Securepoint Support Forum

Hallo, gibt es irgendwo fertige Whitelist´s zum Download??
Ich mein wenn ich das Greylisting aktiviere, muss ich dort ja dann auch sämtliche Mailserver eintragen, die über mehrere MXér verfügen damit die Mails nicht verloren gehen, richtig??? allerdings hat ja fast jeder Anbieter von Maildiensten mehrere Mailserver....

Hallo,
nein das greylisting hat nichts mit "verlorenen" Mails zu tun.
Jeder Server, der nicht in der Liste verzeichnet oder bereits automatisch auf der whitelist steht, wird fuer den konfigurierten Zeitraum in eine Warteschleife geschickt.

Beispiel:

1. Mailserver von Provider X macht zum ersten mal eine SMTP-Kommunikation zur Securepoint.
2. Die SP simuliert dem anderen Mailserver einen temporaeren Fehler durch das Greylisting.

Ab hier faengt der eigentliche Greylisting-Sinn an:
Ein Mailserver "versteht" die Nachricht, nimmt die Kommunikation bzw. die Mail in die Wartschlange auf, um es spaeter erneut zu versuchen.
Ein "kleiner" PC, der durch einen Trojaner oder ein Botnetz zum spammen zum Zombie wurde, kann das nicht und wird auch nicht wieder versuchen die Mail zu versenden.

Ergo:
Verschwinden kann damit keine Mail, nur erheblich verzoegert werden, da man auf die Konfiguration des sendenden Mailservers (Providers) angwiesen ist.
Ist dort die Queue voll bis zur Kante und kann bei der Queue-Abarbeitung erst wieder in 4 Stunden "anklopfen" ist das schon fast eine "Snail-Mail", aber beim naechsten Versuch wird die Mail einfach angenommen + gewhitelistet.

Dafuer eine "vorkonfigurierte Whitelist" ist praktisch nicht moeglich, denn jeder Kunde kommuniziert mit anderen Systemen.

Gruss

M.Goeres

nein so ist ja die eine seite der therorie, die andere ist das die mails verschwinden!deswegen frag ich ja nach ner fertigen liste...
beispiel web.de ... das funktioniert bei mir nie ohne whitelist , weil der versendet von server a, dann zieht das greylisting, dann sendet er erneut aber von server b,...quasi greylisting zieht wieder. und das geht immer so weiter bis web.de bevor er wieder beim ersten server anfängt stattdessen den mail versandt abbricht!!! und deswegen hab ich nach ner liste gefragt, für provider die mehrere mxer haben, damit nicht mails verloren gehen !!! aber habe die liste nun eigentlich selber fertig gemacht! quasi alle großen anbieter die man so kennt (von den kommt ja eh eigentlich kein spam bzw. von mail adressen von dem provider, von daher nicht so schlimm) ... und bei den anderen wird sich halt zeigen wies klappt

besser wäre doch gleich ein Reverse-DNS-Lookup auf die sendende Domain, um dort die gültigen MX-Records auszulesen und für den nächsten Versuch der Mail-Zustellung zu erlauben. Setzt aber voraus, dass alle Admin's sich um saubere DNS-Einträge kümmern müssen.
Nur ein Vorschlag ... Evtl. liesst Hr. Hausmann ja mit ;-)

Mhhh....sry den Ansatz verstehe ich nicht.
R-DNS macht doch einen lookup, ob der Name der anfragenden "Maschine", dem entspricht, was im DNS-System "Reverse" zur IP zugewiesen wurde.
Die simpelste Anti-Spam-Variante halt....Name der Maschine kommt.....rueckfrage passt die IP ins DNS-System bzw der A-Record zum PTR-Record......ja = OK...nein = Abbruch

HELO meinserver.domain.tld, sollte heute immer auf zurueck auf die IP aufloesbar sein, wenn man selber Mails ins Internet "blasen" moechte, sonst koennte ja auch jeder seine Mails ueber Dyn-Zugaenge "ablassen".....und dafuer iss das Greylisting.
Jeder der es ueber das Blacklisting geschafft hat, rennt sich da die Nase ein.

Aber wie dann der/die MXer dann noch ins Spiel kommen sollen?
Aus dem Stand kenne ich keine Funktion in Sendmail oder Postfix, die das bewerkstelligen wuerden, denn die MTA's verlassen sich nur auf den eingetragenen DNS-Server und dessen Daten des anfragenden Systems und machen keine Abfrage, wer da fuer die Domain noch kommen koennte, warum auch, die wollen was zusenden!

Beim senden sieht das anders aus, die Blindheit (von statischen Zuordnungen abgesehen) ist zwar gleich, aber da werden dann die anderen MXer nach Prio abgefragt, weil der MTA die Mail loswerden will.

Gruss

M.Goeres

Petasch hat geschrieben: nein so ist ja die eine seite der therorie, die andere ist das die mails verschwinden!deswegen frag ich ja nach ner fertigen liste...
beispiel web.de ... das funktioniert bei mir nie ohne whitelist , weil der versendet von server a, dann zieht das greylisting, dann sendet er erneut aber von server b,...quasi greylisting zieht wieder. und das geht immer so weiter bis web.de bevor er wieder beim ersten server anfängt stattdessen den mail versandt abbricht!!! und deswegen hab ich nach ner liste gefragt, für provider die mehrere mxer haben, damit nicht mails verloren gehen !!! aber habe die liste nun eigentlich selber fertig gemacht! quasi alle großen anbieter die man so kennt (von den kommt ja eh eigentlich kein spam bzw. von mail adressen von dem provider, von daher nicht so schlimm) ... und bei den anderen wird sich halt zeigen wies klappt

Wie krank ist das denn?
Also web.de bekommt als Antwort eine "temporaery Failure" auf dem ersten Server, der die Mail zustellen soll und schickt die mail dann zum naechsten "internen server" und dann zum naechsten etc..... - Spannend.......dann habe ich bisher glueck gehabt....dass iss so krank und am System vorbei.....das geht gar nicht!

Von den grossen Anbietern kein Spam -- Naja also auf SORBS treiben so einige Mailserver von web.dx/freenex.dx/axl.com/axl.de/t-offline.dx etc noch ihr Unwesen bzw. sind gelistet......aber selbst nachdem die Domain-Nutzer (Firmen) Anfragen gestellt haben, kam keine Reaktion - Ausser das SORBS ein komisches System betreibe (wer ist da arrogant?!)

Das hat aber mit Greylisting nix zu tun....die werden direkt per RBL ins "Nirvana" geschickt bzw. abgewiesen....und selbst dann bekommt der Absender eine Benachrichtigung.....ausser der Admin/Spamfilter auf der anderen Seite fischt das weg (alles schon da gewesen und persoenlich erlebt !!!!)

Wie schon geschrieben....wenn das Greylisting Probleme macht, dann eine Verzoegerung....der Rest ist der persoenliche Senf/Mist des Providers und muss dann manuell, wei bei Dir/Ihnen "begradigt" werden.

Gruss

M.Goeres

M Goeres hat geschrieben: R-DNS macht doch einen lookup, ob der Name der anfragenden "Maschine", dem entspricht, was im DNS-System "Reverse" zur IP zugewiesen wurde.

Sorry, evtl. hab ich mich ja missverständlich ausgedrückt und hab den Thread auch nicht von Anfang gelesen.
Ich meinte, dass man statt nur einer IP eben eine Liste aller MX-Einträge der Sende-Domain greylisten könnte. Und die krieg ich doch nach dem R-DNS-Lookup mit einer MX-Abfrage der Domain der Absender-eMail-Adresse.
Wird zwar etwas mehr Zeit in Anspruch nehmen, aber bis zum nächsten Zustellversuch sollte das doch gehen.

@m goeres ...
also das mit dem web.de ist nur so mein gedanke, weil ich mit einer verzögerung z.b. von nur 2 min noch nie eine mail von web de bekommen habe wenn ich das greylisting an hatte ... es kommt stattdessen immer nur ein mailer deamon ... bei gmx beispielsweise klappts einwandfrei ... und da web.de 4 mxer hat, und gmx nur einen ist das für mich die einzigste erklärung wie das zu stande kommt das problem , ...

@petasch: Was fuer ein Mailer-Daemon denn? - Failure, Deferred oder was kommt da? - Nicht jede Message ist ein Fehler...und auch web.de sollte nicht ping pong mit mails spielen.

@kuehleisit: Ehhh noe...R-DNS macht wie schon beschrieben nur einen lookup auf den Namen des anfragenden Systems und ob der auf die anfragende IP resolved.

Um die MXer zu bekommen sieht die Welt eben anders aus:
Bei Windoof nslookup -q=mx domain.tld

bzw. schneller und informativer unter linux:

dig domain.tld mx

Und letzteres machen die MTAs (ueber die resolver-lib) nur, wenn eine Mail versendet werden soll.

Gruss

M.Goeres

Maybe zum besseren Verstaendnis:

---schnipp

C:\\>nslookup -q=mx web.de
Server: xxxxx
Address: xxxxx

Nicht autorisierte Antwort:
web.de MX preference = 100, mail exchanger = mx-ha01.web.de
web.de MX preference = 110, mail exchanger = mx-ha02.web.de

web.de nameserver = nsx2.web.de
web.de nameserver = nsx1.web.de

C:\\>ping mx-ha01.web.de
Ping mx-ha01.web.de [217.72.192.149] mit 32 Bytes Daten:
Antwort von 217.72.192.149: Bytes=32 Zeit=19ms TTL=55

Und nun Reverse:

C:\\>nslookup -q=ptr 149.192.72.217.in-addr.arpa
Server: xxxxx
Address: xxxxx

Nicht autorisierte Antwort:
149.192.72.217.in-addr.arpa name = mx-ha01.web.de

192.72.217.in-addr.arpa nameserver = nsx2.web.de
192.72.217.in-addr.arpa nameserver = nsx1.web.de

--schnapp

Wie gesagt Reverse ist nur die IP auf den Namen....und hat mit Service-Records nix zu tun.

Gruss

M.Goeres