[LUGA] Mit freundlicher Unterstützung von:
init.at

Mail Thread Index


[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [luga] Greylisting



-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Hi!

Peter J. Holzer schrieb:
> On 2007-03-30 14:31:28 +0200, Michael Demelbauer wrote:
>> Ich scheine heute meinen ideenreichen Tag zu haben:
>>
>> Was hält man hier eigentlich von der Idee eines Greylistings, das alle
>> Absenderadressen nicht checkt, die eine Antwort auf eine von innerhalb der
>> Domain verschickte Mail sind, dh. wenn zB michael@wsr.ac.at an
>> office@luga.at schickt, wird auch die andere Richtung office@luga.at an
>> michael@wsr.ac.at automatisch whitegelistet (dh. die Mail geht dann schon
>> beim ersten Mal durch)?
>> Hätte so etwas schlimme Mißbrauchsmöglichkeiten? Würde es den
>> Implementierungsaufwand lohnen?
>>
>> Ich entschuldige mich im vorraus, falls diese Idee altbekannt und schon
>> 100x verworfen worden sein sollte.
> 
> Die Idee ist nicht neu (wir haben z.B. im Jänner auf der
> qpsmtpd-Mailinglist darüber diskutiert[0], und ich nehme an, dass der
> gute JT auch nicht der erste war, der auf die Idee gekommen ist). 
> 
> Das größte Problem, das ich bei dem Ansatz sehe, ist, dass man nicht
> weiß, woher die Antwort kommen wird, wenn man eine Mail an eine Adresse
> schickt. Wenn Du eine Mail an <office@luga.at> schickst, kommt die
> Antwort wahrscheinlich von <hjp-luga@hjp.at> oder <bernd@luga.at> o.ä.
> Das kannst Du nicht im vorhinein erraten und whitelisten. Selbst wenn
> die Antwort von <office@luga.at>, kommt kannst Du aus der Mail-Adresse
> im Allgemeinen nicht erkennen, von welcher IP-Adresse sie kommen kann
> (im Fall von luga.at wegen SPF schon), d.h., Du gibst damit die Bindung
> zwischen IP-Adresse und Absenderdomain, die Greylisting erzwingt, auf.
> Das ist insbesondere bei Viren/Würmern, die häufig Absenderadressen aus
> Adressbüchern verwenden, ein Nachteil.
> 
Die Idee ist witzig, aber ich denke, der Key dürfte nicht die Mailadresse
sondern sollte eher die Message-Id sein. Damit könnte man dann eine Art
"Stateful-Inspection-Greylisting" machen:

1) Der Mailserver merkt sich die Message-Id's von allen abgehenden Mails
   in einer internen Tabelle (mit einer bestimmten Ablaufzeit)
2) Bei ankommenden Mails wird der "In-Reply-To" Header (eventuell auch andere)
   gecheckt, wobei es zwei Möglichkeiten gibt:
   a) Message-Id steht in der internen Tabelle -> Mail geht sofort durch
   b) Message-Id steht nicht in der internen Tabelle -> übliche Greylisting Rules usw.

Voraussetzung dafür ist, dass dieser Mechanismus auf einem System läuft,
das alle abgehenden und ankommenden Mails mitbekommt.

Das Mechanismus sollte relativ sicher sein, zumindest lassen sich Message-ID's
nicht so leicht erraten wie Mail-Adressen.

Wäre vielleicht eine interessante Erweiterung für bestehende Greylisting-
Systeme...

- - andreas

- --
Andreas Haumer                     | mailto:andreas@xss.co.at
*x Software + Systeme              | http://www.xss.co.at/
Karmarschgasse 51/2/20             | Tel: +43-1-6060114-0
A-1100 Vienna, Austria             | Fax: +43-1-6060114-71
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.6 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org

iD8DBQFGDTZfxJmyeGcXPhERAu4zAJ4gNyfySni0NSN6ZGzrrfLWoXtgbACeKYcz
GH9fDCYqESOSegagwKFhUH0=
=38gO
-----END PGP SIGNATURE-----



powered by LINUX the choice of a gnu generation
linux user group austria;
Suche
Suche
Letzte Änderung:
webmaster@luga.at
September 2010