Andre Tann wrote:
Sandy Drobic, Montag, 22. September 2008 21:51:
Habe gerade gesehen, dass es etwas schräger ist: permit_auth_destination gibt ein "permit" zurück, wenn die Empfängerdomain bei deinem Server gelistet ist. Danach wird kein Check mehr ausgeführt. Dahinter kommen nur noch Checks, welche Mails ablehnen, gefolgt von einem totalen Reject. Die einzigen Mails, die nach permit_auth_destination noch abgewiesen werden, sind Relay-Versuche von Spammern.
Ja, ich hab schon gemerkt, daß meine Reihenfolge nicht ganz optimal war.
Gerade die Reihenfolge ist extrem wichtig, sowohl für die Funktionalität als auch die Sicherheit.
Die übliche Reihenfolge ist:
smtpd_recipient_restrictions = permit_mynetworks reject_unauth_destination reject_non_fqdn_hostname reject_invalid_hostname reject_unknown_client_hostname reject_rbl_client zen.spamhaus.org
Ja, so hab ichs jetzt im Prinzip auch. Andere Reihenfolge, aber egal.
Grins! Gerade die Reihenfolge ist eben nicht egal. (^-^) Warum bei einer externen RBL nachfragen, wenn die Mail ohnehin schon von einem internen und sehr schnellem Check wie reject_non_fqdn_helo_hostname schon erschlagen wird. reject_unknown_client_hostname ist übrigens ein ziemlich rabiater Check, der meistens auch ein paar erwünschte Mails ablehnt.
Auf den Eintrag in smtpd_helo_restrictions kannst du dann komplett verzichten. Es gibt noch einiges anderes, was man machen kann, aber das ist
...?
Time Limit, es war Zeit zum Schlafen. (^-^)
Wenn ich mal ein bißchen Zeit übrig hab, dann möchte ich ohnehin mal ein offenes Relay bzw. einen Honeypot bauen und schauen, was Leute so auf einen Server einliefern, der nirgends als mx auftaucht. Und vielleicht experimentiere ich bei dieser Gelegenheit auch noch mit Teergruben. Und bei diesem Experiment sind zusätzliche Ideen natürlich willkommen!
Was ist der Sinn solcher Tätigkeit. Normalerweise setzt man einen Honeypot und ähnliches auf, um die Einbruchsmethoden der Hacker zu studieren und möglichst vielleicht noch unbekannte Schädlinge für Analysezwecke zu erwischen. Ich glaube nicht, dass du in dieser Branche tätig bist. Teergruben basteln ist eine Methode, die aus der zeit stammt, wo Spammer noch häufig eigene Server hatten. Heutzutage mieten die ein Botnetz mit 10.000 Zombies und pusten ihre Spams millionenfach durch die Gegend. Ob du da einen oder zwei Zombies mit ein oder zwei Prozessen beschäftigst, merken die nicht einmal, nicht einmal der eine Zombie, der einen Prozess bei dir hängen hat. Das tut dir erheblich mehr weh als dem Spammer, da du weniger Ressourcen hast als der Spammer. Setze deine Energie lieber für etwas produktives ein. -- Sandy Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org