Erweitern der Regular Expressions durch Validitätsprüfung des Absenders

Erweitern der Regular Expressions durch Validitätsprüfung des Absenders

Die 4 PTR-Regeln sind ein netter Anfang, aber der Kreativität der Namensvergabe für Hostnamen sind ja keine Grenzen gesetzt – aber wir wollen sie ja alle erwischen.

Als Hilfsmittel haben wir im Postfix „warn_if_reject reject_unverified_sender“ aktiviert – und diese Einstellung liefert uns vor allem wertvolle Informationen über Spammer. Postfix überprüft dabei in Echtzeit, ob der zu der angegebenen FROM-Adresse gültige Mailserver eine Mail an diese Adresse annehmen würde. Schlägt das fehl, wird eine entsprechende Warnung mit der Antwort des sendenden Servers protokolliert. Das sind dann logischerweise 4xx und 5xx Antworten. Da Greylisting 4xx liefert, sind diese Antworten (wie alle Temporären Fehler) wenig hilfreich – die brauchen wir uns für unseren Zweck nicht anzusehen.
[divider height=“5″ line=“1″]

Werbung

[divider height=“3″ line=“1″]
Schauen wir also mal in unser Maillog gezielt nach den nicht-4xx Reject-warnings mit:

grep reject_warning /logpfad/maillog|grep -v "said: 4"|less

Das |less danach brauchen wir für einen kleinen Trick um es übersichtlicher zu gestalten.

Die Abfrage liefert den üblichen Wust an Informationen, aber wenn man jetzt die Pfeiltaste rechts drückt, stehen die sendenden Hostnames schön übersichtlich untereinander.

Hier mal ein Auschnitt – vorne und hinten um unwesentliches gekürzt:

.. sd-21114.dedibox.fr[88.191.120.111]: 450 4.1.7 <dringenddadic@freenet.de>: Sender address rejected: u..
.. agsb-4d04003c.pool.mediaWays.net[77.4.0.60]: 450 4.1.7 <qiubekagih7630@mediaWays.net>: Sender address..
.. cpc2-dumb1-0-0-cust1492.uddi.cable.virginmedia.com[82.40.109.213]: 450 4.1.7 <oguaywam8989@virginmedi..
.. kiel-4dbed0a8.pool.mediaways.net[77.190.208.168]: 450 4.1.7 <xycerayty4558@mediaWays.net>: Sender add..
.. mpe-10-62.mpe.lv[83.241.10.62]: 450 4.1.7 <upheldv@gomutur.com>: Sender address rejected: unverified ..
.. athedsl-371488.home.otenet.gr[79.131.3.30]: 450 4.1.7 <foyakeosib1873@otenet.gr>: Sender address reje..
.. mxpool19.ebay.com[66.135.197.25]: 450 4.1.7 <member@ebay.de>: Sender address rejected: unverified add..

Der Mailserver erklärt zwar dem Sender das der Absender einer Prüfung nicht standhält, aber dennoch ist dies kein Ausschlußkriterium. Aber liefert uns eine schöne Steilvorlage für neue Regular expressions auf den senden host (PTR).

Die letzte Zeile find ich wichtig, denn dies ist einer der Gründe warum man diese Prüfung nicht zum rejecten verwenden kann: Ebays Mailsystem-Absender ist eine Adresse, an die man nicht senden kann – der sendende Host ist Valide und sollte natürlich nicht geblockt werden. Da viele Web-Basierende Systeme mails mit noreply-Adressen versenden gilt das natürlich auch analog zu den genannten ebay-Mails.
[divider height=“5″ line=“1″]

Werbung

[divider height=“3″ line=“1″]
Aber die ganzen mediaways (groß/kleinschreibung unterschiedlich!) / cable.virginmedia / home.otenet.gr  usw. sind typische dynamische IPs und darauf kann man wunderbare Regular Expressions erstellen und jegliche Kommunikation im Keim ersticken.

Wenn man was nicht ersticken will, kann man noch mal im Abschnitt „Vermeiden von falschen Positiverkennungen“ nachschauen wie das ganze Szenario für Positiverkennung genutzt werden kann.
[divider height=“5″ line=“1″]

Werbung

[divider height=“3″ line=“1″]

Du musst angemeldet sein, um einen Kommentar abzugeben.