen schon einen lokalen mailserver haben must -
Warum nicht via smarthost an deinen ISP ?
> Also ich will hier wirklich nicht 'rumflamen ... aber ich bekomme den
> Eindruck (ohne Dir persönlich zu Nahe zu treten wollen), dass Du einen
> paranoid konfigurierten Mail-Server hast ... (und das kann für Deinen
> Bedarf ja auch Sinn machen)
Yep - Paranoid ist der bestimmt - Aber in weiten teilen absolut
regelkonform. Das einzige was ich ablehne was nicht RFC konform ist wenn
kein oder kaputtes fwd/rev dns da ist.
Und ich nehme keine gefangenen - Wer die kiste nicht im griff hat soll
moeglichst schnell auf die nase fallen. So mancher ist bei mir auch erst
im filter gelandet weil er bei hoeflichem hinweise auf eine fehlkonfiguration
frech geworden ist.
> Bis Sonntag war mir nicht mal bewusst, dass ich alle meine Mails mit
> einem ungültigen envelope-from verschickert habe. - Und trotzdem (oder
> Gott sei Dank) sind 99.9% meiner Mails an Ihrem Bestimmungsort
> angekommen.
Aber ggfs. nicht die bounces - Denn nach dem envelope wird gebounced.
> Ich wette mal, es gibt da draußen tausende von Computer-Kids,
> Möchtegern-Admins und anderen Hohlköpfen die sich über sowas nicht mal
> Gedanken machen (und deren Mails i.d.R. auch irgendwie ankommen - außer
> Mails an Dich). Ich versuche mich von dieser "Masse" dadurch abzuheben,
> dass ich mich darum bemühe, zu lernen, zu verstehen und mein System
> besser zu machen. ... Aber das ist bei mir Hobby!
Ich zaehle dich jetzt mal zu den 2teren - Denn wenn dir nicht einmal
bewusst ist das du mit einem kaputten envelope schickst ...
> Bisher dachte ich, die ist eine "User"-Group und keine "Hacker und Admin
> freaking Group" ...
Ist es - Ich halte es bloss fuer wichtig das hier auch ein wenig
hintergrund vermittelt wird. Wofuer IP eigentlich steht und das NAT ein
kaputtes dreckiges konzept ist. Weiter fehler der geschichte sind ETRN,
dynip, multidrop pop3 und u.a. auch mailserver an dynamischen ip addressen.
Als referenz - so sieht meine postfix config aus ...
smtpd_sender_restrictions =
reject_non_fqdn_sender,
reject_unknown_address
Hier lehne ich sender ab die non-FQDN sind und nehme keine mails an von
hosts deren dns nicht passt.
smtpd_recipient_restrictions =
permit_mynetworks,
reject_unauth_destination,
check_recipient_access hash:/etc/postfix/recipient_access,
reject_non_fqdn_recipient,
check_sender_access hash:/etc/postfix/sender_access,
check_client_access hash:/etc/postfix/client_access,
reject_rhsbl_client dsn.rfc-ignorant.org,
reject_rhsbl_client postmaster.rfc-ignorant.org,
reject_rhsbl_client bogusmx.rfc-ignorant.org,
reject_rbl_client relays.ordb.org,
reject_unknown_sender_domain
Damit lehne ich ab was nicht FQDN ist d.h. nur mails an "flo" nehme ich
nicht an. Weiter lehne ich ab was rfc-ignorant.org liestet als domain
die kaputte MXe hat, keinen postmaster account oder keine bounces
zulaesst. Dazu noch alles was ueber offene relays kommt oder deren
envelope nicht resolved.
Fuer die mal RFCs lesen - "recipient_access" listet natuerlich den
bounce <> und postmaster da diese laut RFC auch non-FQDN angenommen
werden muessen.
sender und client_access sind mehr oder minder ausnahmeliste fuer die
nachfolgenden regeln. U.a. packe ich da aber auch domains rein von denen
nur spam kommt oder aber im client_access liste ich ganze class-c dialup
ranges die wiederholt bei mir spammen.
z.b. sowas:
202.109.97 550 20030428 contact flo at rfc822.org Spam source
203.15.67 550 20030428 contact flo at rfc822.org Spam source
203.26.226 550 20030428 contact flo at rfc822.org Spam source
208.180.250 550 20030428 contact flo at rfc822.org Dialup spam source
209.126.202 550 20030428 contact flo at rfc822.org Spam source
210.83.122 550 20030428 contact flo at rfc822.org Spam source
210.83.8 550 20030428 contact flo at rfc822.org Broken smtp setup
211.148.216 550 20030428 contact flo at rfc822.org Dialup spam source
211.162.44 550 20030428 contact flo at rfc822.org Dialup spam source
211.186.107 550 20030428 contact flo at rfc822.org Spam source
218.104.34 550 20030428 contact flo at rfc822.org Spam source
218.242.165 550 20030428 contact flo at rfc822.org Dialup spam
218.66.211 550 20030428 contact flo at rfc822.org Spam source
Ich nehme da immer ganze Class-Cs in kollektivhaft. Wenn es nachwievor
vernuenftig gepflegte Dialup IP Listen gaebe wuerde ich die komplett
aufnehmen - Leider ist die DUL MAP mittlerweile Kostenpflichtig.
Wenn man sowas baut sollte man in der sender_access sowas zulassen
abuse@ OK
postmaster@ OK
Und sowas sollte man mal ablehnen:
dip.t-dialin.net 550 Dialup domain
t-dialin.net 550 Dialup domain
pool.mediaways.net 550 Dialup domain
client.attbi.com 550 Dialup domain
client.comcast.net 550 Dialup domain
dsl-verizon.net 550 Dialup domain
u-net.net 550 Dialup domain
attbi.com 550 Dialup domain
dyn.optonline.net 550 Dialup domain
comcast.net 550 Dialup domain
Denn es gibt keinen flohoff at t-dialin.net - Das sind reine ip pool domains.
Trotzdem gibt es haufenweise leute die ihre MTAs nicht im griff haben.
BTW: Ich empfehle dir dir mal sachen wie "spf" etc anzusehen. In zukunft wird
das senden von mails von dialup ip addressen weiter schwieriger was bedeuten koennte
das deine mails schneller im SPAM folder landen.
Flo
--
Florian Lohoff flo at rfc822.org +49-171-2280134
Heisenberg may have been here.
-------------- next part --------------
A non-text attachment was scrubbed...
Name: not available
Type: application/pgp-signature
Size: 189 bytes
Desc: not available
URL: <http://lug-owl.de/pipermail/linux/attachments/20040220/fef7c7ef/attachment.sig>
More information about the Linux
mailing list