[LUGA] Mit freundlicher Unterstützung von:
init.at

Mail Thread Index


[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [luga] Greylisting



On 2007-03-30 14:31:28 +0200, Michael Demelbauer wrote:
> Ich scheine heute meinen ideenreichen Tag zu haben:
> 
> Was hält man hier eigentlich von der Idee eines Greylistings, das alle
> Absenderadressen nicht checkt, die eine Antwort auf eine von innerhalb der
> Domain verschickte Mail sind, dh. wenn zB michael@wsr.ac.at an
> office@luga.at schickt, wird auch die andere Richtung office@luga.at an
> michael@wsr.ac.at automatisch whitegelistet (dh. die Mail geht dann schon
> beim ersten Mal durch)?
> Hätte so etwas schlimme Mißbrauchsmöglichkeiten? Würde es den
> Implementierungsaufwand lohnen?
> 
> Ich entschuldige mich im vorraus, falls diese Idee altbekannt und schon
> 100x verworfen worden sein sollte.

Die Idee ist nicht neu (wir haben z.B. im Jänner auf der
qpsmtpd-Mailinglist darüber diskutiert[0], und ich nehme an, dass der
gute JT auch nicht der erste war, der auf die Idee gekommen ist). 

Das größte Problem, das ich bei dem Ansatz sehe, ist, dass man nicht
weiß, woher die Antwort kommen wird, wenn man eine Mail an eine Adresse
schickt. Wenn Du eine Mail an <office@luga.at> schickst, kommt die
Antwort wahrscheinlich von <hjp-luga@hjp.at> oder <bernd@luga.at> o.ä.
Das kannst Du nicht im vorhinein erraten und whitelisten. Selbst wenn
die Antwort von <office@luga.at>, kommt kannst Du aus der Mail-Adresse
im Allgemeinen nicht erkennen, von welcher IP-Adresse sie kommen kann
(im Fall von luga.at wegen SPF schon), d.h., Du gibst damit die Bindung
zwischen IP-Adresse und Absenderdomain, die Greylisting erzwingt, auf.
Das ist insbesondere bei Viren/Würmern, die häufig Absenderadressen aus
Adressbüchern verwenden, ein Nachteil.

Für sinnvoller halte ich diverse VERP-Varianten, die pro Empfänger eine
eigene E-Mail-Adresse verwenden[1]. Das ist zwar etwas aufwändiger, weil
man nicht nur speichern muss, an wen man Mail geschickt hat, sondern
auch die rausgehenden Mails entsprechend umschreiben muss, aber dafür
kann dafür dann nicht nur Greylisting, sondern jeden Spamfilter
deaktivieren. Ich wollte sowas schon vor längerer Zeit mal für den
qpsmtpd implementieren, bin aber noch nie dazugekommen.

Eine andere Möglichkeit ist es, aus den Logs zu erkennen, welche Server
offensichtlich queuen (wo also jede Mail irgendwann durchs Greylisting
durchkommt) und die dann zu whitelisten. Das nützt zwar beim Erstkontakt
nichts, aber wenn es z.B. regelmäßigen Mailverkehr zwischen
verschiedenen Personen in zwei Institutionen gibt, ist es sinnvoll, wenn
sich die gegenseitig whitelisten. Auch für Mailinglistenserver (speziell
solche, die VERP pro Message machen) ist das sinnvoll.

	hp

[0] http://www.nntp.perl.org/group/perl.qpsmtpd/2007/01/msg6151.html

[1] http://del.icio.us/hjp/keyedaddressessystems



-- 
   _  | Peter J. Holzer    | Ich sehe nun ein, dass Computer wenig
|_|_) | Sysadmin WSR       | geeignet sind, um sich was zu merken.
| |   | hjp@hjp.at         |
__/   | http://www.hjp.at/ |	-- Holger Lembke in dan-am

Attachment: signature.asc
Description: Digital signature



powered by LINUX the choice of a gnu generation
linux user group austria;
Suche
Suche
Letzte Änderung:
webmaster@luga.at
September 2010