SMTP mit wechselnder ipv6-Adresse

[007sascha]

Hallo zusammen,
ich hatte in letzter Zeit immer mehr Problme mit Mailservern die bei mir versuchen mit wechselnden ipv6 Adressen durch mein postgrey-Filter zu kommen. Habe jetzt erstmal ipv6 Adressen von postgrey ausgenommen. Natürlich kann man auch bei ipv6 nur noch auf ein größeres Prefix filtern, jedoch ist der z.B. bei google sehr groß.
Für mich stellt sich die Frage warum dies mache Mailserver überhaupt machen und ob die legitim ist? Dieses Verhalten macht doch nur bei Spammern Sinn um DNS-Blocklisten zu umgehen?!
Es geht ja auch nicht um verschiedene Mails was kein Problem wäre, sondern immer um die selben Mails.
Gruß Sascha

 

[007sascha]

Habe mein Logfile etwas genauer untersucht. Das Verhalten bringt bisher nur google und strato zustande, zumindest lief bisher nicht mehr bei mir rein.

 

[rolapp]

Das ist bei anderen großen Hostern auch so. Ich habe die Adressen die mir wichtig sind in die Whitelist geschrieben.
Das ist halt so.

 

[007sascha]

Kannst du deine Whitlisteinträge veröffentlichen oder mir per PM zuschicken?
Trotzdem stellt sich für mich die Frage nach dem WARUM, das sei eben so ist doch keine Erklärung.
Wenn ich eine ipv4 Adresspool habe wechsle ich ja auch nicht durch, oder gibt es das auch?

 

[rolapp]

Warum die das machen kann ich Dir auch nicht sagen?
Die Whitelist findest Du unter /etc/postgrey/whitelist_clients, einfach die Server von google usw ergänzen und postgrey neustarten.

 

[danton]

Trotzdem stellt sich für mich die Frage nach dem WARUM, das sei eben so ist doch keine Erklärung.

Das ist recht einfach und betrifft besonders größere Anbieter. Diese haben nämlich nicht nur einen Mail-Server, sondern mehrere und i.d.R. als Load-Balancing Cluster - d.h. ausgehende Mails gehen über unterschiedliche Server raus und haben dann natürlich auch unterschiedliche IP-Adressen (gilt sowohl für IPv4 als auch IPv6).
Das Stichwort ist übrigens Whitelisting und wurde auch bereits genannt. Ich nutze sqlgrey (ist ein Fork von postgrey) und da wird schon eine recht brauchbare Liste mitgeliefert - und die kannst du dann um deine persönlichen Belange ergänzen.

 

[007sascha]

Danke für die Erklärung. Dass der Versand über mehrere Server verläuft war mir klar. Mir war jedoch nicht bewusst dass die Mails nachdem sie in der Mail Query gelandet sind noch zwischen den Servern getauscht werden. Nun gut wenn dem so ist, bleibt nur das Whitelistung.
Wie dieses funktioniert ist auch nicht das Thema, die Frage war dahingehend was ihr in euerer erweiterten ipv6 whiteliste stehen habt. Bei mir wäre dies momentan nur Google und Strato.
Habt ihr die whitelist für den Netzbereich oder die Domain?

Ein recht guten Überblick der ipv6 "Problem-Server" bekomme ich über die zusammengebastelte Suchfunktion: (nicht die mehrfachen Anfragen sondern die Einzelnen sind interessant )

cat /var/log/maillog | egrep -e '^[[:print:]]+ postfix/smtpd\[[[:digit:]]+\]: NOQUEUE: reject: RCPT from [[:print:]]+\[[[:alnum:]]+:[[:alnum:]|:]+\]: [[:print:]]+ Greylisted for 300 seconds' | sed -e "s/[^>]*NOQUEUE: reject: RCPT from //g" |sort |uniq -c |sort -n

 

[danton]

Ich whiteliste nach Name, das wirkt sich dann bei IPv4 und IPv6 aus. Große Hoster, von deren Mailservern man des öfteren Mail bekommt, kann man fürs Greylisting ruhig in die Whitelist aufnehmen (also die Mail-Server und nicht die Domain der E-Mail-Adresse, die kann ja anders lauten) - da schützt Greylisting ohnehin nix. Ermitteln kann man diese ja recht einfach, indem mal bei ein paar Mails in sienem Postfach sich einfach mal die Header-Zeilen anschaut und versucht, daraus das Namenschema zu erkennen.

 

[rolapp]

Zu dem Thema fällt mir gearade etwas anderes ein, gibt es eine Möglichkeit die Postgrey Datenbank auszuwerten. Das ist Berkleys-DB Format oder so. ähnlich vom Namen. Da stehen doch die Absender drin, die zum zweiten mal gesendet haben. Automatische Withelist von Postgrey.

 

[nexus]

Man kann das Ganze auch noch weiter optimieren...Stichwort: selektives Greylisting
Guckst du z.B. hier --> http://spielwiese.la-evento.com/xelasblog/archives/59-Selektives-Greylisting-mit-Postgrey.html

 

[007sascha]

Habe schon postfwd am laufen, das bietet meiner Meinung nach die einfachsten Erweiterungen und meisten Möglichkeiten. Bis zum Greylisting schafen es eh die wenigsten Spamer Vor allem die Gewichtung und Bewertung der einzelnen Maßnahmen sind sehr hilfreich um "kleine Fehler" der Mailserver nicht sofort zu bestrafen. Ein Fehler ist ein Versehen, zwei jedoch Vorsatz der mit der Abweisung bestraft wird Für die Punktesammler will ich demnächst noch tarpitting in meine Aktionen aufnehmen.